我有两个网络,其中的10.0.0.0/8子网我正尝试通过 IPSec 隧道进行连接。我已使用第 1 阶段配置,但在第 2 阶段配置上有点卡住了。使用的每个防火墙都在运行 pfSense。我想针对以下两种主要情况进行配置:
情况1:/32将一个网络暴露给另一个网络的虚拟 NAT 地址 。
Network A:
防火墙 0:10.1.1.1/8
子网到 NAT:10.9.9.0/24
Network B:
防火墙 1:(10.1.1.1/8直通Firewall 2)
防火墙 2:(10.27.1.1/16管理Network BIPSec 隧道)
公开的 NAT 地址Network B:10.27.254.9/32
这样Network A暴露出来的效果Network B或多或少就像是将防火墙插入到10.27.254.9/32包含 LAN 子网的WAN 地址10.9.9.0/24,并使用 NAT 规则进行管理Firewall 0。
案例 2:
一个/24子网以下列方式分别访问两个网络。
Network A:
防火墙 0:10.1.1.1/8
要转换的子网:10.31.1.0/24
转换于Network B:10.254.31.0/24
Network B:
防火墙 1:(10.1.1.1/8直通到Firewall 2)
防火墙 2:(10.58.1.1/16管理Network BIPSec 隧道)
要转换的子网:10.58.1.0/24
转换于Network A:10.254.58.0/24
这样,Network A我可以从 ping10.254.58.72并到达10.58.1.72,Network B同样,10.254.31.81从pingNetwork B并到达10.31.1.81。如果由于的限制而Network A无法做到这一点,我可以将此 IPSec 第 1 阶段和第 2 阶段配置移动到(尽管首选是使转换后的子网仅在上的子网内可见)。/16Firewall 2Firewall 110.254.31.0/2410.58.0.0/16Network B
任何帮助都将不胜感激,我已经为这些第 2 阶段 IPSec 配置绞尽脑汁一段时间了。