Ich habe zwei Netzwerke mit dem 10.0.0.0/8Subnetz, das ich über IPSec-Tunnel verbinden möchte. Die Konfigurationen der Phase 1 funktionieren, aber ich hänge bei den Konfigurationen der Phase 2 ein wenig fest. Auf jeder verwendeten Firewall läuft pfSense. Es gibt zwei Hauptfälle, für die ich diese konfigurieren möchte:
Fall 1:
Eine /32virtuelle NAT-Adresse, die ein Netzwerk einem anderen Netzwerk zugänglich macht.
Network A:
Firewall 0: 10.1.1.1/8
Subnetz zu NAT:10.9.9.0/24
Network B:
Firewall 1: 10.1.1.1/8(Passthrough zu Firewall 2)
Firewall 2: 10.27.1.1/16(verwaltet Network BIPSec-Tunnel)
Offengelegte NAT-Adresse auf Network B:10.27.254.9/32
Dies Network Aist Network Bmehr oder weniger so, als würde man eine Firewall an die WAN-Adresse anschließen, 10.27.254.9/32die das LAN-Subnetz 10.9.9.0/24mit von verwalteten NAT-Regeln enthält Firewall 0.
Fall 2:
Ein /24Subnetz, um auf folgende Weise in beide Richtungen auf zwei Netzwerke zuzugreifen.
Network A:
Firewall 0: 10.1.1.1/8
Zu übersetzendes Subnetz: 10.31.1.0/24
Übersetzung am Network B:10.254.31.0/24
Network B:
Firewall 1: 10.1.1.1/8(Passthrough zu Firewall 2)
Firewall 2: 10.58.1.1/16(verwaltet Network BIPSec-Tunnel)
Zu übersetzendes Subnetz: 10.58.1.0/24
Übersetzung am Network A:10.254.58.0/24
So dass Network Aich von aus einen Ping senden 10.254.58.72und 10.58.1.72auf erreichen könnte Network Bund ebenso 10.254.31.81von Network Bund 10.31.1.81auf erreichen könnte Network A. Wenn dies aufgrund der /16Einschränkung auf nicht möglich ist Firewall 2, könnte ich die IPSec-Konfigurationen für Phase 1 und Phase 2 für dieses hier auf verschieben Firewall 1(es wäre allerdings vorzuziehen, dass das 10.254.31.0/24übersetzte Subnetz nur innerhalb des 10.58.0.0/16Subnetzes auf sichtbar ist Network B).
Ich wäre für jede Hilfe dankbar, ich zerbreche mir schon seit einiger Zeit den Kopf über diese Phase-2-IPSec-Konfigurationen.