站點到站點連接示例 (共享密鑰)

Open×××?站點到站點網絡示例

本節介紹使用共享密鑰方式配置Open×××隧道站點到站點連接的過程。

在配置共享密鑰站點到站點Open×××連接時，一個防火墻將成為服務器，另一個將成為客戶端。 通常，主要位置將是服務器端，遠程辦公室將充當客戶端，但在功能上是等同的。 與遠程訪問Open×××配置類似，除了兩端的子網之外，還將有一個用于網絡間Open×××互連的專用子網。?網絡拓撲見上圖。

隧道網絡使用10.3.100.0/30。 如圖所示，兩個防火墻之間的Open×××隧道從該子網的另一端獲取IP地址。?下面介紹如何配置連接的服務器端和客戶端。

配置服務器端

• 導航到××× > Open×××,?服務器選項卡

• 單擊 ??添加創建一個服務器條目

• 填寫如下所示的字段，其他都保留默認值：

  
  

  服務器模式: 選擇點對點（共享密鑰)

  描述:在這里輸入文字來描述連接 (例如 ExampleCo Site B ×××)

  共享密鑰: 選中自動生成共享密鑰，或粘貼此連接的預先存在的共享密鑰。

  隧道網絡:輸入之前選擇的網絡， 10.3.100.0/30

  遠程網絡:輸入B站點局域網絡，10.5.0.0/24

  ?

• 單擊保存

• 單擊??點對點編輯剛剛創建的服務器

• 找到共享密鑰選項框

• 選擇共享密鑰框內的所有文本

• 將文本復制到剪貼板

• 將內容保存到文件中，或臨時粘貼到文本編輯器（如記事本）中

接下來，在WAN上添加防火墻規則，允許訪問Open×××服務器。

• 導航到防火墻?>規則策略,?WAN選項卡

• 單擊???在列表頂部添加一條規則

• 協議選?UDP

• 設置源地址以匹配客戶端。 如果它具有動態IP地址，請將其設置為“any”，否則將該規則設置為僅允許來自客戶端的WAN IP地址:

  • 源地址選擇單個主機或別名

  • 輸入客戶端的WAN地址作為源地址?(例如：?203.0.113.5)

• 設置目的地址為WAN地址

• 在本示例中，設置目標端口為?1194?

• 填寫描述，例如Open×××?from?Site?B

• 單擊保存，如下圖所示。

Open×××站點到站點連接示例WAN防火墻規則

• 單擊?應用更改

  
  

還必須將規則添加到Open×××接口，才能將通過×××的流量從客戶端LAN傳遞到服務器端LAN。 可以使用“全部允許”樣式規則或一組更嚴格的規則。 在這個例子中，允許所有的流量是最好的，所以下面的規則是：

• 導航到防火墻?>規則策略,?Open×××選項卡

• 單擊???在列表頂部添加一條規則

• 設置協議為?any

• 輸入描述?，例如?Allow?all?on?Open×××

• 單擊保存

• 單擊應用更改

服務器端配置完成。

配置客戶端

• 在客戶端系統上，導航到××× > Open×××,?客戶端選項卡

• 單擊 ?添加，創建一個新的Open×××客戶端實例

• 填寫如下所示的字段，其他都保留默認值:

? 服務器模式：?選擇點對點 (共享密鑰)

? 服務器主機IP地址：在這里輸入Open×××服務器的公共IP地址或主機名 (例如 198.51.100.3)

? 描述：輸入一個描述文本 (例如ExampleCo Site A ×××)

? 共享密鑰：取消選中自動生成共享密鑰，粘貼從先前創建的服務器實例復制的密鑰。

? 隧道網絡：必須完全匹配服務器端 (例如：10.3.100.0/30)

? 遠程網絡：輸入站點A的LAN網絡，例如 10.3.0.0/24

?

• 單擊保存?

還必須將規則添加到Open×××接口，才能將通過×××的流量從服務器端LAN傳遞到客戶端LAN。 可以使用“全部允許”規則或一組更嚴格的規則。

• 導航到防火墻?>規則策略,?Open×××選項卡

• 單擊???在列表頂部添加一條規則

• 設置協議為?any

• 輸入描述?，例如?Allow?all?on?Open×××

• 單擊保存

• 單擊應用更改

  
  

客戶端的配置已完成。 客戶端WAN接口上不需要設置防火墻規則，因為客戶端只啟動出站連接。 服務器從不啟動到客戶端的連接。

注意

對于遠程訪問PKI配置，通常路由和其他配置選項在客戶端配置上沒有定義，而是從服務器推送到客戶端。 使用共享密鑰部署時，必須根據需要在兩端定義路由和其他參數（如前所述，以后在自定義配置選項中），則在使用共享密鑰時，不能將選項從服務器推送到客戶端。

測試連接

連接將在客戶端保存后立即生效。 嘗試ping到遠端驗證連接，以測試連接是否正常。也可以導航到系統狀態>open×××，查看連接情況。

翻譯自pfsense book

2017-12-05

轉載于:https://blog.51cto.com/fxn2025/2047561

總結

以上是生活随笔為你收集整理的pfSense book之 Open***站点到站点连接示例（共享密钥）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。