我目前正在通过 Pfsense 测试我们的 OpenVPN 设置,我们在网络上运行了 2 个 Pfsense,
- 作为 LAN 网络的默认网关作为主防火墙。
- 对于 OpenVPN 客户端来说作为辅助防火墙。
根据我的测试,我成功地将 OpenVPN 客户端连接到辅助 Pfsense,但是除了 OpenVPN Pfsense LAN 接口 192.168.0.4 之外,我无法 ping 通 LAN 设备。我还在 OpenVPN 服务器设置中设置了可从远程端点访问的 Ipv4 本地网络,即 192.168.0.0/24 LAN。现在我们的 LAN 设备指向 192.168.0.1,即主 pfsense。但是当我尝试使用其中一个 LAN 设备更改默认网关时,从 OpenVPN 客户端 ping 时可以收到回复。我还尝试向主 pfsense 和 OpenVPN 隧道网络 192.168.3.0/24 的 ISP 调制解调器添加静态路由,从 OpenVPN 客户端 ping 时没有收到回复。
我想问一下是否可以设置静态路由?或者我是否缺少任何配置?比如防火墙规则或 NAT?还是其他方式?
这是设置的拓扑:
在此处输入图片描述
请启发我的知识。
谢谢
答案1
理想的做法是配置 VPN 子网的路由(192.168.3.0/24)每一个局域网主机作为192.168.0.4该路由的网关/下一跳(显然最简单的方法是使用 DHCP 宣布这种路由。)
您也可以直接在 上添加该路由MAIN PFSENSE,因为它是所有 LAN 主机的默认网关。但通信将不对称,因为来自 LAN 主机的回复将首先转到MAIN PFSENSE。(您可以设置策略路由,使从 VPN 到 LAN 主机的流量MAIN PFSENSE也首先转到。不确定这样做是否有意义。无论哪种方式都不完全理想,但大多数情况下可能仍会有效。)
或者,您可以对来自 VPN 客户端到 LAN 主机的流量进行 IP 伪装/NAT,使流量看起来源自SECONDARY PFSENSELAN 主机。显然,注意事项是 NAT 附带的正常注意事项。