这个新功能可从pfsense 2.4.4获得,它消除了阶段2 IPsec配置中(有时非常多)IP关联的定义。使用VTI,只定义了一个阶段2,然后使用pfsense路由表将子网或IP定向到IPsec隧道。
你需要定义传输网络。通常可以使用/ 30,因为只需要两个IP(IPsec链路的每一端都有一个IP)。在这个例子中我们将使用10.6.6.1/30。
1 .IPsec配置
像往常一样创建IPsec阶段1条目(这里不再赘述)
在节点1上,按以下格式创建IPsec阶段2条目:
- 模式:路由(VTI)
- 本地网络:具有范围的网络
10.6.6.1/30 - 远程网络:
10.6.6.2 - 根据需要设置提案部分。
- 单击保存,然后单击应用更改
在节点2上,创建与节点1类似的IPsec阶段2条目:
- 模式:路由(VTI)
- 本地网络:具有范围的网络
10.6.6.2/30 - 远程网络:
10.6.6.1 - 提案部分与节点1相同。
- 单击保存,然后单击应用更改
2.接口的分配
在节点1和节点2上:
- 导航到Interfaces > Assignments(网络接口>接口管理)
- 从列表中选择接口可用网络接口
ipsec1000,然后单击“添加”。注意创建的接口(OPTx)。 - 单击“接口”>
OPTx - 选中“启用”选框,并在“描述”字段中为接口指定合适的名称。
- 根据需要填写其他字段。
- 单击保存,然后单击应用更改
在pfsense系统仪表上,应该看到隧道IP地址的接口,以及网关(对应于远程节点的IP地址)。
3.路由设置
导航到System > Routing(系统>路由管理),然后单击静态路由。
在节点1上:
- 单击添加
- 在目标网络字段中,输入节点2的 LAN网络的范围
- 在“网关”字段中,选择IPsec网关(它与你创建的后缀为_VTIV4的接口同名)
- 单击保存,然后单击应用
在节点2上:
- 单击添加
- 在目标网络字段中,输入节点1的LAN网络范围
- 在“网关”字段中,选择IPsec网关(它与你创建的后缀为_VTIV4的接口同名)
- 单击保存,然后单击应用
3.1策略路由
强制将节点1的LAN IP的对外流量通过节点2的WAN IP出站。
在节点1上:
- 创建LAN防火墙规则,根据需要设置不同的字段
- 在高级选项的网关字段上,选择IPsec隧道网关
- 单击保存,然后单击应用
设置后,节点1的LAN对外访问流量将通过节点2的WAN IP出站,节点2的出站NAT必须配置为自动模式。
如果不是,请在节点2上进行如下设置:
- 导航到Firewall > NAT(防火墙>NAT),然后单击出站
- 选择自动出站NAT规则生成
- 单击保存
- 在自动模式下,pfsense为分配给IPsec网关的所有路由自动创建出站NAT规则
4. IPsec隧道防火墙
所有IPsec隧道的防火墙管理都在防火墙的IPsec接口选项卡中完成(不在你创建的接口选项卡上)。
原文地址。
