由于设计不佳和托管提供商的限制,我有一个无法控制路由器的网络。
我们的网络:172.16.0.0/12 - LAN xxx0/24 - WAN(路由器连接到交换机,我们无法控制它)192.168.253.0/24 - IPSec 客户端网络 172.16.0.50/12 - PFsense 内部 IP xxx251/24 - PFsense 互联网 IP
我们正在使用 PFSense 2.2.6。
我已经使用本指南配置了 IPsec 远程访问:https://doc.pfsense.org/index.php/IPsec_Road_Warrior/Mobile_Client_How-To
只要我向目标服务器添加静态路由(ip r add 192.168.253.0/24 via 172.16.0.50),它就可以正常工作。当然,在其他情况下它不会工作,因为我的主路由器不熟悉 PFsense,也不熟悉 LAN 段中的任何内容。它仅在 WAN 子网中有接口。
有没有办法让我的远程客户端在连接后拥有 172.16.0.0/12 子网内的 IP?我可以将它们的流量从 192.168.253.0/24 NAT 到 172.16.0.0/12 的某个地址吗?
请参阅附图。绿色部分是 LAN。我想使用 LAN IP 实现从隧道网络 (192.168.253.0/24) 到 LAN (172.16.0.0/12) 的 NAT。
谢谢!
答案1
找到解决方案。
在 LAN 接口上创建了出站 NAT 规则。源是隧道网络,目标是 LAN 网络。
源 IP 始终是防火墙 IP,但我可以接受。