OPNsense - 多功能高可靠易使用的防火墙（三）

版权声明： https://blog.csdn.net/laotou1963/article/details/80660148

OpenVPN的设置

OPNsense可支持数种VPN服务，如IPSec、OpenVPN、TincVPN和Zerotier，默认安装的是IPSec和Open VPN。

使用OpenVPN的主要原因是：

1. 开源免费OpenVPN客户端支持所有的常用平台。
2. 设置客户端简洁方便，将从服务器端导出的配置文件直接导入客户端即可。
3. 方便微调用户的授权。
4. 无需使用NAT-T技术。
5. 支持双重授权（2FA）和多重授权技术。

OpenVPN支持site-to-site和远程接入二种服务，我们只介绍远程接入服务的配置。远程接入用户授权我们采用双重授权形式（用户个人证书 + 口令），单用口令或证书的安全性都较低。

---

前置条件

1. OPNsense已正常工作。
2. OpenVPN的服务器证书已生成（OpenVPN演示服务器证书 ）。
3. 用户张三的个人证书已生成（张三的个人证书 ）。

我们在前面已经详细介绍了如何给服务器和用户生成证书，这里就不再重复了。

---

配置OpenVPN服务器

入口【VPN: OpenVPN: 服务器】

有二种方式建立新的OpenVPN服务器，使用向导和直接添加，直接添加较为适合不是第一次建VPN服务器的管理员

使用向导建立新的VPN服务器：
点击【使用向导来设置一个新的服务器】

首先选择的是用户授权服务的来源，可选本地用户、LDAP授权和Radius授权。如内部使用域控服务器，建议使用DC来授权，这样只需在DC维护用户数据即可。本实例为了方便，使用本地用户授权。

这是选择证书颁发机构，我们使用内部CA - LSWIN-ROOT-CA。

使用已有的证书 【OpenVPN演示服务器证书】

1. 因为是远程接入，所以接口就单选WAN。
2. 取默认值（UDP），使用UDP的效果会比TCP好很多，特别是在网络环境不太好的时候。
3. 本地端口留空就行会取默认值（1194）。
4. 描述随便写，目的是方便管理。
   
5. 加密设置，使用默认设置就行了。
   
6. IPv4隧道网络: 这是VPN的网址范围，应选用私网地址。我们选的是10.10.0.1 - 10.10.0.255.
7. IPv6隧道网络: 和IPv4隧道网络意义一样只是为IPv6。这所有IPv6相关的我们都会留空不做配置。
8. 重定向网关: 一般情况下，配置只让本地网络和远程网络的流量经过VPN通道，其他的不经过VPN通道，直接进入外网。如勾选此项，那么所有的流量都会经过VPN通道。
9. IPv4远程网络: 去这个远程网络的流量都会被引导经过VPN通道，如去一个端对端连接的远程site。
10. 并发连接: 指定最大接入用户数。
11. 压缩: 【没有参数】指的是采用LZO算法压缩隧道报文，无需修改。
12. 服务类型: 采用默认未勾选。
13. 客户端间通信: 勾选，允许VPN用户间通信。
14. 复制连接: 只有在非常特殊要求下才需要启用。
    
    大多数选项对管理员来说都很熟悉了，就不详细解释了，除了几项需要注意的。
15. NetBIOS选项: 建议不要取用NetBIOS-over-TCP/IP。NetBIOS会产生大量的流量，对网速不高的远程接入，影响非常大！除非用户需要Windows相关服务
16. 高级: 可以把一些非常用参数放在这，对送到VPN客户端。
    
17. 这一步可能是使用向导配置VPN服务器对管理员帮助最大的，强烈建议启用自动产生防火墙规则功能！
    
    新的VPN服务器配置完成。

使用【添加服务器】建立新的VPN服务器需要配置的内容是完全一样的，但每一项内容都需要管理员自己去填或选。我们的建议是用向导建立新的服务配置，如需要调整，用【编辑服务器】去修改。

---

客户端导出

入口：【VPN: OpenVPN: 客户端导出】

1. 远程访问服务器：我选择新建的【OpenVPN演示服务器 UDP:1195】。
2. 主机名解析：如使用固定的外网地址，选用【接口IP地址】，如使用DDNS，可选用【动态DDNS主机名】。
3. 验证服务器CN：选用默认【自动 - 尽可能使用verify-x509-name…..】。
4. 使用随机本地端口：选用默认【启用，勾选】。
5. 客户端安装包：可以使用VPN的用户会被列在【客户端安装包】后面，点击名字后面的【输出】框，会出现可输出配置文件列表可根据需要为用户输出配置文件。如我们为Windows客户端输出配置配置文件，我们选【存档】，导出的是一个zip文件。解压导出文件后，将产生一个文件夹，文件夹内有三个文件，将整个文件夹放在OpenVPN的config目录下即可。
6. 连接到OpenVPN客户端：列出了可以获取OpenVPN客户端的网址。电脑客户端，我们建议使用OpenVPN社区提供的客户端。Android和iOS的客户端，可去Android或iOS的应用商店下载。
7. 使用OpenVPN客户端
   
   右击OpenVPN客户端的小图标，我们可以看到刚刚导入的张三的VPN接入配置【lsgateway-udp-994-san.zhang】，选择【Connect】即开始连接。
   
   输入用户名和口令，点击【OK】
   
   当看到OpenVPN客户端的小图标中间是绿的，表示VPN通道已成功建立，可以使用了。
   
   
   
   从第一张图中，我们可以看到，使用VPN通道的本地地址是10.10.0.10，有它自己的DNS后缀和DNS服务器。
   从路由表中可以看到，只有10.10.0.0/24和192.168.220.0/24二个网段使用VPN通道，其他的依旧使用原有的默认网关。

到此，OPNsense上的VPN服务已经配置完成，并通过测试，可以正式投入使用了。

注：OpenVPN客户端会显示很多“AEAD Decrypt error：bad packet ID（may be a replay）”，可以不用管它。