Nat

在 pfSense 中使用 NAT 和 IP 別名通過 IPSec 路由流量

  • July 2, 2013

我有一個 pfSense 防火牆,我需要連接到一個遠端站點(來自我的客戶端)。我遇到了幾個問題,並且看不到流量以任何方式流動。

這是我的設置:

  • LAN192.168.0.0/16
  • 我有一個WAN介面作為預設網關。
  • 我有一個WAN2介面,我想將其用於通往遠端站點的隧道。
  • 遠端站點要求我使用 的本地 IP 進行連接172.27.10.0/24,否則將無法路由我的流量。他們的 IP 範圍(遠端)是10.100.0.0/16.

這是我已經做過的

  • 設置 IPSec 隧道。這有效,我可以連接。
  • IP Alias我在的LAN介面IP Addresses中創建了一個類型為 的虛擬 IP(防火牆 -> 虛擬 IP)172.27.10.0/24
  • 我在 System -> Routing 中添加了路由,所以10.100.0.0/16通過WAN2. 同樣172.27.10.0/24,我為該流量添加了一條路線WAN2
  • 在 Firewall -> NAT, Outbount 上,我為 WAN2、source 192.168.0.0/16、Destination10.100.0.0/16和 Translation Address 創建了我創建的 IP 別名 ( 172.27.10.0) 的規則。

通過所有這些設置,我無法連接到任何遠端地址。更重要的是,我沒有看到隧道連接,所以我猜它沒有得到它需要的流量。

我也沒有在防火牆日誌中看到任何有用的資訊。

我做的事情對嗎?(或稍微接近正確?)。

你不能這樣 NAT,它在 NAT 之前命中 IPsec。您必須在第 2 階段使用 2.1 及其 IPsec NAT 功能。您只能將 /24 映射到 /24,因此您將無法將整個內部 /16 映射到該 /24,只有 / / 16中的24。

引用自:https://serverfault.com/questions/519339