通过站点到站点 VPN 引导流量时出现问题

Question

这里有几个问题，混杂在一起。

如果 DC2 可以 ping 通 DC1，但 DC1 不能 ping 通，那么很可能是 pfSense 防火墙正在伪装其后面的 192.168.1.0/24 网络。这将导致在网络的其余部分，来自 DC2 的数据包实际上看起来好像来自 192.168.3.100。当它们返回时，防火墙会捕获它们，执行去伪装，一切正常。
但是，这现在产生了一个问题，因为对于 192.168.1.0/24 之外的世界来说，该网络已变得无法路由。由于所涉及的所有网络都是私有网络，我建议删除伪装，而只需使用防火墙和一些适当的路由。
Rv082(A) 不知道 192.168.1.0/24 网络的存在，因为它隐藏在 pfSense 防火墙后面。因此，要做的第一件事就是将静态路由放入该设备，告诉它将 192.168.1.0/24 的所有流量路由到 VPN 隧道。
现在确保在 pfSense 防火墙中只安装了必要的过滤器并且所有 NATting 均已禁用。

如果出于某种原因您无法或不想删除伪装，则必须在 pfSense 中为每个必须可从外部访问的设备和服务创建端口转发规则。并且您需要运行拆分 DNS，因为现在必须根据客户端所在的位置将相同的名称解析为不同的 IP 地址。这会很快变得非常混乱，我建议不要这样做，除非真的没有其他选择。

如果您不喜欢静态路由，您也可以在 pfSense（不确定它是否具有这些功能）和 RV082 设备（如果有的话）中启用 RIP 或 OSPF，但这个答案会变得更长，所以请先尝试静态路由。

Answer 1

这里有几个问题，混杂在一起。

如果 DC2 可以 ping 通 DC1，但 DC1 不能 ping 通，那么很可能是 pfSense 防火墙正在伪装其后面的 192.168.1.0/24 网络。这将导致在网络的其余部分，来自 DC2 的数据包实际上看起来好像来自 192.168.3.100。当它们返回时，防火墙会捕获它们，执行去伪装，一切正常。
但是，这现在产生了一个问题，因为对于 192.168.1.0/24 之外的世界来说，该网络已变得无法路由。由于所涉及的所有网络都是私有网络，我建议删除伪装，而只需使用防火墙和一些适当的路由。
Rv082(A) 不知道 192.168.1.0/24 网络的存在，因为它隐藏在 pfSense 防火墙后面。因此，要做的第一件事就是将静态路由放入该设备，告诉它将 192.168.1.0/24 的所有流量路由到 VPN 隧道。
现在确保在 pfSense 防火墙中只安装了必要的过滤器并且所有 NATting 均已禁用。

如果出于某种原因您无法或不想删除伪装，则必须在 pfSense 中为每个必须可从外部访问的设备和服务创建端口转发规则。并且您需要运行拆分 DNS，因为现在必须根据客户端所在的位置将相同的名称解析为不同的 IP 地址。这会很快变得非常混乱，我建议不要这样做，除非真的没有其他选择。

如果您不喜欢静态路由，您也可以在 pfSense（不确定它是否具有这些功能）和 RV082 设备（如果有的话）中启用 RIP 或 OSPF，但这个答案会变得更长，所以请先尝试静态路由。

相关内容