我想在家里的 PFSense 盒子上设置 vpn 服务。PFSense 已配置完毕,在我的家庭网络上运行良好。
问题是,我只能通过 vpn 隧道访问 wan 地址,而无法访问家庭 LAN 中的设备/地址。
我检查了防火墙规则是否缺失/被阻止,没有阻止规则,防火墙日志也没有打印出受影响 IP 的任何被阻止的流量。通过 VPN 隧道的所有流量都可以访问 0.0.0.0 /0,这应该意味着 WAN+LAN,对吗?
如果我在 PFSense 盒上执行数据包捕获并从 vpn 客户端 PC 触发 ping,则数据包捕获输出:
21:26:10.355756(真实,机密):SPI 0xcd64b046:IP 10.0.40.1 > 10.0.100.1:ICMP 回显请求,ID 1,序列号 7219,长度 40
下面有一些配置值:
家里的 PFSense 盒子:
IP:10.0.200.1
掩码:/16 (255.255.0.0)
这个盒子是网络中的主路由器(网关)。
VPN 设置(家中的 PFSense 盒子):
IPSec - 移动客户端:
向客户端提供虚拟 IP 地址 - 已勾选
虚拟 IP 地址池:10.0.40.0 / 24
提供可访问网络的列表 - 已勾选
IPSec-阶段2,本地网络:0.0.0.0 /0
您知道问题可能出在哪里吗?
答案1
问题是 vpn 虚拟地址池位于真实子网内。因此,如果服务器(或局域网中的任何设备)尝试响应该请求,则它没有使用网关,因为它正在搜索(arp 请求)本地局域网。
所以我刚刚将 vpn 虚拟地址池从10.0.40.0 /24到10.40.0.0 /24现在一切正常。
PFSense 框上的数据包捕获和服务器端的 icmp 数据包的 tcpdump 使我找到了这个解决方案。