У меня есть устройство OPNsense с IPsec VPN для удаленного сайта, которое работает отлично. Весь трафик из локальной сети должен проходить через VPN, поэтому я настроил Фазу 2 следующим образом:
- Локальная подсеть: локальная сеть
- Удаленная подсеть: 0.0.0.0/0
Весь трафик из моей локальной сети теперь идет в туннель. Однако это означает, что даже IP-пакеты к самому брандмауэру направляются через VPN. Я вижу их на удаленном шлюзе, где они отбрасываются (очевидно). Как следствие, я больше не могу получить доступ к веб-интерфейсу OPNsense из моего интерфейса локальной сети. Другие интерфейсы продолжают работать как и ожидалось.
Как запретить OPNsense отправлять в VPN-туннель трафик, предназначенный непосредственно для его собственных интерфейсов?
Первой моей идеей было добавить статический маршрут, но я не уверен, возможно ли это, поскольку нет следующего перехода.
Обратите внимание, что это не вопрос восстановления доступа к пользовательскому интерфейсу управления, я знаю, как это сделать. Я хочу разрешить доступ из локальной сети, в то время как остальной трафик локальной сети будет отправляться в туннель.
решение1
Вы на правильном пути с идеей статического маршрута. Маршруты имеют приоритет в зависимости от того, насколько они конкретны.
0.0.0.0/0 является наиболее общим и всегда должен оцениваться последним.
Я бы предложил установить маршрут, который соответствует удаленной сети вместо просто 0.0.0.0/0. Что-то вроде 10.2.0.0/16или что-то еще, что соответствует вашим сетям. Вы также можете создать один для локальной сети, например 10.1.0.0/16(или что-то еще), чтобы убедиться, что он может подключаться к локальным устройствам.