Siapkan terowongan VPN OPNsense ke Hetzner

Koneksi aman antara jaringan lokal Anda dan server Hetzner sangat penting bagi banyak perusahaan. Dengan sebuah Terowongan VPN OPNsense Anda dapat menghubungkan dua jaringan terpisah secara terenkripsi tanpa setiap server memerlukan IP publiknya sendiri. OPNsense di Hetzner menawarkan solusi yang fleksibel dan kuat untuk ini. Dalam posting ini kami akan menunjukkan cara membuatnya Terowongan VPN Situs-ke-Situs dengan OPNsense dan Hetzner membangun.

Persyaratan untuk terowongan VPN OPNsense

Sebelum Anda mendapatkannya Terowongan VPN OPNsense ke Hetzner Untuk menyiapkannya, beberapa komponen harus ada. Anda memerlukan dua instance OPNsense atau firewall lokal berkemampuan IPsec (misalnya juga dengan OPNsense) serta server Hetzner tempat OPNsense diinstal. Kedua instance ini kemudian dihubungkan menggunakan terowongan situs-ke-situs. Kedua sistem memerlukan alamat IP publik dan statis agar OPNsense VPN Hetznerkoneksi dapat dibuat.

Seperti dijelaskan dalam artikel kami sebelumnya tentang jaringan pribadi di Hetzner, OPNsense juga dapat bertindak sebagai gerbang untuk beberapa server dengan IP pribadi. A Terowongan VPN OPNsense memperluas konsep ini dengan menghubungkan dua infrastruktur tersebut secara aman.

Konfigurasikan VPN situs-ke-situs dengan IPSec

IPSec adalah protokol standar untuk Terowongan VPN OPNsense dan menawarkan metode yang telah terbukti untuk komunikasi jaringan-ke-jaringan yang aman di OPNsense. Terowongan ini mengenkripsi semua data antara kedua jaringan, sehingga Anda dapat berkomunikasi melalui internet publik tanpa khawatir.

Konfigurasi dari OPNsense VPN ke Hetzner dimulai pada instance OPNsense di Hetzner. Navigasi ke VPN > IPSec dan buat koneksi Fase 1 baru. Masukkan alamat IP publik firewall jarak jauh (firewall lokal Anda) dan pilih metode enkripsi aman seperti IKEv2. Setelah konfigurasi Tahap 1, Anda menentukan parameter Tahap 2 yang menentukan subnet jaringan mana yang akan dienkripsi oleh terowongan.

Untuk tahap 2, Anda menentukan subnet lokal (misalnya jaringan Hetzner pribadi Anda) dan subnet jarak jauh (jaringan lokal Anda). Hal ini memungkinkan kedua belah pihak untuk memahami dengan tepat apa yang dilalui lalu lintas Terowongan VPN OPNsense harus mengalir.

Nilai-nilai ini juga harus disimpan di firewall lokal Anda, tetapi justru sebaliknya.

Algoritme enkripsi juga harus dijaga sama di kedua sisi sehingga kedua firewall (OPNsense di Hetzner dan firewall lokal Anda) mengetahui cara data harus dienkripsi.

Aturan firewall untuk terowongan VPN

Langkah yang sering diabaikan adalah mengonfigurasi aturan firewall di kedua instance OPNsense. Itu Terowongan VPN OPNsense ke Hetzner hanya berfungsi jika lalu lintas data diizinkan secara eksplisit. Pergi ke Firewall > Aturan dan membuat aturan pada antarmuka IPSec yang mengizinkan lalu lintas terenkripsi.

Di kedua sisi Anda harus menentukan aturan untuk lalu lintas masuk dan keluar. Saat mengkonfigurasi a Terowongan VPN OPNsense Kami merekomendasikan pada awalnya untuk mengizinkan semua protokol untuk memastikan terowongan berfungsi, dan kemudian menerapkan aturan yang membatasi.

Siapkan rute statis di Hetzner

IPSec sendiri tidak memerlukan rute statis – terowongan bekerja melalui definisi Tahap 2. Namun, konfigurasi di Konsol Hetzner diperlukan: ​​Rute statis harus disimpan di jaringan pribadi Hetzner yang mengarahkan lalu lintas untuk jaringan lokal Anda ke firewall OPNsense.

Hal ini penting agar server di jaringan pribadi Hetzner mengetahui bahwa data untuk jaringan lokal Anda perlu dirutekan melalui instance OPNsense. Tanpa rute ini di infrastruktur cloud Hetzner, paket tidak akan terkirim Terowongan VPN OPNsense terarah dan komunikasi tidak berjalan.

Di Konsol Hetzner, navigasikan ke jaringan pribadi Anda dan tentukan rute di sana dengan parameter berikut: Jaringan default (0.0.0.0/0) → Gateway (IP pribadi firewall OPNsense di jaringan Hetzner pribadi). Setelah konfigurasi ini OPNsense VPN ke Hetzner berfungsi penuh.

Komunitas Hetzner memiliki petunjuk rinci tentang cara mengatur jaringan.

Pemantauan dan Pemecahan Masalah

Setelah pengaturan, Anda harus memeriksa secara rutin apakah Terowongan VPN OPNsense ke Hetzner aktif. Dasbor OPNsense dapat ditemukan di VPN > IPSec > Status gambaran rinci tentang semua terowongan aktif. Terowongan yang aktif menunjukkan bahwa koneksi berhasil dibuat.

Jika terowongan tidak aktif, periksa dulu parameter Fase 1 dan Fase 2. Masalah umum termasuk pengaturan enkripsi yang tidak konsisten atau informasi jaringan yang salah. Log OPNsense di bawah Sistem > Log > IPSec membantu mendiagnosis VPN OPNsense Masalah.

Untuk pemantauan profesional terhadap firewall OPNsense dan terowongan VPN Anda, kami sarankan menggunakan Checkmk. Dengan plugin Checkmk untuk memantau OPNsense, Anda dapat memantau semua metrik, status, dan peristiwa keamanan secara terpusat di dasbor pemantauan. Cari tahu lebih lanjut tentang layanan pemantauan Checkmk kami dan bagaimana Anda dapat mengamankan infrastruktur Anda secara optimal.

Kesimpulan: Keamanan VPN dengan OPNsense dari Hetzner

A Terowongan VPN OPNsense menyediakan cara yang aman dan hemat biaya untuk menghubungkan beberapa jaringan. Anda tidak memerlukan alamat IP publik tambahan untuk setiap server, menghemat biaya dan mendapatkan keuntungan dari kontrol keamanan pusat melalui OPNsense.

Jika Anda memerlukan bantuan untuk menyiapkannya Terowongan VPN OPNsense ke Hetzner Jika Anda membutuhkan sesuatu, jangan ragu untuk menghubungi tim kami. Kami membantu Anda mengonfigurasi dan mengoptimalkan infrastruktur Anda. Lihatlah layanan OPNsense kami atau hubungi kami langsung untuk mendapatkan saran pribadi.

Artikel OPNsense lainnya: Temukan lebih lanjut tentang topik ini di blog OPNsense kami, tempat kami secara rutin berbagi tips, konfigurasi, dan praktik terbaik tentang firewall, VPN, ketersediaan tinggi, dan pemantauan.