Tengo un dispositivo OPNsense con una VPN IPsec para un sitio remoto, que funciona bien. Todo el tráfico de la LAN debe pasar por la VPN, así que configuré la Fase 2 así:
- Subred local: red LAN
- Subred remota: 0.0.0.0/0
Todo el tráfico de mi LAN ahora entra al túnel. Sin embargo, esto significa que incluso los paquetes IP que llegan al propio firewall se enrutan a través de la VPN. Puedo verlos en la puerta de enlace remota, donde se colocan (obviamente). Como consecuencia, ya no puedo acceder a la interfaz de usuario web de OPNsense desde mi interfaz LAN. Otras interfaces siguen funcionando como se esperaba.
¿Cómo puedo evitar que OPNsense envíe tráfico destinado directamente a sus propias interfaces al túnel VPN?
Mi primera idea fue agregar una ruta estática, pero no estoy seguro de si sería posible, ya que no hay un siguiente salto.
Tenga en cuenta que no se trata de recuperar el acceso a la interfaz de usuario de administración, sé cómo hacerlo. Lo que quiero hacer es permitir el acceso desde la LAN, mientras que el resto del tráfico de la LAN se envía al túnel.
Respuesta1
Estás en el camino correcto con la idea de la ruta estática. Las rutas se priorizan en función de su especificidad.
0.0.0.0/0 es el más genérico y siempre debe evaluarse al final.
Yo sugeriría establecer una ruta que coincida con la red remota por solo 0.0.0.0/0. Algo parecido 10.2.0.0/16o lo que sea que coincida con tus redes. También puede crear uno para la red local 10.1.0.0/16(o lo que sea) para asegurarse de que pueda conectarse a dispositivos locales.