JCeicZzrwydO
在前面的文章OPNsense使用CloudFlare动态域名,配置Let’sEncrypt证书实现SSL安全访问一文中,介绍了通过Acme申请免费签名证书,实现了远程SSL安全连接访问OPNsense防火墙的方法。本文将介绍OPNsense防火墙配置HAProxy代理,SSL远程连接内网服务器(alist网盘)的设置方法。 本教程使用的软件版本为OPNsense23.7.1_3,防火墙配置SSL证书请参考前文,本文介绍HAProxy的配置过程。注意,本文演示的证书和域名与前文不同,实际配置时,两者必须一致。 防火墙配置HAProxy代理,SSL远程连接内网服务器的步骤如下: 安装HAProx...
光猫采用桥接模式,通过pfSense防火墙PPPoE拨号上网,客户端将无法访问光猫配置界面。这是因为拨号后,防火墙会将所有出站流量发送到上游ISP,ISP不会将专用子网路由传回光猫,导致无法访问光猫。本文介绍在不增加任何设备的情况下访问光猫的配置方法。 解决思路:因为PPPoE拨号分配的是虚拟PPPoE网卡,不是物理端口,我们可以通过给该虚拟网卡使用的物理端口分配一个光猫同网段地址,从而实现正常访问光猫。 注意:光猫的子网不能与防火墙的lan子网相同。本文假设光猫的访问地址为192.168.1.1。 添加接口 导航至接口>分配,找到虚拟PPPoE网卡使用的物理接口,本例中为vmx1,点击...
在配置了动态域名后,如果没有安装SSL证书,使用域名访问pfSense一般都会出现不安全的提示,如下图所示。 要解决不安全提示的问题,需要在防火墙上安装SSL证书。下面介绍在pfSense上配置动态域名、导入SSL实现安全访问的方法。本文使用的防火墙版本为pfSenseplus23.05。 配置动态域名 本文以ddns.org动态域名为例来进行设置,其他动态域名请参考提供商的使用说明。 注册帐号 访问ddns.org,注册一个帐号,激活后进入动态域名设置仪表面板。 购买订阅 点击左则的Subscription,购买一个订阅或选择试用。 添加主机 继续点击左则的Services,添加一个主机...
通过配置CloudFlare动态域名,可以方便的远程访问pfSense防火墙,但在没有设置SSL签名证书的前提下,每次登录都会提示连接不安全。本文将介绍使用Let'sEncrypt免费为防火墙自动创建SSL证书,通过DNS-01质询方法自动验证并自动续订SSL证书。使用该方法不需要开放防火墙的80、443端口。 前提条件 有公网IP。 已经在CloudFlare注册了顶级域名。 设置动态域名 访问CloudFlare,在顶级域名上为防火墙添加一条A记录。IPv4地址可以随便输入,因为后面可以通过pfSsense防火墙的动态域名程序自动修改,代理选项暂时不选。本示例设置的动态域名为jx.pf...
通过配置CloudFlare动态域名,可以方便的远程访问OPNsense防火墙,但在没有设置SSL签名证书的前提下,每次登录都会提示连接不安全。本文将介绍使用Let'sEncrypt免费为防火墙自动创建SSL证书,通过DNS-01质询方法自动验证并自动续订SSL证书。使用该方法不需要开放防火墙的80、443端口。 前提条件 有公网IP。 已经在CloudFlare注册了顶级域名。 设置动态域名 访问CloudFlare,在顶级域名上为防火墙添加一条A记录。IPv4地址可以随便输入,因为后面可以通过OPNsense防火墙的动态域名程序自动修改,代理选项暂时不选。本示例设置的动态域名为opnw...
在前面的文章中,我们已经通过自签名证书,实现了远程使用SSL连接访问防火墙。本文将介绍内网服务器(例如群晖NAS),通过防火墙证书进行SSL安全访问的方法。 本教程使用的防火墙软件版本为pfSenseplus23.05,防火墙SSL证书配置请参考pfSense使用CloudFlare动态域名,配置Let’sEncrypt证书实现SSL安全访问,本文介绍HAProxy的配置过程。 安装HAProxy插件 转到系统>插件管理,可用插件选项卡,找到haproxy-devel,然后单击右侧按钮进行安装。 添加防火墙规则 在对应的WAN接口上,为NAS的访问开放一个前端端口,本示例使用9443端...
本文以博主家庭网络为例,介绍在旁路由上配置CloudFlare动态域名并安装ACME证书,实现远程SSL访问的方法。博主家庭网络主路由为华为P812E光猫,采用路由模式,除了负责拨号,还要为四个86面板AP提供Poe供电。四个面板组成Mesh网络,由一台r6s旁路由负责分配DHCP,并提供其他服务。 设置动态域名的前提条件:光猫拨号后获取的必须是公网地址。 一、P812E开启端口转发 进入P812E光猫Web设置界面,转到高级设置>转发规则>IPv4端口映射,添加一条映射规则。由于运营商一般都将公网常用的80、443、8080等端口屏蔽,我们选择一个可用的端口进行映射。在本示例使用...
如果出口网络是IPv4公网,但又有IPv6的使用需求,可以通过建立IPv6隧道来实现一些IPv6的应用。下面介绍配置HE IPv6隧道的方法。 注意:使用公共IPv6隧道可能会影响一些网站的访问,例如Netflix,因为隧道会被视为“代理”。HE也不允许Cloudflare的入站连接(除非支付费用)。 配置IPv6隧道,防火墙必须具备公网IPv4地址,如果是动态公网IP,还需要配置HE动态DNS。 添加防火墙规则 如果WAN地址无法ping通,则HE隧道无法建立。导航到防火墙>规则策略,WAN选项卡上,添加一条允许来自HE的ping规则,这里的源可以先设置为any。 待H...