简介

通过配置 CloudFlare 动态域名,可以方便的远程访问 OPNsense 防火墙,但在没有设置 SSL签名证书的前提下,每次登录都会提示连接不安全。使用 Let’s Encrypt 免费为防火墙自动创建SSL证书,通过 DNS-01 质询方法自动验证并自动续订 SSL 证书。使用该方法不需要开放防火墙的 80、443 端口。

前提条件

有公网IP。

已经在CloudFlare注册了顶级域名。

设置动态域名

访问 CloudFlare,为防火墙添加一条二级域名A记录。IPv4地址可以随便输入,因为后面可以通过 OPNsense 防火墙的动态域名程序自动修改,代理选项暂时不选。本示例设置的动态域名为opnwall.pfchina.site。

回到 OPNsense 防火墙,转到系统>固件,插件选项卡,安装 acme 和 ddclient 插件。

转到服务>动态DNS,添加CloudFlare动态域名条目,输入用户名、密码、区域、主机名等信息。注意,密码输入 CloudFlare 账户的 Global API Key。

CloudFlare上的Global API Key。

在常规设置选项卡上,选中启用,然后点击下面的应用按钮。

回到 CloudFlare 的DNS设置,如果设置正确,添加的A记录会获取到防火墙WAN地址。

设置防火墙规则

由于运营商封闭了80、443端口,需要将防火墙默认访问端口修改为外网可访问的端口,本示例使用5678端口。

转到防火墙>规则,WAN接口,开放WAN接口上5678端口。为了保证安全,该规则的源地址应限定安全范围。

调整系统设置

转到系统>设置>管理,将默认访问端口修改为5678,协议选https。在备用主机名里输入动态域名,或选中禁用DNS重绑定检查选项,以避免触发防火墙的登录保护。

设置完成以后,输入https://opnwall.pfchina.site:5678,可以远程访问防火墙,只不过因为没有配置SSL证书,还处于没挂锁的状态。

SSL证书设置

导航到服务>Acme客户端>帐户,添加一个帐号,输入相关信息,并点击保存。

导航到服务>Acme客户端>挑战类型,添加 CloudFlare 域名挑战类型。挑战类型选 DNS-01,不需要开放80、443端口就可以申请证书。输入域名的其他相关信息,然后点击保存。

导航到服务>Acme客户端>自动操作,添加一条自动化命令,在证书到期时自动重新续签。

单击证书菜单,点击右下角添加按钮添加证书。输入证书的通用名称、备用名称,ACME帐号、挑战类型,选中自动操作选项。然后点击底部的保存按钮。

然后单击颁发/续订所有证书按钮,这需要一些时间,大概两分钟左右。

申请成功后,转到系统>证书>发行菜单,会多出一个CA。

在证书菜单,会多出一个Acme创建的证书。

在吊销菜单,会看到Acme吊销列表。

回到服务>ACME客户端>设置选项卡,选中启用启用插件和自动续订两个选项并点击应用。

转到更新任务选项卡,添加一个定时任务,用于启动证书更新。

添加完成以后,在系统>设置>任务菜单,可以看到新加的定时任务。

最后转到系统>设置>管理,在SSL证书选项下拉菜单中选择由Acme创建的SSL证书,然后单击保存。

刷新一下浏览器,挂锁成功!

  • 无标签
写评论...