简介

IPSec是一组通信协议，用于在网络上提供安全连接。短语“IPsec”是缩写，其中“IP”代表“Internet 协议”，“sec”代表“安全”。Internet 协议 (IP) 是管理 Internet 上数据传输的普遍接受的协议。IPSec通过包括加密和身份验证来增强协议的安全性。它用于虚拟专用网络 (VPN)。

OPNsense为分支机构和远程用户提供VPN连接。只需使用OPNsense Web用户界面，即可轻松设置将多个分支机构连接到中央位置的单一、安全的专用网络。可以为远程用户生成和使证书失效，并且用户友好的导出工具简化了客户端配置过程。

站点到站点VPN隧道通过使用静态公共 IP 地址连接两个位置并在其各自的网络之间路由流量。这通常用于在组织的分支机构和总部之间建立连接，允许分支机构用户检索位于总部的网络资源。

为了允许IPsec 隧道连接，必须在两个站点WAN接口上开放下面三个端口和协议：

• 端口 4500 上的 UDP 流量 (NAT-T)
• 端口 500 上的 UDP 流量 (ISAKMP)
• 协议 ESP

通用设置

在 SiteA 和 SiteB 的两个 OPNsense 防火墙上添加这 3 条防火墙规则后，单击“应用更改”按钮来激活新设置。

站点A设置

站点A阶段1常规设置如下图所示：

站点A阶段1提案（认证）部分设置如下图所示：

站点A阶段1提案（算法）部分设置如下图所示：

站点A阶段1高级选项部分设置如下图所示：

单击阶段1条目右侧的 按钮添加阶段2条目：

站点A阶段2常规部分设置如下图所示：

站点A阶段2提案及高级选项部分设置如下图所示：

按照以下步骤在站点A 上快速启用IPsec 服务：

导航到VPN → IPSec →隧道设置。选中页面底部的启用 IPsec选项。单击页面右上角的应用更改按钮，激活 IPsec 隧道设置。

站点B设置

站点B阶段1设置，除常规选项远程网关不同以外，其他部分可参照站点A进行设置。

站点B阶段2设置除远程网络地址不同以外，其他部分参照站点A进行设置：

参照站点A设置，快速启用IPsec服务。

添加防火墙规则

在两个站点上，分别添加允许访问的规则。导航到防火墙>规则>IPsec接口，添加允许访问LAN net的规则。

查看隧道状态

要查看当前IPsec VPN隧道状态，可以导航到VPN → IPsec →状态总览进行查看。

如果隧道没有出现，可以尝试在两个站点上重新启动服务。

提升隧道性能

根据负载（单流或多流 IPsec），启用IPsec上的多线程加密模式对提升隧道性能是有益的。此模式将加密数据包分布在多个处理器上，当仅使用一个隧道时，提升尤其明显。可以导航至系统→设置→可调参数来添加或修改以下参数即可。

net.inet.ipsec.async_crypto = 1