pfsense設定OpenVPN (site to site一邊固定ip即可)
1.下載 pfsense 軟體防火牆套件 https://www.pfsense.org/ 2.安裝pfsense(server端)(假設內部網段是10.192.130.0/24) 至少要有兩個網卡,一個要有固定ip, 另一個是內部網路(假設是10.192.130.212) 2.1 安裝很簡單, 重點在於搞定兩個網卡ip,搞定後就能用使用瀏覽器,經由內部網路ip, 連上pfsense 2.2 連上pfsense後, 取消硬體checksum System->Advanced->Networking Hardware Checksum offloading選項打勾(這部分我浪費三天三夜, 若沒打勾會嚴重影響效能) 2.3 連上pfsense後, 啟用CPU硬體加密功能 System->Advanced->Miscellaneous Cryptographic Hardware 選擇AES-NI CPU-based Acceleration 這部分比較特別,若pfsense裝在promox ve上, vm要記得開啟AES-NI功能, esxi好像預設就開啟 ps. 這時候建議pfsense重開一下 2.4 安裝openvpn(server) VPN->OpenVPN->Servers 新增OpenVPN Servers , 需要輸入的地方如下,其他都是預設 (1) Server Mode 選 Peer to Peer(Shared Key) (2) local port 預設是1194請改成其他減少被擋或被駭的機率 (3) Hardware Crypto 任選一種硬體加密(若可以選的話) (4) IPv4 Tunnel Network 輸入172.26.0.0/24 (5) IPv4 Remote network(s) 輸入client端的內部網路 , 如192.1.0.0/24 (6) Save (7) 重新看剛剛的設定,複製preshared key(Save之後才會產生),要複製到pfsense client端使用 2.5 Firewall -> Rules 到 WAN 新增 any source 的規則, 到OpenVPN 也新增 any source的規則 3.安裝pfsense(client端)(假設內部網段是192.1.0.0/24) 至少要有兩個網卡,兩個都是內部網路,同網段也ok 3.1 安裝很簡單, 重點在於搞定兩個網卡ip,這兩個網卡ip可以同一個網段, 一個當WAN,一個當LAN(假設是192.1.0.3). 搞定後就能用使用瀏覽器,經由內部網路ip, 連上pfsense 3.2 同步驟2.2 3.3 同步驟3.2 ps. 這時候建議pfsense重開一下 3.4 安裝openvpn(client) VPN->OpenVPN->Clients 新增OpenVPN Clients , 需要輸入的地方如下,其他都是預設 (1) Server Mode 選 Peer to Peer(Shared Key) (2) Interface 選 any (3) Server host or address 輸入server端對外的ip (4) server port 輸入server端設定port (5) Shared Key 請輸入server端複製的Shared Key (6) Hardware Crypto 任選一種硬體加密(若可以選的話) (7) IPv4 Tunnel Network 輸入172.26.0.0/24 (8) IPv4 Remote network(s) 輸入server端內部網路 , 如10.192.130.0/24 (6) Save 3.5 Firewall -> Rules 到 WAN 新增 any source 的規則, 到OpenVPN 也新增 any source的規則 4.Status->OpenVPN 查看能不能連線成功 5.pfsense(server) 新增路由,假設server所在內部網路gateway是10.192.130.1 請在該gateway上新增目的地192.1.0.0/24,要經由10.192.130.212出去(依照以上例子) 6.pfsense(client) 新增路由,假設client所在內部網路gateway是192.1.0.1 請在該gateway上新增目的地10.192.130.0/24,要經由192.1.0.3(依照以上例子) — Pfsense 2.4.5 William 20200422
