У меня есть две сети с 10.0.0.0/8подсетью, которую я пытаюсь подключить через туннели IPSec. У меня есть рабочие конфигурации фазы 1, но я немного застрял на конфигурациях фазы 2. Каждый используемый брандмауэр работает на pfSense. Есть два основных случая, для которых я хотел бы настроить их:
Дело 1:
Виртуальный /32адрес NAT, открывающий доступ к сети другой сети.
Network A:
Межсетевой экран 0: 10.1.1.1/8
Подсеть для NAT:10.9.9.0/24
Network B:
Межсетевой экран 1: 10.1.1.1/8(проход к Firewall 2)
Межсетевой экран 2: 10.27.1.1/16(управляет Network Bтуннелем IPSec)
Открытый адрес NAT на Network B:10.27.254.9/32
Это более или менее Network Aпохоже на Network Bподключение брандмауэра к адресу WAN 10.27.254.9/32, содержащему подсеть LAN, 10.9.9.0/24с правилами NAT, управляемыми Firewall 0.
Случай 2:
Подсеть /24для доступа к двум сетям в каждом направлении следующим образом.
Network A:
Межсетевой экран 0: 10.1.1.1/8
Подсеть для перевода: 10.31.1.0/24
Перевод на Network B:10.254.31.0/24
Network B:
Межсетевой экран 1: 10.1.1.1/8(проход к Firewall 2)
Межсетевой экран 2: 10.58.1.1/16(управляет Network Bтуннелем IPSec)
Подсеть для трансляции: 10.58.1.0/24
Трансляция на Network A:10.254.58.0/24
Таким образом, чтобы из Network Aя мог пинговать 10.254.58.72и достигать 10.58.1.72и Network Bаналогично пинговать 10.254.31.81из Network Bи достигать 10.31.1.81. Network AЕсли это невозможно из-за /16ограничения на Firewall 2я мог бы переместить конфигурации фазы 1 и фазы 2 IPSec для этого на Firewall 1(хотя предпочтительнее было бы, чтобы 10.254.31.0/24преобразованная подсеть была видна только изнутри 10.58.0.0/16подсети на Network B.
Буду признателен за любую помощь. Я уже некоторое время ломаю голову над этими конфигурациями IPSec фазы 2.