OpenVPN是著名的虛擬私有網路軟體,pfSense則可當作防火牆及路由器之用,結合兩者的長處,這裡將示範了如何使用預享密鑰模式(PSK)的身分驗證方式,在pfSense上以OpenVPN套件來建立Site-to-Site VPN。
本文將介紹如何在開源軟體pfSense上使用OpenVPN套件,來建立Site-to-Site VPN,亦即在兩部設備之間建立VPN連線,讓pfSense下的電腦都能夠輕易地透過VPN連線取得遠端的資源,而無須個別進行連線的動作。以下將使用PSK(Pre-shared Key,預享密鑰模式)進行身分驗證以建立Site to Site VPN,並驗證其成效。
行前準備
·pfSense:請使用2.0以上的版本,在本文中使用的版本是2.1.5。pfSense的介紹請見「https://www.pfsense.org/」,之前的文章已做過簡單介紹,就不再贅述。
·電腦兩部:用以安裝pfSense,分別扮演Server及Client的角色。安裝pfSense的電腦至少需要安裝兩張網路卡。建議CPU等級至少在Intel Pentium 4以上,而記憶體越大越好。
測試架構
本次的測試架構圖如圖1所示。將在兩地的pfSense進行OpenVPN的相關設定,完成之後,可以在兩地的電腦之間直接連線至對點的電腦,進行日常維運工作。
 |
| ▲圖1 Site-to-Site VPN架構圖。 |
這裡將使用PSK(Pre-shared key,預享密鑰模式)進行兩個設備的身分驗證,並建立其VPN連線。在設定時,同樣有Server和Client的觀念。
建立連線時,從Client發起連線需求,並由Server驗證身分後,再與Server建立VPN連線。先說明Server端的設定,再示範Client的設定,最後檢視成果並進行驗證。
pfSense相關設定:OpenVPN Server
此步驟的目的是建立OpenVPN Server。依序點選VPN,再點選OpenVPN,最後選擇Server,然後點選加號圖示〔+〕以新增一組Server。
在Server Mode部分,選擇【Peer to Peer(Shared Key)】。而Shared Key部分,Automatically generate a shared key預設是有勾選的,請保留此設定勿做變更,而其他設定照預設值即可。
至於Encryption algorithm,預設使用128位元(bit)的AES加密,若讀者有進行調整,在設定Client時請比照辦理,如圖2所示。
 |
| ▲圖2 OpenVPN Server相關設定。 |
接著,進行Tunnel相關設定。在IPv4 Tunnel Network部分,輸入一組未在內網使用的IP網段,本例輸入10.1.0.0/24。
而IPv4 Local Network/s設定,輸入與此部pfSense所屬網域網路的IP網段:10.0.0.0/24。在IPv4 Remote Network/s部分,則指定OpenVPN Client所在的網段,本例設定為「10.0.1.0/24」,如圖3所示。
 |
| ▲圖3 OpenVPN Server Tunnel相關設定。 |
設定完成之後按下〔Save〕,回到OpenVPN: Server頁面,再點選〔e〕圖示進行編輯,以取出pfSense自動產生的Key,如圖4所示。
 |
| ▲圖4 編輯OpenVPN Server key。 |
在編輯頁面中,已經出現了Shard Key的欄位,將之反白後複製貼上到記事本備用,如圖5所示。
 |
| ▲圖5 取出Pre-shared key。 |