opnsense 彙整 - 咖啡偶-IT日常

OPNsense 安裝 wireguard site to site

2023-03-20 william 其他

原本想簡單用linux安裝wireguard 來達到site to site vpn , 無奈搞不定 , 只能依靠OPNsense幫忙了.

OPNsense 幾乎與pfSense 齊名, 是款開源免費,以及補漏洞快速的防火牆軟體, 評估後,我用OPNsense有三個理由:

介面簡單,更直覺, 滿像防火牆該有的樣子
哥是來找支援wireguard的系統, OPNsen阿莎力說有. 而pfSense一下子說有, 一下子又沒有,哥就不愛用了.
真． wireguard site to site
windows簽入vpn, 可以一次連線多個site , 非常方便, 至少給麻瓜用, 不用挑戰麻瓜的邏輯思考, 一鍵多處簽入

目前還需要wireguard改善的:

動態簽入vpn,
目前用wireguard windows連線, tunnel ip居然無法自動取得, 那腳本就不能一份多用

情境 site to site vpn

Site A 
對外IP: 192.168.1.1  ,  udp port: 65536
內網:  10.192.130.15/24
Wireguard Tunnel ip :  10.1.0.1/24 

Site B
對外IP: 192.168.2.1  ,  udp port: 65536
內網:  191.1.0.0/24
Wireguard Tunnel ip :  10.1.0.2/24

安裝步驟:

安裝外掛程式
登入OPNsense , System -> Firmware -> Plugins 選擇安裝 os-wireguard-go

啟用WireGuard VPN

新增Local
設定 Name , Listen Port , tunnel ip . 裡面的 public key , private key 先不用輸入,等新增後會自動出現

**public key 與private key會自動產生, public key 需要複製下來,提供給對方服務器使用**

新增Endpoints
這部分的資訊為對方服務器資訊, 以我們是Site A來說, 要輸入 Site B相關資訊

綁定Local與Endpoints
我們回過頭來修改Local, 設定其與Endpoints綁定

設定防火牆, 讓對方能存取我們的udp port

設定對方內網網段,與tunnel 網段(可以跟多個site互聯) , 讓內網與tunnel ip 能通過wireguard 介面, 進而互相溝通

另外一邊服務器, 請務必也用OPNsense , 不要像我這樣走冤枉路, 一邊OPNsense, 一邊Linux, 或是docker, 作法同上步驟, 資料記得不可一模一樣, 每個服務器ip, udp port , public key, 都不一樣

完成後, 可以到 lobby 查看, Lobby->Dashboard->右下角wireguard-go

ps.
1. 上面有一步驟可以輸入preshared key (也可以不輸入) , 若要輸入, 需登入OPNsense , 輸入 wg genpsk 即可產生, 這個key要放到所有相連結的服務器, Endpoints裡面
2. 參考資料 https://www.thomas-krenn.com/en/wiki/OPNsense_WireGuard_VPN_Site-to-Site_configuration

One comment firewall, openvpn, opnsense, vpn, wireguard

wireguard 初體驗

2023-03-19 william 其他

我打算用OPNsense取代目前老舊的硬體防火牆(Fortigate 80C) , 後來透過OPNsense 外掛, 試了suricata, AdGuard Home, tailcale , wireguard , 總共花了我2周的時間, 對於VPN, site to site , point to site 也都玩了一輪.

其中對於VPN心得:

Wireguard 網路品質比OpenVPN好一些
site to site vpn , 以及 point to site vpn
請用OPNsense , 作法請參考 https://www.thomas-krenn.com/en/wiki/OPNsense_WireGuard_VPN_Site-to-Site_configuration
wireguard 基本上綁定一個udp port , 與openvpn一樣都只能靠這個udp port做事, 很容易中國被擋下來
要規避中國防火牆, 請用tailscale + headscale + udp2raw
tailscale安裝完畢,預設使用者管控機制滿好用的,但是要付費才能商用, 若不花錢, 請將使用者管控改成 headscale , headscale可用docker安裝, 然後讓tailscale login server改成headscale即可.
tailscale 做site to site 只能以NAT方式完成, 這會有問題, 以鼎新tiptop GP 5.1來說就無法回撥source ip 的6400 port ,算是假的site to site vpn , 就算官方宣稱加上 –snat-subnet-routes=false 可以辦到, 但我怎麼試都失敗, 網路上大部分也都不在意,看來tailscale使用群更專注在翻牆功能.

wireguard 設定檔簡單解釋如下, 檔案為/etc/wireguard/wg0.conf, 該設定檔可形成 site to site , 但我在Linux設定一直失敗, 只能用NAT方式,最後發現OPNsense才能做到真正的site to site 功能, 太怪了!

[Interface]

# Site A
# private key 
PrivateKey = CG0svjlK7NdZ3U0MdYQzBHx7adDi1p2UlhPFXdH4HHw=
# Site A Tunnel IP
Address = 10.1.0.1/32
ListenPort = 51820

[Peer]
# Site B public key ,  tunnel ip 10.1.0.2/32
PublicKey = Jkdn621+amuCV8Wj7YQLMydtE9GO5kpq+oZdK/17XAY=
# 允許Site B內網, 以及Site B的tunnel ip
AllowedIPs = 10.1.0.2/32,10.176.5.0/24
Endpoint = <Site B 對外ip>:51820
PersistentKeepalive = 25

[Peer]
# Site C public key , tunnel ip 10.1.0.3/32
PublicKey = VaVaSY6SkizEhexj9vSTkzKgaIo5MwMnulu6I/D+iAI=
# 允許Site C內網, 以及Site C的tunnel ip
AllowedIPs = 10.1.0.3/32,192.1.0.0/22
Endpoint = <Site B 對外ip>:51820
PersistentKeepalive = 25

Leave a comment docker, linux, opnsense, RockyLinux, vpn, wireguard

原來我們無時無刻都被分析中 AdGuard Home

2023-03-10 william 閑聊

我安裝OPNsense防火牆時, 加裝了AdGuard Home 外掛 , AdGuardHome使用dns過濾方式, 來阻擋廣告ip, 我讓公司wifi dns 也導到AdGuardHome, 只要是廣告類的ip, 過濾後, 都會變成0.0.0.0 , 我們不會去訪問到廣告.
幾天後, 真的真的沒想到, 居然高達49% 被濾掉, 仔細一看, 這些ip, 絕大部份是統計,以及分析我們上網行為, 當然商業行為精準知道我們的需求很不錯, 可是拿來做壞的用途也是恐怖.