我正在尝试解决我的设置上的问题,请您帮助。
情况就是这样。
站点 1
通过 4G/LTE 提供商建立互联网连接,具有 natted 连接 pfSense 防火墙 172.20.0.0/25 LAN 子网 NAS 服务器(172.20.0.10)
站点 2
通过光纤提供商的互联网连接,具有静态和公共 IP 地址 pfSense 防火墙下游到提供商路由器(172.16.0.2 WAN IP 和 172.16.0.1 WAN 网关)172.30.0.0/25 LAN 子网
IPsec VPN
我在两个站点之间建立了 IPsec 隧道,始终由站点 1 发起(因为 IP 是动态和经过网络地址转换的)。隧道使用 vti 模式,两端均使用静态路由。172.19.250.1 站点 1 的隧道 IP 172.19.250.2 站点 2 的隧道 IP
通过此设置,我能够从任一站点正确访问两个站点上的资源,也可以通过 OpenVPN 连接访问(我从互联网连接到站点 2,并且也能够访问站点 1)。
现在我需要使用站点 2 的公共 IP 从互联网直接访问站点 1(NAS 的一个端口)上的资源。
因此,我在站点 2 上创建了一个 NAT 规则,将所需的端口转发到站点 1 上 NAS 的私有 IP。我还创建了一个出站 NAT 来伪装来自互联网的源的公共 IP,以防止站点 1 直接通过互联网回复,而不是从 VPN 隧道和站点 2 IP 回复。
该设置似乎有效,并且站点 1 中的 NAS 接收连接(来自正确的 IP),但是响应并未离开站点 1 上的防火墙。
防火墙日志中没有列出被阻止的连接,这是从两侧(左侧为站点 1,右侧为站点 2)的状态视图。
这是端口转发规则: 端口转发规则
这是出站 NAT 规则: 出站 NAT 规则
你有什么建议吗?我遗漏了什么?
提前致谢!
爱德华多
答案1
听起来这可能是非对称路由的问题。防火墙可能会拒绝出站数据包,因为它可能无法看到 TCP 握手的所有阶段。只是猜测...