1.分公司与总部通过IPSec连接使内网互通后,ipsec隧道已经建立后。
2.在分公司上新增互联网路由推到总公司。
3.总部添加和步骤2对应的路由。
测试环境:
2台pfSense
启用IPSec
参考:
通过站点到站点 IPsec 隧道路由 Internet 流量
可以在运行 pfSense® 软件的防火墙上使用 IPsec 进行发送 来自远程站点的 Internet 流量,使其似乎来自远程站点 另一个位置。如果供应商需要该连接,则可能需要这样做 源自特定地址。
此隧道的基础是有效的站点到站点 IPsec VPN,如使用预共享密钥的 IPsec 站点到站点 VPN 示例中所述。有关详细说明,请参阅该食谱。 这里只会提到与该食谱的差异。
提醒一下,此示例使用两个站点:
站点 A 是主站点。Internet 流量将退出此位置。
站点 B 是具有 LAN 子网的远程办公室。这是 将穿过隧道并到达互联网的本地流量来源 通过站点 A。10.5.0.0/24
与具有预共享密钥的 IPsec Site-to-Site VPN 示例中的隧道的唯一区别是:
站点 A,第 2 阶段
本地网络
0.0.0.0/0
B站点,2期
远程网络
0.0.0.0/0
这将导致防火墙通过以下方式发送来自 LAN 的所有流量 到隧道远程端的 IPsec 隧道。
允许 IPsec 流量通过防火墙
由于此隧道必须传递来自 Internet 的流量,因此防火墙规则必须 要相当宽容。站点 A 上的规则需要传递来自源的流量 站点 B 的 LAN () 到任何目的地。10.5.0.0/24
提示
防止站点 B 访问站点 A 或站点上的敏感本地资源 连接到其他 VPN,将阻止规则置于传递 互联网流量。
站点 B 的规则不一定必须允许大量流量回流 除非站点 B 上有公共资源,这些资源将覆盖整个 隧道(例如 1:1 NAT、端口转发)。
配置出站 NAT
要使站点 B 访问 Internet,站点 A 必须在 离开 WAN 时来自站点 B LAN () 的流量。10.5.0.0/24
为此,请首先更改站点 A 防火墙上的出站 NAT 模式:
导航到防火墙> NAT,“出站”选项卡
将出站 NAT 模式设置为混合出站 NAT
注意
如果站点 A 已使用此模式或设置为“手动”,则不要更改 模式。
点击保存
使用此模式将允许默认的自动 NAT 规则继续工作 不需要完整的手动规则集。现在,将自定义规则添加到 与站点 B 匹配的列表:
单击“添加” FA-升级
设置以下值:
源
网络,10.5.0.0/24
目的地
任何
翻译地址
接口地址
描述
NAT for IPsec tunnel Site B
点击保存
单击应用更改。
新条目现在位于出站 NAT 规则列表中。
此时,站点 B 将通过 IPsec 建立有效的 Internet 连接 隧道和站点 A 的 Internet 提供商。来自站点 B 的任何 Internet 流量 看起来好像来自站点 A。