リモート サイトへの IPsec VPN を備えた OPNsense デバイスがあり、正常に動作しています。LAN からのすべてのトラフィックは VPN を通過する必要があるため、フェーズ 2 を次のように構成しました。
- ローカルサブネット: LAN ネットワーク
- リモートサブネット: 0.0.0.0/0
現在、私の LAN からのすべてのトラフィックはトンネルに入ります。ただし、これはファイアウォール自体への IP パケットも VPN 経由でルーティングされることを意味します。リモート ゲートウェイでそれらを確認できますが、そこでドロップされます (当然のことですが)。その結果、私の LAN インターフェイスから OPNsense Web UI にアクセスできなくなりました。他のインターフェイスは期待どおりに動作し続けます。
OPNsense が自身のインターフェースに直接宛てたトラフィックを VPN トンネルに送信するのを防ぐにはどうすればよいですか?
最初に考えたのは静的ルートを追加することでしたが、ネクストホップがないのでそれが可能かどうかはわかりません。
これは管理 UI へのアクセスを回復することに関する質問ではないことに注意してください。その方法はわかっています。私がやりたいのは、他の LAN トラフィックがトンネルに送信される一方で、LAN からのアクセスを許可することです。
答え1
静的ルートの考え方は正しいです。ルートは、その詳細度に基づいて優先順位が付けられます。
0.0.0.0/0 は最も汎用的であり、常に最後に評価される必要があります。
代わりに、リモート ネットワークに一致するルートを設定することをお勧めします0.0.0.0/0。 またはネットワークに一致するものなど。 (または何でも)のようにローカル ネットワーク用に 1 つ作成して、ローカル デバイスに接続できるようにすることも10.2.0.0/16できます。10.1.0.0/16