在使用 IPsec VPN 连接两个站点时，有时可能会遇到两个站点位于同一寻址范围。在这种情况下，可以使用 NAT来解决互相访问的问题。

例如，如果两个站点的LAN使用同一子网192.168.1.0/24 ，则它们将无法通过 VPN 相互通信，因为子网在本地网络上是相同的，并且在远程网络也是相同的。

为了解决这个问题，可以使用 NAT 从一个网络到另一个网络进行通信。这是具有重叠子网进行VPN连接的方法。

注意：如何配置站点到站点的 IPsec VPN，请参阅pfSense配置站点到站点IPsec VPN。

网络拓扑

以两个站点（A 和 B）为例，它们的 LAN 上是相同的子网：192.168.1.0/24

为了将这两个站点与 IPsec VPN 连接起来，有两种方案：

• 对站点 A的整个子网进行NAT，以便可以从站点 B 通过 IPsec VPN 访问它。相反，我们将对站点 B 的子网执行相同操作，以便可以从站点 A 通过 IPsec VPN 访问它。
• 将所有流量通过 NAT 转换到一个 IP 地址。这是上网时使用的原则：局域网的所有私有IP地址都是NAT到Internet连接的公共IP地址。

NAT 类型的选择取决于使用的方案和目标。如果要访问多个设备，最好的解决方案是使用一对一 NAT（1:1 NAT），即第一个解决方案。否则，单个 IP 地址上的简单NAT就可以了。

在本示例中，将设置以下选项：

• 从站点A访问：站点 B 的 LAN 将可以通过以下子网访问： 192.168.200.0/24；因此，从站点 A 到达服务器 192.168.1.222（位于站点 B），我们将请求 IP 地址 192.168.200.222。
• 从站点B访问：站点 A 的 LAN 将可以通过以下子网访问： 192.168.100.0/24；因此，从站点 B 到达服务器 192.168.1.111（位于站点 A），我们将请求 IP 地址 192.168.100.111。

配置NAT和IPsec

在站点 A上，转到 VPN > IPsec，按pfSense配置站点到站点 IPsec VPN介绍的方法配置阶段1。

阶段 2要配置的信息如下：

• 模式：选择隧道 IPv4。请注意，路由 (VTI) IPsec VPN 无法使用 NAT。
• 本地网络：选择“LAN 子网”，或者是希望通过 IPsec VPN 访问的真实本地子网（在本例中为 192.168.1.0/24）。
• NAT/BINAT 转换：选择“网络”并在地址和掩码字段中输入“ 192.168.100.0/24 ”。
• 远程网络：选择“网络”并输入“ 192.168.200.0/24 ”。

阶段 2 的其他参数不参与使用NAT设置 VPN，这里不进行详述。

在站点B上，执行相同的配置，注意设置的差异。

配置过滤规则

根据转换后的寻址方案调整过滤规则。

在LAN 接口上，为了过滤从站点 A 的本地网络到站点 B 的流量，在源字段中设置 LAN 子网 (192.168.1.0/24)，在目标字段中设置站点 B 的转换子网（ 192.168.200.0/24）。如下图所示：

要过滤来自IPsec VPN（IPsec 选项卡）的网络流量，由于NAT规则已自动生成，过滤必须在本地站点的真实IP地址和远程站点的转换IP地址上完成。

站点A配置示例：