我有两个 pfSense 集群,一个是 2.1.4,一个是 2.1.3。
这方向建议手动出站 NAT是必需的,但是 2.1.3 集群使用自动 NAT、服务器和所有内容(包括 SSH 和 OpenVPN)运行良好。
2.1.4 集群正在使用手动出站 NAT,这造成了麻烦。NAT 有三条自动添加的规则 - 标记为:
- 自动创建 ISAKMP 规则 - LAN 到 WAN
- 自动创建 LAN 到 WAN 规则
- 自动创建本地主机到 WAN 的规则
这些也是为我们的内部网络 (192.168.6.0/24) 和我们的开发网络 (10.2.0.0/8) 创建的。有两条手动规则:
- OpenVPN 客户端 (192.168.7.0/24) 到外部的 IP 是 NAT
- 从 Internet 网络到 Dev 网络的 IP 都是 NAT
该防火墙集群是一个测试集群 - 然后主要被分解为单个系统生产防火墙 - 现在又恢复为集群....并且在此过程中经历了许多 IP 变化。
现在已将 NAT 设置为群集地址,但 OpenVPN 仍使用主地址。我遗漏了什么?我应该返回自动 NAT 吗?另一方面,如果我将 2.1.4 群集移至手动 NAT(以处理通过 VPN 与辅助地址的通信),是否会引起问题?
编辑我应该指出,其他一切似乎都正常工作 - 包括 SSH 到集群地址,传出 HTTP 显示集群地址,等等。SSH 当然是端口 22 - 而 OpenVPN 是 1194(超过 1024)。OpenVPN 客户端工作正常(站点到站点 VPN)。似乎只有来自端口 1194 上的 OpenVPN 服务器的传出流量不是 NAT。
我尝试在端口 23 上运行 OpenVPN,并使用适当的防火墙规则 - 但它仍然从 WAN 地址而不是集群地址发送回复。
更新我确实提到了哪里出了问题,但没有明确指出。这是我所期望的:
- 数据包到达端口 1194 上的群集 IP。
- 数据包已被 OpenVPN 服务器接受。
- 数据包被发送回源集群 IP在端口 1194 上。
这是我所看到的:
- 数据包到达端口 1194 上的群集 IP。
- 数据包已被 OpenVPN 服务器接受。
- 数据包被发送回源主要 IP在端口 1194 上。
您建议检查OpenVPN服务器绑定的IP;任何并改为集群 IP;尚未测试过。
答案1
问题实际上比听起来简单得多。OpenVPN 服务器配置为监听接口任何;当我将界面改为集群 IP,一切开始正常运转。(界面是 OpenVPN 服务器配置选项卡中的下拉菜单之一。)
这解决了出现的两个问题。
首先,它监听“所有”接口,但不监听集群 IP,因为集群 IP 不包含在其“所有”定义中。将接口更改为监听集群 IP 会使服务器只监听该接口,但无论如何,这是所需的行为。
其次,当接口被列为任何系统不会将 OpenVPN 视为故障转移的一部分。因此,所有集群节点上的 OpenVPN 都会尝试运行。转换为监听集群 IP,这会导致系统识别出 OpenVPN 将进行故障转移,并且它在所有节点上都能正常工作。
问题解决了。好极了!