分公司通过总部专线出口IP上外网


1.分公司与总部通过IPSec连接使内网互通后,ipsec隧道已经建立后。
2.在分公司上新增互联网路由推到总公司。
3.总部添加和步骤2对应的路由。

测试环境:
2台pfSense
启用IPSec

参考:
通过站点到站点 IPsec 隧道路由 Internet 流量

可以在运行 pfSense® 软件的防火墙上使用 IPsec 进行发送 来自远程站点的 Internet 流量,使其似乎来自远程站点 另一个位置。如果供应商需要该连接,则可能需要这样做 源自特定地址。

此隧道的基础是有效的站点到站点 IPsec VPN,如使用预共享密钥的 IPsec 站点到站点 VPN 示例中所述。有关详细说明,请参阅该食谱。 这里只会提到与该食谱的差异。

提醒一下,此示例使用两个站点:

站点 A 是主站点。Internet 流量将退出此位置。

站点 B 是具有 LAN 子网的远程办公室。这是 将穿过隧道并到达互联网的本地流量来源 通过站点 A。10.5.0.0/24

与具有预共享密钥的 IPsec Site-to-Site VPN 示例中的隧道的唯一区别是:

站点 A,第 2 阶段
本地网络
0.0.0.0/0

B站点,2期
远程网络
0.0.0.0/0

这将导致防火墙通过以下方式发送来自 LAN 的所有流量 到隧道远程端的 IPsec 隧道。

允许 IPsec 流量通过防火墙

由于此隧道必须传递来自 Internet 的流量,因此防火墙规则必须 要相当宽容。站点 A 上的规则需要传递来自源的流量 站点 B 的 LAN () 到任何目的地。10.5.0.0/24

提示

防止站点 B 访问站点 A 或站点上的敏感本地资源 连接到其他 VPN,将阻止规则置于传递 互联网流量。

站点 B 的规则不一定必须允许大量流量回流 除非站点 B 上有公共资源,这些资源将覆盖整个 隧道(例如 1:1 NAT、端口转发)。

配置出站 NAT

要使站点 B 访问 Internet,站点 A 必须在 离开 WAN 时来自站点 B LAN () 的流量。10.5.0.0/24

为此,请首先更改站点 A 防火墙上的出站 NAT 模式:

导航到防火墙> NAT,“出站”选项卡

将出站 NAT 模式设置为混合出站 NAT

注意

如果站点 A 已使用此模式或设置为“手动”,则不要更改 模式。

点击保存

使用此模式将允许默认的自动 NAT 规则继续工作 不需要完整的手动规则集。现在,将自定义规则添加到 与站点 B 匹配的列表:

单击“添加” FA-升级

设置以下值:


网络,10.5.0.0/24

目的地
任何

翻译地址
接口地址

描述
NAT for IPsec tunnel Site B

点击保存

单击应用更改。

新条目现在位于出站 NAT 规则列表中。

此时,站点 B 将通过 IPsec 建立有效的 Internet 连接 隧道和站点 A 的 Internet 提供商。来自站点 B 的任何 Internet 流量 看起来好像来自站点 A。

参考:
FortiGate IPSec+策略路由实现流量的路径分发


local 2024年1月2日 21:25 收藏文档