pfSense 集群无法与手动 NAT 配合使用

pfSense 集群无法与手动 NAT 配合使用

我有两个 pfSense 集群,一个是 2.1.4,一个是 2.1.3。

方向建议手动出站 NAT是必需的,但是 2.1.3 集群使用自动 NAT、服务器和所有内容(包括 SSH 和 OpenVPN)运行良好。

2.1.4 集群正在使用手动出站 NAT,这造成了麻烦。NAT 有三条自动添加的规则 - 标记为:

  • 自动创建 ISAKMP 规则 - LAN 到 WAN
  • 自动创建 LAN 到 WAN 规则
  • 自动创建本地主机到 WAN 的规则

这些也是为我们的内部网络 (192.168.6.0/24) 和我们的开发网络 (10.2.0.0/8) 创建的。有两条手动规则:

  • OpenVPN 客户端 (192.168.7.0/24) 到外部的 IP 是 NAT
  • 从 Internet 网络到 Dev 网络的 IP 都是 NAT

该防火墙集群是一个测试集群 - 然后主要被分解为单个系统生产防火墙 - 现在又恢复为集群....并且在此过程中经历了许多 IP 变化。

现在已将 NAT 设置为群集地址,但 OpenVPN 仍使用主地址。我遗漏了什么?我应该返回自动 NAT 吗?另一方面,如果我将 2.1.4 群集移至手动 NAT(以处理通过 VPN 与辅助地址的通信),是否会引起问题?

编辑我应该指出,其他一切似乎都正常工作 - 包括 SSH 到集群地址,传出 HTTP 显示集群地址,等等。SSH 当然是端口 22 - 而 OpenVPN 是 1194(超过 1024)。OpenVPN 客户端工作正常(站点到站点 VPN)。似乎只有来自端口 1194 上的 OpenVPN 服务器的传出流量不是 NAT。

我尝试在端口 23 上运行 OpenVPN,并使用适当的防火墙规则 - 但它仍然从 WAN 地址而不是集群地址发送回复。

更新我确实提到了哪里出了问题,但没有明确指出。这是我所期望的:

  1. 数据包到达端口 1194 上的群集 IP。
  2. 数据包已被 OpenVPN 服务器接受。
  3. 数据包被发送回源集群 IP在端口 1194 上。

这是我所看到的:

  1. 数据包到达端口 1194 上的群集 IP。
  2. 数据包已被 OpenVPN 服务器接受。
  3. 数据包被发送回源主要 IP在端口 1194 上。

您建议检查OpenVPN服务器绑定的IP;任何并改为集群 IP;尚未测试过。

答案1

问题实际上比听起来简单得多。OpenVPN 服务器配置为监听接口任何;当我将界面改为集群 IP,一切开始正常运转。(界面是 OpenVPN 服务器配置选项卡中的下拉菜单之一。)

这解决了出现的两个问题。

首先,它监听“所有”接口,但不监听集群 IP,因为集群 IP 不包含在其“所有”定义中。将接口更改为监听集群 IP 会使服务器只监听该接口,但无论如何,这是所需的行为。

其次,当接口被列为任何系统不会将 OpenVPN 视为故障转移的一部分。因此,所有集群节点上的 OpenVPN 都会尝试运行。转换为监听集群 IP,这会导致系统识别出 OpenVPN 将进行故障转移,并且它在所有节点上都能正常工作。

问题解决了。好极了!

相关内容