我已经设置了一个分布式网络,如下图所示。子网 x.15.x 是一个远程子网,通过 IPsec VPN 连接到内部 LAN。防火墙有 3 个接口,一个连接到网络,一个连接到 x.2.x 子网,一个连接到 x.3.x 子网。
- 当我从 192.168.2.10 ping 192.168.3.25 时,我得到了响应。
- 当我尝试从 192.168.15.50 ping 192.168.3.25 的外部 IP 地址时,我得到了响应。
然而;
- 当我尝试从 IPsec 连接上的客户端(例如 192.168.15.50)对其进行 ping 时,我得到了请求超时。
我是否缺少 IPsec 网络的主体?如何让它将数据发送到 x.3.x 子网?
防火墙是 pfSense,服务器是 Windows Server 2008 R2。隧道是通过互联网的 IPsec 隧道。
答案1
我怀疑,由于这两个网络位于防火墙上的不同接口上,x.2.x 子网和 x.3.x 子网将需要单独的 IPSec VPN 连接到另一侧的 x.15.x 子网。
对 OP 评论的回应:因此,如果我将 x.3.x 子网迁移到同一个 NIC,这可以工作吗?
可能吧,但我不确定。如果您将两个接口 IP 都安装在同一个 NIC 上,则可能需要两个隧道。但是,如果您通过将子网掩码减小 1 位(255.255.254.0),您可以将 x.3.x 设备放到 x.2.x 物理网络上。只要您可以更新 VPN 以使用较小的子网掩码,它就应该可以工作。可能还有其他考虑因素,例如 DHCP 和 x.3.x 设备的默认网关。我怀疑建立第二条隧道会更干净。
答案2
这很可能是路由问题。
防火墙必须将 x.15.y 子网的流量路由到隧道中,并且必须将出隧道的流量路由到相关子网(这应该自动发生,因为这些子网是直接连接的。
此外,另一端的路由器必须将 x.2.y 和 x.3.y 网络的流量路由到隧道中。
目前看来 x.15.y 网络上的路由器不会这样做。发生超时是因为 x.15.7 端的路由器没有特定路由,因此尝试通过默认路由发送数据包(即进入公共互联网,在那里数据包无法路由,因此会丢失)。