如標題所述,我無法在使用 NAT 1:1 連接到 LAN IP 的第 2 階段 VIP 上建立雙向通訊(例如 SSH)的連線。
第 1 階段和第 2 階段已啟動。第 2 階段遠端 IP 為 192.168.1.248,本地 IP 為 172.16.250.10 (VIP)
我在 LAN 介面和 IPSec 介面上建立了 NAT 1:1,其中顯示:外部 IP 172.16.250.10(VIP...)內部 IP 192.192.168.1.253(實際 pfSense IP)
為了測試這一點,我目前只嘗試 SSH。我在防火牆上創建了兩條規則,一條用於 ICMP,另一條用於 SSH。
ICMP 工作正常 - 不知道為什麼。以下是 ICMP 和 SSH 的規則和封包擷取:
規則:
ICMP 的資料包捕獲 - 模糊了一些信息,因為我不確定它的用途...:
以下是 SSH 嘗試的封包擷取 - 未成功,日誌中同時包含 telnet 測試和 SSH 測試本身:
正如您所看到的,pfSense 並沒有像執行 ICMP 時那樣回應。即使我允許 IPSEC 和 LAN 上的所有規則,也會發生這種情況,並且在 Zabbix 連接埠等其他服務中也會發生這種情況。澄清一下:是的,SSH 已啟用。
我還想提前告知,我為 IN → OUT 創建了一條靜態路由(效果很好。)
我來這裡是因為我真的沒有想法並且需要一些幫助。有人能給我一些解釋嗎?
謝謝。
答案1
解決方案是在一側建立 BINAT,以防止具有相同位址範圍的網路發生衝突。