IPsec VPN 站点到站点隧道可以将两个不在同一位置的网络进行互连，就好像它们由路由器直接连接一样。站点 A 的系统可以访问站点 B 的服务器或其他系统，反之亦然。与任何其他网络接口一样，VPN 隧道的流量也可以通过防火墙规则进行调节。如果有多个客户端需要从同一位置连接到另一个位置的站点，站点到站点的隧道连接将非常适合，而且易于配置和管理。

使用站点到站点隧道连接，本地网络上的设备无需知道存在的 VPN，也不需要任何客户端软件，所有工作都由隧道站点处理。对于有网络支持但不处理 VPN 连接的设备（例如打印机、相机、HVAC 系统和其他嵌入式硬件）来说，这也是一个很好的解决方案。

同时，通过路由 Internet 流量，也可以满足某些有特定需求的用户。

本指南介绍 IPsec VPN 站点至站点 (共享密钥) 的配置过程，以及通过 IPsec 隧道路由 Internet 流量的方法，所有配置都基于 pfSense plus 22.01 中文定制版系统完成。

网络概况

防火墙站点 A：

• 公网 IP 地址：117.44.117.44
• 本地网络：192.168.100.0/24

防火墙站点 B :

• 公网 IP 地址：202.109.202.109
• 本地网络：192.168.101.0/24

站点 A 配置

阶段 1 配置

• 导航到 VPN > IPsec
• 单击“+”图标，添加一个阶段 1 条目。

阶段 1 字段信息：

• 密钥交换版本首选 IKEv2，如果不确定，可以选 Auto。
• 远程网关输入站点 B 的 WAN 公网 IP 地址。
• 预共享密钥点下面的生成或手动输入，这里的密钥须与站点 B 相同。
• 其他选项保持默认即可。

配置完成后，点击“保存”按钮，完成站点 A 阶段 1 的配置。

阶段 2 配置

阶段 2 字段信息：

• 模式选 IPv4 隧道。
• 由于本指南要设置站点 B 的客户端通过站点 A 访问互联网，这里的本地网络须输入 0.0.0.0/0。如果没有这种需求，本地网络一般选 LAN subnet。
• 远程网络输入站点 B 的 LAN 子网。
• 其他选项保持默认即可。

单击“保存”按钮，完成站点 A 的阶段 2 配置。保存后，不要忘记点击“应用更改”来应用配置。

为保证 VPN 能正常通信，需要配置两条规则：一条规则允许从 LAN 到 IPsecVPN 的流量；另一条允许从 VPN 到 LAN 的流量。

这里的规则也可以按照需求进行配置，例如，只允许特定的网络或地址通过 VPN。

出站配置

因为要通过站点 A 访问互联网，还需要对站点 A 的出站进行设置。

• 导航到防火墙 > 地址转换，出站选项卡。
• 将出站 NAT 模式设置为混合出站 NAT。
• 在列表顶部添加一条手动出站规则，允许站点 B 的 LAN net 网络通过站点 A 的 WAN 接口出站。接口选 WAN，源输入站点 B 的 LAN 网络，地址选接口地址。

完成后如下：

站点 B 配置

阶段 1 配置

阶段 1 字段信息：

• 密钥交换版本与站点 A 相同，选 IKEv2。
• 远程网关输入站点 A 的 WAN 公网静态地址。
• 预共享密钥输入站点 A 中生成的密钥，两个站点必须相同。

• 生存时间，至少比站点 A 多 10%。
• 子 SA 启动操作，选None(仅响应)，让该端点不自行启动，而是由站点 A 来启动。
• 子 SA 关闭操作，选 关闭连接并清除 SA，让阶段 2 不自动重新连接，让站点 A 进行管理。子 SA 的操作，只需要一端主动作为即可。
• 其他选项保持默认并与站点 A 保持一致。

点击“保存”按钮，完成站点 B 阶段 1 配置。

阶段 2 配置

• 模式选 IPv4 隧道。
• 本地网络选 LAN subnet。
• 由于要设置站点 B 的客户端通过站点 A 访问互联网，远程网络必须输入 0.0.0.0/0。如果没有这种需求，可以输入站点 A 的 LAN subnet。

• 阶段 2 的生存时间比站点 A 至少高 10%。
• 其他选项保持默认并与站点 A 一致。

防火墙配置

与站点 A 相同，除非有其他特殊要求。

测试连接

转到状态 >IPsec，点击右侧的”连接 P1 和 P2s”，应该就可以正常连接了。

在站点 B 的客户端上，打开浏览器，查询上网 IP，检查是否通过站点 B 出站。

在两个站点之间跑了一下测速。

说明：测试平台带宽上、下行各 300M。

via: https://pfschina.org/wp/?p=7145