我有一个带有 IPsec VPN 的 OPNsense 设备,可以正常连接到远程站点。来自 LAN 的所有流量都应通过 VPN,因此我按如下方式配置了第 2 阶段:
- 本地子网:LAN 网络
- 远程子网:0.0.0.0/0
现在,来自我的 LAN 的所有流量都进入隧道。但是,这意味着即使是发往防火墙本身的 IP 数据包也会通过 VPN 路由。我可以在远程网关上看到它们,它们在那里被丢弃(显然)。因此,我无法再从我的 LAN 接口访问 OPNsense Web UI。其他接口继续按预期工作。
如何防止 OPNsense 将直接发往其自身接口的流量发送到 VPN 隧道?
我的第一个想法是添加一条静态路由,但我不确定是否可行,因为没有下一跳。
请注意,这不是关于重新获得管理 UI 访问权限的问题,我知道如何做到这一点。我想要做的是允许来自 LAN 的访问,同时将其他 LAN 流量发送到隧道中。
答案1
您对静态路由的想法是正确的。路由的优先级取决于其具体程度。
0.0.0.0/0 是最通用的,应该始终最后评估。
我建议设置一条与远程网络匹配的路由,而不是只设置一条0.0.0.0/0。类似于10.2.0.0/16或任何与您的网络匹配的路由。您还可以为本地网络创建一个路由,例如10.1.0.0/16(或其他),以确保它可以连接到本地设备。