我有兩個網絡,其中的10.0.0.0/8子網我試圖透過 IPSec 隧道連接。我的第一階段配置工作正常,但在第二階段配置上有點卡住。使用的每個防火牆都執行 pfSense。我想針對兩種主要情況進行配置:
情況1:/32將一個網路暴露給另一個網路的虛擬 NAT 位址 。
Network A:
防火牆 0:10.1.1.1/8
子網路到 NAT:10.9.9.0/24
Network B:
防火牆 1:(10.1.1.1/8直通至Firewall 2)
防火牆 2:(10.27.1.1/16管理Network BIPSec 隧道)
上公開的 NAT 位址Network B:10.27.254.9/32
這樣或多或少Network A會暴露於將防火牆插入包含具有 NAT 規則管理的LAN 子網路的WAN 位址。Network B10.27.254.9/3210.9.9.0/24Firewall 0
案例2:
一個/24子網路以以下方式分別存取兩個網路。
Network A:
防火牆 0:10.1.1.1/8
要翻譯的子網路:10.31.1.0/24
翻譯於Network B:10.254.31.0/24
Network B:
防火牆 1:(10.1.1.1/8直通至Firewall 2)
防火牆 2:(10.58.1.1/16管理Network BIPSec 隧道)
要翻譯的子網路:10.58.1.0/24
翻譯於Network A:10.254.58.0/24
這樣,Network A我可以 ping10.254.58.72並到達10.58.1.72,Network B同樣可以 ping 10.254.31.81fromNetwork B並10.31.1.81到達Network A。如果由於/16限製而無法實現Firewall 2這一點,我可以將其 IPSec 第 1 階段和第 2 階段配置移至Firewall 1(儘管首選是讓10.254.31.0/24轉換後的子網僅10.58.0.0/16在Network B.
任何幫助將不勝感激,我已經絞盡腦汁反對這些第二階段 IPSec 配置一段時間了。