站點(diǎn)到站點(diǎn)連接示例 (共享密鑰)

Open×××?站點(diǎn)到站點(diǎn)網(wǎng)絡(luò)示例

本節(jié)介紹使用共享密鑰方式配置Open×××隧道站點(diǎn)到站點(diǎn)連接的過程。

在配置共享密鑰站點(diǎn)到站點(diǎn)Open×××連接時(shí)，一個(gè)防火墻將成為服務(wù)器，另一個(gè)將成為客戶端。 通常，主要位置將是服務(wù)器端，遠(yuǎn)程辦公室將充當(dāng)客戶端，但在功能上是等同的。 與遠(yuǎn)程訪問Open×××配置類似，除了兩端的子網(wǎng)之外，還將有一個(gè)用于網(wǎng)絡(luò)間Open×××互連的專用子網(wǎng)。?網(wǎng)絡(luò)拓?fù)湟娚蠄D。

隧道網(wǎng)絡(luò)使用10.3.100.0/30。 如圖所示，兩個(gè)防火墻之間的Open×××隧道從該子網(wǎng)的另一端獲取IP地址。?下面介紹如何配置連接的服務(wù)器端和客戶端。

配置服務(wù)器端

• 導(dǎo)航到××× > Open×××,?服務(wù)器選項(xiàng)卡

• 單擊 ??添加創(chuàng)建一個(gè)服務(wù)器條目

• 填寫如下所示的字段，其他都保留默認(rèn)值：

  
  

  服務(wù)器模式: 選擇點(diǎn)對點(diǎn)（共享密鑰)

  描述:在這里輸入文字來描述連接 (例如 ExampleCo Site B ×××)

  共享密鑰: 選中自動生成共享密鑰，或粘貼此連接的預(yù)先存在的共享密鑰。

  隧道網(wǎng)絡(luò):輸入之前選擇的網(wǎng)絡(luò)， 10.3.100.0/30

  遠(yuǎn)程網(wǎng)絡(luò):輸入B站點(diǎn)局域網(wǎng)絡(luò)，10.5.0.0/24

  ?

• 單擊保存

• 單擊??點(diǎn)對點(diǎn)編輯剛剛創(chuàng)建的服務(wù)器

• 找到共享密鑰選項(xiàng)框

• 選擇共享密鑰框內(nèi)的所有文本

• 將文本復(fù)制到剪貼板

• 將內(nèi)容保存到文件中，或臨時(shí)粘貼到文本編輯器（如記事本）中

接下來，在WAN上添加防火墻規(guī)則，允許訪問Open×××服務(wù)器。

• 導(dǎo)航到防火墻?>規(guī)則策略,?WAN選項(xiàng)卡

• 單擊???在列表頂部添加一條規(guī)則

• 協(xié)議選?UDP

• 設(shè)置源地址以匹配客戶端。 如果它具有動態(tài)IP地址，請將其設(shè)置為“any”，否則將該規(guī)則設(shè)置為僅允許來自客戶端的WAN IP地址:

  • 源地址選擇單個(gè)主機(jī)或別名

  • 輸入客戶端的WAN地址作為源地址?(例如：?203.0.113.5)

• 設(shè)置目的地址為WAN地址

• 在本示例中，設(shè)置目標(biāo)端口為?1194?

• 填寫描述，例如Open×××?from?Site?B

• 單擊保存，如下圖所示。

Open×××站點(diǎn)到站點(diǎn)連接示例WAN防火墻規(guī)則

• 單擊?應(yīng)用更改

  
  

還必須將規(guī)則添加到Open×××接口，才能將通過×××的流量從客戶端LAN傳遞到服務(wù)器端LAN。 可以使用“全部允許”樣式規(guī)則或一組更嚴(yán)格的規(guī)則。 在這個(gè)例子中，允許所有的流量是最好的，所以下面的規(guī)則是：

• 導(dǎo)航到防火墻?>規(guī)則策略,?Open×××選項(xiàng)卡

• 單擊???在列表頂部添加一條規(guī)則

• 設(shè)置協(xié)議為?any

• 輸入描述?，例如?Allow?all?on?Open×××

• 單擊保存

• 單擊應(yīng)用更改

服務(wù)器端配置完成。

配置客戶端

• 在客戶端系統(tǒng)上，導(dǎo)航到××× > Open×××,?客戶端選項(xiàng)卡

• 單擊 ?添加，創(chuàng)建一個(gè)新的Open×××客戶端實(shí)例

• 填寫如下所示的字段，其他都保留默認(rèn)值:

? 服務(wù)器模式：?選擇點(diǎn)對點(diǎn) (共享密鑰)

? 服務(wù)器主機(jī)IP地址：在這里輸入Open×××服務(wù)器的公共IP地址或主機(jī)名 (例如 198.51.100.3)

? 描述：輸入一個(gè)描述文本 (例如ExampleCo Site A ×××)

? 共享密鑰：取消選中自動生成共享密鑰，粘貼從先前創(chuàng)建的服務(wù)器實(shí)例復(fù)制的密鑰。

? 隧道網(wǎng)絡(luò)：必須完全匹配服務(wù)器端 (例如：10.3.100.0/30)

? 遠(yuǎn)程網(wǎng)絡(luò)：輸入站點(diǎn)A的LAN網(wǎng)絡(luò)，例如 10.3.0.0/24

?

• 單擊保存?

還必須將規(guī)則添加到Open×××接口，才能將通過×××的流量從服務(wù)器端LAN傳遞到客戶端LAN。 可以使用“全部允許”規(guī)則或一組更嚴(yán)格的規(guī)則。

• 導(dǎo)航到防火墻?>規(guī)則策略,?Open×××選項(xiàng)卡

• 單擊???在列表頂部添加一條規(guī)則

• 設(shè)置協(xié)議為?any

• 輸入描述?，例如?Allow?all?on?Open×××

• 單擊保存

• 單擊應(yīng)用更改

  
  

客戶端的配置已完成。 客戶端WAN接口上不需要設(shè)置防火墻規(guī)則，因?yàn)榭蛻舳酥粏映稣具B接。 服務(wù)器從不啟動到客戶端的連接。

注意

對于遠(yuǎn)程訪問PKI配置，通常路由和其他配置選項(xiàng)在客戶端配置上沒有定義，而是從服務(wù)器推送到客戶端。 使用共享密鑰部署時(shí)，必須根據(jù)需要在兩端定義路由和其他參數(shù)（如前所述，以后在自定義配置選項(xiàng)中），則在使用共享密鑰時(shí)，不能將選項(xiàng)從服務(wù)器推送到客戶端。

測試連接

連接將在客戶端保存后立即生效。 嘗試ping到遠(yuǎn)端驗(yàn)證連接，以測試連接是否正常。也可以導(dǎo)航到系統(tǒng)狀態(tài)>open×××，查看連接情況。

翻譯自pfsense book

2017-12-05

轉(zhuǎn)載于:https://blog.51cto.com/fxn2025/2047561

總結(jié)

以上是生活随笔為你收集整理的pfSense book之 Open***站点到站点连接示例（共享密钥）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。