pfSense站点到站点IPsec VPN及路由Internet配置指南

  防火墙

IPsec VPN站点到站点隧道可以将两个不在同一位置的网络进行互连,就好像它们由路由器直接连接一样。站点A的系统可以访问站点B的服务器或其他系统,反之亦然。与任何其他网络接口一样,VPN隧道的流量也可以通过防火墙规则进行调节。如果有多个客户端需要从同一位置连接到另一个位置的站点,站点到站点的隧道连接将非常适合,而且易于配置和管理。

使用站点到站点隧道连接,本地网络上的设备无需知道存在的VPN,也不需要任何客户端软件,所有工作都由隧道站点处理。对于有网络支持但不处理VPN连接的设备(例如打印机、相机、HVAC 系统和其他嵌入式硬件)来说,这也是一个很好的解决方案。

同时,通过路由Internet流量,也可以满足某些有特定需求的用户。

本指南介绍IPsec VPN站点至站点(共享密钥)的配置过程,以及通过IPsec隧道路由Internet 流量的方法 ,所有配置都基于pfSense plus 22.01中文定制版系统完成。

网络概况

防火墙站点A:

  • 公网IP地址:117.44.117.44
  • 本地网络:192.168.100.0/24

防火墙站点 B :

  • 公网IP地址:202.109.202.109
  • 本地网络:192.168.101.0/24

站点A配置

阶段1配置

  • 导航到 VPN > IPsec
  • 单击“+”图标,添加一个阶段1条目。

阶段1字段信息:

  • 密钥交换版本首选IKEv2,如果不确定,可以选Auto。
  • 远程网关输入站点B的WAN公网IP地址。
  • 预共享密钥点下面的生成或手动输入,这里的密钥须与站点B相同。
  • 其他选项保持默认即可。

 

配置完成后,点击“保存”按钮,完成站点A阶段1的配置。

阶段2配置

在IPsec VPN隧道页面上,在刚才创建的阶段1条目上,单击“显示阶段2条目”,然后单击“+ ”图标,添加阶段2条目。

阶段2字段信息:

  • 模式选IPv4隧道。
  • 由于本指南要设置站点B的客户端通过站点A访问互联网,这里的本地网络须输入 0.0.0.0/0。如果没有这种需求,本地网络一般选LAN subnet。
  • 远程网络输入站点B的LAN子网。
  • 其他选项保持默认即可。

单击“保存”按钮,完成站点A的阶段2配置。保存后,不要忘记点击“应用更改”来应用配置。

防火墙配置

为保证VPN能正常通信,需要配置两条规则:一条规则允许从LAN到IPsecVPN 的流量;另一条允许从VPN到LAN的流量。

这里的规则也可以按照需求进行配置,例如,只允许特定的网络或地址通过VPN。

出站配置

因为要通过站点A访问互联网,还需要对站点A的出站进行设置。

  • 导航到防火墙 >地址转换,出站选项卡。
  • 将出站NAT模式设置为混合出站 NAT。
  • 在列表顶部添加一条手动出站规则,允许站点B的LAN net网络通过站点A的WAN接口出站。接口选WAN,源输入站点B的LAN网络,地址选接口地址。

完成后如下:

站点B配置

阶段1配置

阶段1字段信息:

  • 密钥交换版本与站点A相同,选IKEv2。
  • 远程网关输入站点A的WAN公网静态地址。
  • 预共享密钥输入站点A中生成的密钥,两个站点必须相同。

  • 生存时间,至少比站点A多10%。
  • 子SA 启动操作,选None(仅响应),让该端点不自行启动,而是由站点A来启动。
  • 子SA 关闭操作,选关闭连接并清除SA,让阶段2不自动重新连接,让站点A进行管理。子SA的操作,只需要一端主动作为即可。
  • 其他选项保持默认并与站点A保持一致。

点击“保存”按钮,完成站点B阶段1配置。

阶段2配置

阶段2字段信息:

  • 模式选IPv4隧道。
  • 本地网络选LAN subnet。
  • 由于要设置站点B的客户端通过站点A访问互联网,远程网络必须输入 0.0.0.0/0。如果没有这种需求,可以输入站点A的LAN subnet。

  • 阶段2的生存时间比站点A至少高10%。
  • 其他选项保持默认并与站点A一致。

防火墙配置

与站点A相同,除非有其他特殊要求。

测试连接

转到状态>IPsec,点击右侧的”连接P1和P2s”,应该就可以正常连接了。

在站点B的客户端上,打开浏览器,查询上网IP,检查是否通过站点B出站。

在两个站点之间跑了一下测速。

说明:测试平台带宽上、下行各300M。

via: https://pfschina.org/wp/?p=7145