简介

介绍 OPNsense 之间使用 WireGuard VPN 建立站点到站点连接和配置策略路由

添加隧道

在防火墙B上，导航到VPN>WireGuard>本地，单击下面的“+”添加本地隧道，接口公钥、私钥不用填写，保存后自动生成。这里的公钥与防火墙A的远程端点公钥必须一致。

填写完成后点击保存，如下图所示：

添加对端(远程端点）

点击应用后，转到VPN>WireGuard>端点，单击下面的“+”添加远程端点，公钥从防火墙A本地隧道上复制，允许IP输入0.0.0.0/0，你也可以根据自己的子网和WG设置填写网络地址，端点地址为防火墙A的wan接口地址，端口采用默认值或自定义值。

填写完成后如下图所示：

分配接口

分配WG接口并填写IPv4地址：10.10.10.2/24。导航到接口>分配，找到wg开头的接口名称点击添加。

打开添加的接口，启用并输入描述名称。

在IP地址栏，输入IPv4地址，本示例为10.10.10.3/24。

添加规则

添加三条防火墙规则，保证WireGuard的数据流量正常通行。第一条，在WireGuard接口上添加any to any的规则：

第二条，在对应WAN接口上，添加允许WireGuard默认端口或自定义端口通行的防火墙规则，协议选UDP，如下图所示：

第三条，在新添加的WG接口上，添加一条any to any的规则 ，如下图所示：

至此，两个防火墙上WireGuard VPN站点到站点的配置完成了。下图是两个防火墙连接后的详细信息。

完成上面的步骤后，两端的WireGuard VPN隧道已经打通，在防火墙A上PING防火墙B的WG接口地址（10.10.10.3），是可以连通的，反之也可以。但这时候还不能访问对端的LAN子网，还需要添加WG网关，并填加基于WG接口的静态路由。

静态路由

添加对端网关

在防火墙A上，为WG接口添加远程网关。导航到路由管理>网关状态，添加网关，IP地址为防火墙B的WG接口地址，这里为10.10.10.3。

添加静态路由

在防火墙A上，导航到路由管理>静态路由，单击添加，新增一条静态路由，目标网络输入防火墙B的LAN子网，网关选上一步新建立的WG网关，如下图所示：

填写并保存后如下图所示：

在防火墙B上，为WG接口添加远程网关。转到系统>网关>单个，在WG接口上添加新网关。注意网关地址填写防火墙A的WG接口地址：10.10.10.2。

转到系统>路由>配置，添加一条静态路由。静态路由目标网络为防火墙A的LAN子网192.168.101.0/24，网关选上一步建立的WG网关。如下图所示：

完成以上步骤后，现在已经可以对远端的子网进行访问了，从防火墙Ping对端的LAN子网地址是可以连通的。

策略路由

如果要从远程端点公网出站访问互联网，可以通过修改LAN接口的默认策略路由来实现。在防火墙A的lan接口上，修改默认的防火墙规则，将网关修改为WG网关，确保所有的流量通过WG隧道。如下图所示：

测试

一、测试连通性：在防火墙B后面的客户端上ping防火墙A的LAN接口IP，测试连接是否成功。

二、测试策略路由是否生效：在防火墙A后面的电脑终端上，打开浏览器访问网页，检查访问的公网IP是否发生改变，如果显示为防火墙B的公网IP，说明策略路由已生效。

三、测速：用iperf3跑了一下测速，测试带宽为上、下行300M，测试结果如下图：