我们有两个通过Gateway-Gateway VPN连接的办事处
DC1[192.168.0.101]---RV082(A)[192.168.0.1]---[VPN]---RV082(B)[192.168.3.1]---pfSense[192.168.3.100]---DC2[192.168.1.2] DC2能够使用专用IP地址192.168.0.101正确连接到DC1。 当然这是有效的,因为DC2发送所有stream量到pfSense,因为它是网关,PFSense发送stream量到本地RV082B。 有一个路由,因为VPN。
我们遇到的问题是分支防火墙不了解pfSense背后的子网。
不知何故,我们需要从分支防火墙添加一条路由,以便它知道在哪里发送stream量。
我们基本上只是想能够ping通,RDP等到192.168.1.2和DC2是收件人。 现在我们有pfSense的挑战是一个挑战。 它几乎就好像我们有两个防火墙。 我们不知道该怎么做,因为我们真正安装了pfSense只是为了强制门户function。
这里有几个问题混合在一起。
如果DC2可以ping DC1,但是反过来则不然,那么pfSense防火墙可能伪装了它后面的192.168.1.0/24networking。 这将导致在networking的其余部分来自DC2的数据包实际上看起来好像它们始于192.168.3.100的情况。 当他们回到那里时,防火墙会抓住他们,执行伪装,所有的都是好的。
然而,这现在造成了一个问题,因为在192.168.1.0/24以外的世界,这个networking已经变得不可修改。 由于所有涉及到的networking都是私有networking,我build议删除伪装,而只是有一个防火墙和一些正确的路由。
Rv082(A)不知道192.168.1.0/24networking的存在,因为它隐藏在pfSense防火墙的后面。 所以要做的第一件事就是将一条静态路由放入该设备,告诉它将192.168.1.0/24的所有stream量路由到VPN隧道中。
现在请确保在pfSense防火墙中只有必要的filter, 并且禁用所有的NAT 。
如果由于某种原因你不能或不想删除伪装,你必须在pfSense中为每一个必须从外部访问的设备和服务创build端口转发规则。 而且您需要运行拆分DNS,因为现在必须根据客户端的位置来parsing不同的IP地址。 这可能会很快变得非常混乱,我会build议不要做,除非没有其他select。
如果你不喜欢静态路由,你也可以在pfSense(不确定它是否具备这些function)和RV082设备(如果有的话)中启用RIP或OSPF,但是这个答案会得到很多更长,所以先尝试静态路由。