Tenho um dispositivo OPNsense com VPN IPsec para um site remoto, que funciona bem. Todo o tráfego da LAN deveria passar pela VPN, então configurei a Fase 2 assim:
- Sub-rede local: rede LAN
- Sub-rede remota: 0.0.0.0/0
Todo o tráfego da minha LAN agora vai para o túnel. No entanto, isso significa que mesmo os pacotes IP para o próprio firewall são roteados através da VPN. Posso vê-los no gateway remoto, onde são descartados (obviamente). Como consequência, não consigo mais acessar a UI da web do OPNsense a partir da minha interface LAN. Outras interfaces continuam funcionando conforme o esperado.
Como posso evitar que o OPNsense envie tráfego destinado diretamente às suas próprias interfaces para o túnel VPN?
Minha primeira ideia foi adicionar uma rota estática, mas não tenho certeza se isso seria possível, pois não há próximo salto.
Observe que não se trata de recuperar o acesso à IU de gerenciamento, eu sei como fazer isso. O que eu quero fazer é permitir o acesso da LAN, enquanto outro tráfego da LAN é enviado para o túnel.
Responder1
Você está no caminho certo com a ideia de rota estática. As rotas são priorizadas com base em sua especificidade.
0.0.0.0/0 é o mais genérico e deve sempre ser avaliado por último.
Eu sugeriria definir uma rota que corresponda à rede remota por apenas 0.0.0.0/0. Algo parecido 10.2.0.0/16ou o que quer que corresponda às suas redes. Você também pode criar um para a rede local 10.1.0.0/16(ou qualquer outra coisa) para garantir que ele possa se conectar a dispositivos locais.