在 pfSense 中使用 NAT 和 IP 別名通過 IPSec 路由流量

我有一個 pfSense 防火牆，我需要連接到一個遠端站點（來自我的客戶端）。我遇到了幾個問題，並且看不到流量以任何方式流動。

這是我的設置：

• LAN是192.168.0.0/16
• 我有一個WAN介面作為預設網關。
• 我有一個WAN2介面，我想將其用於通往遠端站點的隧道。
• 遠端站點要求我使用 的本地 IP 進行連接172.27.10.0/24，否則將無法路由我的流量。他們的 IP 範圍（遠端）是10.100.0.0/16.

這是我已經做過的

• 設置 IPSec 隧道。這有效，我可以連接。
• IP Alias我在的LAN介面IP Addresses中創建了一個類型為 的虛擬 IP（防火牆 -> 虛擬 IP）172.27.10.0/24。
• 我在 System -> Routing 中添加了路由，所以10.100.0.0/16通過WAN2. 同樣172.27.10.0/24，我為該流量添加了一條路線WAN2。
• 在 Firewall -> NAT, Outbount 上，我為 WAN2、source 192.168.0.0/16、Destination10.100.0.0/16和 Translation Address 創建了我創建的 IP 別名 ( 172.27.10.0) 的規則。

通過所有這些設置，我無法連接到任何遠端地址。更重要的是，我沒有看到隧道連接，所以我猜它沒有得到它需要的流量。

我也沒有在防火牆日誌中看到任何有用的資訊。

我做的事情對嗎？（或稍微接近正確？）。

你不能這樣 NAT，它在 NAT 之前命中 IPsec。您必須在第 2 階段使用 2.1 及其 IPsec NAT 功能。您只能將 /24 映射到 /24，因此您將無法將整個內部 /16 映射到該 /24，只有 / / 16中的24。

引用自：https://serverfault.com/questions/519339