我有一个 pfSense 网关,它连接到 ISP 并获取一个公共地址。它可以毫无问题地处理服务器和客户端。我将另一个 pfSense 连接到该网关,以进行尝试并测试,而不会破坏 PF01 网络中的内容。
我现在遇到的问题是无法从 vpn 访问 PF02 的网络。
下面是一张漂亮的图表来说明我的意思:
- “我”(使用 vpn)和“管理员”(本地)可以访问 PF01 和 PF02 背后发生的情况。
- (不是图片)admin02 也位于 pf01 和 pf02 之间,但在完全不同的接口/网络上,无法连接到 PF02,只能连接到 PF01。
我希望能够从“admin02”访问 PF02,而无需通过 PF01(无论如何它不起作用)。
我的配置:
OPENVPN 配置为提供地址 xxxx/x 并允许访问 PF02 的 lan 接口。我将 openvpn 客户端配置为通过 ddns 进行访问。它配置为通过公共地址,并且运行正常,我可以使用那个域名从“ME”访问“其他 Web 服务器”。
在 PF01 中,我将任何内容转发到 wan-of-PF02:1194 在 PF02 中,我有一条规则将任何内容传递到 wan:1194,另一条规则在 LAN 上用于任何/任何内容
openvpn 的系统日志(和数据包捕获)确实记录到有人尝试连接但总是握手失败。
我尝试寻找解决方案,但结果总是“不要进行双重 nat”,而这不是我想要的!
我确实在 PF01 和 PF02 之间测试了站点到站点(它正常工作、加入了域等等),但现在我真的想直接远程连接到第二个防火墙。
编辑:我注意到我忘了画里的东西,今天是加拿大国庆日,所以我会在周二回来编辑它。我重写了
答案1
您应该为内部 (me->pf02) 隧道选择另一种隧道机制。首先想到的是 ipsec 和 esp+nat-t。支持范围很广,但是如果您的旧 winxp(或类似系统)缺乏支持,则以 l2tp/mscchap2 的形式添加另一层,即使在那里也不会失败。但是,linux 对多种形式的 ipsec 都有出色的支持。
您选择 openvpn 有什么特别的原因吗?可能是因为设置简单,还是因为有其他更难克服的问题?