pfSense配置TINC站点至站点隧道教程
source link: https://blog.51cto.com/fxn2025/5401472
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
pfSense配置TINC站点至站点隧道教程
推荐 原创 tinc是一个虚拟专用网络 (VPN) 守护程序,它使用加密隧道在Internet 上的主机之间建立安全的专用网络。tinc是自由软件,根据GNU 通用公共许可证第2版或更高版本获得许可。因为VPN在IP级别的网络代码上表现为普通的网络设备,不需要对现有的任何软件进行适配,允许VPN 站点通过Internet相互共享信息,而不会将任何信息暴露给其他人。tinc具有以下特点:
- 加密、认证和压缩:所有流量都可选使用zlib或LZO进行压缩,使用LibreSSL或 OpenSSL加密流量。
- 自动全网状路由:无论如何设置tinc来进行相互连接,VPN 流量始终(如果可能)直接发送到目的地,而无需通过中间跃点。
- NAT穿越:只要VPN中的一个节点允许公共 IP地址上的传入连接(即使它是动态 IP 地址),tinc 就能够进行NAT穿越,从而允许对等点之间的直接通信。
- 轻松扩展:当需要添加新节点时,只需添加一个额外的配置文件。
- 可以桥接以太网段:可以将多个以太网段链接在一起,像单个网段一样工作。
- 支持IPv6:在各种主流平台上支持IPv6的应用。
pfSense提供了对tinc的良好支持,可以通过安装tinc插件的方法进行配置和使用,下面以pfSense plus 22.01为例,介绍在两台防火墙之间通过tinc建立VPN隧道的过程。
防火墙A(深色截图): 防火墙B(浅色截图):
WAN IP:202.10X.XX.XX 117.4X.XX.XX
LAN IP:192.168.11.1/24 192.168.12.1/24
安装tinc
首先在两台防火墙上安装tinc插件。分别导航到系统>插件管理,在可用插件选项卡上,搜索tinc,找到后,点击右侧的安装按钮进行安装。安装完成后,即可进行tinc隧道的配置。
防火墙上的tinc隧道配置分隧道设置、远程主机设置和防火墙规则添加三部分。
导航到VPN>tinc,在设置选项卡,输入以下参数:
SITEA:
- 启用TInc VPN:选中
- 名称:SITEA
- 本地IP:192.168.11.1
- 本地子网:192.168.11.0/24
- VPN掩码:255.255.0.0
- 地址族:IPv4
- 生成RSA密钥对:选中
单击显示高级选项,在额外Tinc参数栏,输入以下选项:
Cipher=blowfish
Digest=sha1
SITEB:
- 启用TInc VPN:选中
- 名称:SITEB
- 本地IP:192.168.12.1
- 本地子网:192.168.12.0/24
- VPN掩码:255.255.0.0
- 地址族:IPv4
- 生成RSA密钥对:选中
高级选项处的额外Tinc参数栏,与SITEA一致。
导航到VPN>tinc,主机选项卡,分别添加对方为远程主机。
SITEA:
- 名称:SITEB
- 地址:SITEB的WAN地址,这里为117.4X.XX.XX
- 子网:SITEB的LAN子网,这里为192.168.12.0/24
- 启动时连接:不选,只需在一端选中即可
- RSA公共密钥:从SITEB的tinc vpn隧道上复制
点击保存后列表如下:
SITEB:
- 名称:SITEA
- 地址:SITEA的WAN地址,这里为202.1X.XX.XX
- 子网:SITEA的LAN子网,这里为192.168.11.0/24
- 启动时连接:选中
- RSA公共密钥:从SITEA的tinc vpn隧道上复制
点击保存后列表如下:
添加防火墙规则
添加两条防火墙规则,一条是允许隧道访问任意网络,一条是在wan接口上放行tinc的默认通信端口655。
在pkg_tinc选项卡上,添加一条any to any规则,允许通过隧道访问任意网络。
在wan选项卡上,添加一条放行tcp协议655端口的规则,并放在规则的首位。
两台防火墙的规则相同,这里仅以SITEA示例。
以上设置无误以后,现在应该可以正常连接了。
导航到状态>Tinc VPN,可以查看隧道的连接信息:
在防火墙上使用PING进行测试,正常Ping通远程网关。
在客户端电脑上,运行Ping命令,正常ping通远程网关:
使用iperf进行测速,300M上下行对等企业专线,测得VPN隧道速度如下:
至此,pfSense上的Tinc VPN站点至站点隧道配置完成。
Recommend
-
117
pfSense Overview The pfSense project is a free network firewall distribution, based on the FreeBSD operating system with a custom kernel and including third party free software packages for additional functionality. pfSense softw...
-
91
tinc - a VPN daemon
-
102
pfSense除了具有一般防火墙常见功能外,还包括高可用、服务器负载平衡、VPN、 NAT、 DHCP等功能。
-
127
pfSense使用的基于XML的配置文件,备份是一件轻而易举的事情。 系统的所有设置都保存在一个文件中(请参阅pfSense XML配置文件)。 在绝大多数情况下,这个文件可用于将系统恢复到与之前运行的完全相同的完全工作状态。 不需要进行整个系统的备份,因为基本系统文...
-
124
为了记录自己的汉化过程,同时也为了方便网友自己制作汉化版本,我把自己汉化pfSense2.32的过程在此分享。
-
54
搭建Tinc实现异地构建局域网 发表于...
-
6
在 pfSense站点到站点IPsec VPN及路由Internet配置指南里,介绍了使用共享密钥方式配置IPsec VPN及路由Internet的过程,在本文中,将介绍使用证书来配置IPsec VPN的方法 。相比较预共享密钥的认证方...
-
5
远程管理pfSense防火墙的方法非常多,最方便的是开启WAN接口的访问权限,但这样做可能不太安全,最安全的方法是通过VPN隧道进行远程访问,下面以使用IPsec VPN为例,介绍远程访问配置过程。所有配置都基于
-
7
WireGuard是一种 VPN 工具,它比其它VPN之类的工具更快、更简单、更精简。在本教程中我们将深入研究如何在pfSense上安装WireGuard。以下的教程在pfSense2.6系统上完成。安装配置Wire...
-
7
Welcome to tinc! Latest stable version: 1.0.36 Latest prerelease from the 1.1 branch:
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK