OPNsense 防火墙系列二:SSL 证书和监听端口更改
SSL 证书
默认
OPNsense 在初始化时,就默认监听 80 和 443 端口,强制 SSL 跳转,规定使用自签名的证书,有效期一年.
我们只需要添加第三方证书并设置使用即可。
申请证书
需要拥有自己的域名。
参阅 树莓派/Debian Apache2 安装腾讯云 SSL 证书 - Yogile - 博客园 (cnblogs.com) 中关于申请免费 SSL 证书的部分。
添加证书
在 系统 -> 证书 -> 证书 中,添加:
| 项目 | 值 | 说明 |
|---|---|---|
| 方法 | 导入一个现有证书 |
|
| 描述名称 | 建议填写证书的域名 | |
| 证书数据 | 复制粘贴 .crt 文件内容 |
使用 Nginx 证书 |
| 私钥数据 | 复制粘贴 .key 文件内容 |
使用 Nginx 证书 Key |
保存,并应用更改。
更换使用证书
在 系统 -> 设置 -> 管理 中,配置:
| 项目 | 子项目 | 值 | 说明 |
|---|---|---|---|
| Web GUI | |||
| SSL证书 | 选择添加证书时填写的描述名称 | ||
| STS | 勾选,启用HTTP严格传输安全 | ||
| 备用主机名 | 填写申请证书的域名 |
保存,并应用更改。
注意, 备用主机名 一定要填写证书域名,否则在通过 WAN 地址 访问 OPNsense 时不会放行:
A potential DNS Rebind attack has been detected.
Try to access the router by IP address instead of by hostname. You can disable this check if needed under System: Settings: Administration.
HTTPS 监听端口
在 系统 -> 设置 -> 管理 中,配置:
| 项目 | 子项目 | 值 | 说明 |
|---|---|---|---|
| Web GUI | |||
| TCP端口 | 建议在 8000 以后 |
这里举例选取为 9443 |
保存,并应用更改。
在 防火墙 -> 规则 -> WAN 中,添加:
| 项目 | 值 | 说明 |
|---|---|---|
| 操作 | 通过 |
|
| 接口 | WAN |
|
| 方向 | in |
|
| TCP/IP版本 | IPv4+IPV6 |
|
| 协议 | TCP/UDP |
|
| 源 | any |
|
| 目标 | WAN 地址 |
|
| 目标端口范围 | 从 (其他) 9443 |
|
到 (其他) 9443 |
保存,并应用更改,重启主机。
然后即可通过 https://192.168.1.1:9443/ (内网)和 https://<域名>:9443 (外网)访问。
若修改终端自身的 HOSTS 将域名指向内网,也可使用域名访问。
待后一篇阿里云 aliddns 配置后,内外网均可访问。
