简介

IPSec是一组通信协议,用于在网络上提供安全连接。短语“IPsec”是缩写,其中“IP”代表“Internet 协议”,“sec”代表“安全”。Internet 协议 (IP) 是管理 Internet 上数据传输的普遍接受的协议。IPSec通过包括加密和身份验证来增强协议的安全性。它用于虚拟专用网络 (VPN)。

OPNsense为分支机构和远程用户提供VPN连接。只需使用OPNsense Web用户界面,即可轻松设置将多个分支机构连接到中央位置的单一、安全的专用网络。可以为远程用户生成和使证书失效,并且用户友好的导出工具简化了客户端配置过程。

站点到站点VPN隧道通过使用静态公共 IP 地址连接两个位置并在其各自的网络之间路由流量。这通常用于在组织的分支机构和总部之间建立连接,允许分支机构用户检索位于总部的网络资源。

为了允许IPsec 隧道连接,必须在两个站点WAN接口上开放下面三个端口和协议:

  • 端口 4500 上的 UDP 流量 (NAT-T)
  • 端口 500 上的 UDP 流量 (ISAKMP)
  • 协议 ESP

通用设置

在 SiteA 和 SiteB 的两个 OPNsense 防火墙上添加这 3 条防火墙规则后,单击“应用更改”按钮来激活新设置。

Applying firewall rules for IPsec Tunnel

站点A设置

站点A阶段1常规设置如下图所示:

站点A阶段1提案(认证)部分设置如下图所示:


站点A阶段1提案(算法)部分设置如下图所示:

站点A阶段1高级选项部分设置如下图所示:

单击阶段1条目右侧的 按钮添加阶段2条目:


站点A阶段2常规部分设置如下图所示:


站点A阶段2提案及高级选项部分设置如下图所示:

按照以下步骤在站点A 上快速启用IPsec 服务:

导航到VPN → IPSec →隧道设置。选中页面底部的启用 IPsec选项。单击页面右上角的应用更改按钮,激活 IPsec 隧道设置。

站点B设置

站点B阶段1设置,除常规选项远程网关不同以外,其他部分可参照站点A进行设置。


站点B阶段2设置除远程网络地址不同以外,其他部分参照站点A进行设置:


参照站点A设置,快速启用IPsec服务。

添加防火墙规则

在两个站点上,分别添加允许访问的规则。导航到防火墙>规则>IPsec接口,添加允许访问LAN net的规则。

Defining firewall rule for LAN access

查看隧道状态

要查看当前IPsec VPN隧道状态,可以导航到VPN → IPsec →状态总览进行查看。

Viewing IPsec Tunnel Status
如果隧道没有出现,可以尝试在两个站点上重新启动服务。

提升隧道性能

根据负载(单流或多流 IPsec),启用IPsec上的多线程加密模式对提升隧道性能是有益的。此模式将加密数据包分布在多个处理器上,当仅使用一个隧道时,提升尤其明显。可以导航至系统→设置→可调参数来添加或修改以下参数即可。

net.inet.ipsec.async_crypto = 1

  • 无标签

0 评论

你还没有登录。你所做的任何更改会将作者标记为匿名用户。 如果你已经拥有帐户,请登录