10.0.0.0/8IPSec 터널을 통해 연결하려는 서브넷이 있는 두 개의 네트워크가 있습니다 . 1단계 구성은 작동하지만 2단계 구성에서는 약간 정체됩니다. 사용되는 각 방화벽은 pfSense를 실행하고 있습니다. 이를 구성하고 싶은 두 가지 주요 사례가 있습니다.
사례 1:/32네트워크를 다른 네트워크에 노출시키는 가상 NAT 주소입니다 .
Network A:
방화벽 0: 10.1.1.1/8
NAT에 대한 서브넷:10.9.9.0/24
Network B:
방화벽 1: 10.1.1.1/8(에 대한 통과 Firewall 2)
방화벽 2: ( IPSec 터널 10.27.1.1/16관리 ) 다음의 노출된 NAT 주소 :Network BNetwork B10.27.254.9/32
이는 에서 관리하는 NAT 규칙을 사용하여 LAN 서브넷이 포함된 WAN 주소에 방화벽을 연결하는 것과 Network A비슷 합니다 .Network B10.27.254.9/3210.9.9.0/24Firewall 0
사례 2:/24다음과 같은 방식으로 두 네트워크에 각각 액세스하기 위한 서브넷입니다 .
Network A:
방화벽 0: 10.1.1.1/8
번역할 서브넷: 10.31.1.0/24
번역 대상 Network B:10.254.31.0/24
Network B:
방화벽 1: 10.1.1.1/8(에 대한 통과 Firewall 2)
방화벽 2: ( IPSec 터널 10.58.1.1/16관리 ) 번역할 서브넷: 번역 대상 :Network B10.58.1.0/24Network A10.254.58.0/24
그래서 Network A나는 에서 핑 10.254.58.72하고 도달 10.58.1.72할 수 Network B있고 비슷하게 핑 하고 10.254.31.81에 Network B도달할 수 10.31.1.81있습니다 Network A. /16제한 사항 으로 인해 이것이 가능하지 않은 경우 Firewall 2IPSec 1단계 및 2단계 구성을 이 구성으로 이동할 수 있습니다 . 하지만 변환된 서브넷이 의 서브넷 내에서만 표시되도록 Firewall 1하는 것이 선호됩니다 .10.254.31.0/2410.58.0.0/16Network B
어떤 도움이라도 주시면 감사하겠습니다. 저는 한동안 이러한 2단계 IPSec 구성에 대해 고민해 왔습니다.