由于某种原因,我们的分支机构无法连接到我们的内部网络。但是,我们可以从 PfSense 后面连接到分支机构域控制器。以下是我们的设置:
|Branch DC - 192.168.0.101
|
|Branch Firewall - 192.168.0.2
|
|(Internet)
|
|Local Firewall - 192.168.3.1
|
|PFSense WAN port - 192.168.3.100
|PFSense LAN port - 192.168.1.1
|
|
DC1 - 192.168.1.2|DC2 - 192.168.1.4
- 分支 DC 可以成功 ping 并连接到 WAN 端口上的 PFSense WebGUI(我们使用 PfSense 文档进行设置)。
- DC1 和 DC2 可以向外连接到分支 DC。
似乎有一条规则阻止 WAN 端口上的内部访问。但是我们的规则设置为允许 LAN 和 WAN 端口上的所有流量。由于我们已经有防火墙,所以最好完全禁用防火墙,但是当我们这样做时,PfSense 根本不允许任何内部流量。我期待任何帮助,并提前感谢您。
答案1
在没有看到您的 pfSense 规则的情况下,我倾向于说“按设计工作”——大多数防火墙都配置为防止外部(WAN 端口)的人访问内部(LAN 端口)的资源。
如果您想让外部人员进入,您需要打防火墙漏洞(包括 1:1 NAT 或端口重定向,如果您使用 NAT)或设置 VPN。后者在几乎所有情况下都是更好的解决方案...
答案2
正如 voretaq7 所建议的,站点到站点 VPN 对于您来说是一个很好的解决方案。
这里是 Sonicwall 和 pfSense 之间站点到站点 VPN 的绝佳示例。如果您使用任何其他防火墙,设置几乎都会大致相同。
如果您需要更多帮助来设置站点到站点的 VPN,请随时回来。
答案3
由于您仅将 pfSense 用于内部网络(没有直接连接到它的互联网连接),因此您应该禁用网络地址转换。内部 NAT 是一个坏主意 (tm)。
从 pfsense WebUI:“要完全禁用出站 NAT,请切换到手动出站 NAT,然后删除列表中出现的所有 NAT 规则。”(可以在防火墙 -> NAT -> 出站中找到)
此外,您需要确保 a) 分支有一条通往 192.168.1.0/24 的路由 b) pfSense 有一条通往 192.168.0.0/24(分支)的路由