由于某种原因,我们的分支机构无法连接到我们的内部networking。 但是,我们可以从PfSense后面连接到分支机构域控制器。 以下是我们的设置:
|Branch DC - 192.168.0.101 | |Branch Firewall - 192.168.0.2 | |(Internet) | |Local Firewall - 192.168.3.1 | |PFSense WAN port - 192.168.3.100 |PFSense LAN port - 192.168.1.1 | | DC1 - 192.168.1.2|DC2 - 192.168.1.4 似乎有一个规则,防止在WAN端口的内部访问。 但是,我们的规则设置为允许LAN和WAN端口上的所有stream量。 因为我们已经有了防火墙,所以完全禁用防火墙是理想的,但是当我们这样做时,PfSense根本不允许任何内部stream量。 我期待着任何帮助,并提前谢谢你。
没有看到你的pfsense规则我倾向于说“按devise工作” – 大多数防火墙configuration为防止外部的人(WAN端口)访问内部(LAN端口)的资源。
如果你想让外面的人需要打出防火墙漏洞(包括1:1的NAT或端口redirect,如果你使用的是NAT)或者build立一个VPN。 后者在几乎所有情况下都是更好的解决scheme。
由于voretaq7build议站点到站点VPN是一个很好的解决scheme在你的情况。
这是Sonicwall和pfSense之间的站点到站点VPN的很好的例子。 如果您使用任何其他防火墙,几乎设置将大致相同。
如果你需要更多的帮助build立站点到站点的VPN请不要犹豫,回来。
由于您仅将pfsense用于内部networking(不直接连接互联网连接),您应该禁用networking地址转换。 内部NAT是一个坏主意(tm)。
从pfsense WebUI:“要完全禁用出站NAT,请切换到手动出站NAT,然后删除出现在列表中的任何NAT规则。 (可以在防火墙 – > NAT – >出站中find)
此外,你需要确保a)分支有一个路由192.168.1.0/24 b)pfSense有一个路由到192.168.0.0/24(分支)