我有以下设置,并且想要从工作站通过它们的 IP 访问服务器 A 和服务器 B,无需 VPN 也无需端口转发。
到目前为止我已经尝试过:
- 在 pfsense_1 中,我添加了 192.168.1.46 作为网关(这是 pfsense_2 的 WAN IP)。
- 在 pfsense_1 中,我添加了 10.0.0.0/8 到 192.168.1.46 网关的静态路由。
- 在 pfsense_1 中,我在 LAN 接口上添加了一条规则,允许从(源)网络 - 192.168.1.0/24 访问(目标)网络 10.0.0.0/8。
- 在 pfsense_2 中,我添加了一条浮动规则,以允许 WAN 和 LAN 接口的任何 <-> 任何。
我这里遗漏了什么吗?两个 pfSense 服务器均在自动模式下启用了 NAT。
答案1
- 在 pfsense1 上,通过 192.168.1.46 添加到 10.0.0.0/8 的静态路由。
- 在 pfsense1 上,使用 WAN 路由器(“调制解调器”)作为默认网关。
- 在 pfsense2 和工作站上,使用 192.168.1.1 作为默认路由 (0.0.0.0/0)。
- 确保在两个防火墙上都添加允许所需流量的规则。
- 不要使用 NAT除了“调制解调器”路由器。NAT 仅在不同的地址域(通常是公共地址域与私有地址域)之间才需要,但除此之外,需要避免使用 NAT,因为它破坏了 IP 的端到端原则。
从概念上讲,您可能需要考虑在 LAN 交换机和 WAN 路由器之间使用单个防火墙(或 HA 集群)。在交换机上创建 VLAN 并将它们中继到单个 pfSense 更加灵活且维护成本更低。