IPsec VPN站点到站点隧道可以将两个不在同一位置的网络进行互连，就好像它们由路由器直接连接一样。站点A的系统可以访问站点B的服务器或其他系统，反之亦然。与任何其他网络接口一样，VPN隧道的流量也可以通过防火墙规则进行调节。如果有多个客户端需要从同一位置连接到另一个位置的站点，站点到站点的隧道连接将非常适合，而且易于配置和管理。

使用站点到站点隧道连接，本地网络上的设备无需知道存在的VPN，也不需要任何客户端软件，所有工作都由隧道站点处理。对于有网络支持但不处理VPN连接的设备（例如打印机、相机、HVAC 系统和其他嵌入式硬件）来说，这也是一个很好的解决方案。

同时，通过路由Internet流量，也可以满足某些有特定需求的用户。

本指南介绍IPsec VPN站点至站点(共享密钥)的配置过程，以及通过IPsec隧道路由Internet 流量的方法 ，所有配置都基于pfSense plus 22.01中文定制版系统完成。

网络概况

防火墙站点A：

• 公网IP地址：117.44.117.44
• 本地网络：192.168.100.0/24

防火墙站点 B :

• 公网IP地址：202.109.202.109
• 本地网络：192.168.101.0/24

站点A配置

阶段1配置

• 导航到 VPN > IPsec
• 单击“+”图标，添加一个阶段1条目。

阶段1字段信息：

• 密钥交换版本首选IKEv2，如果不确定，可以选Auto。
• 远程网关输入站点B的WAN公网IP地址。
• 预共享密钥点下面的生成或手动输入，这里的密钥须与站点B相同。
• 其他选项保持默认即可。

配置完成后，点击“保存”按钮，完成站点A阶段1的配置。

阶段2配置

阶段2字段信息：

• 模式选IPv4隧道。
• 由于本指南要设置站点B的客户端通过站点A访问互联网，这里的本地网络须输入 0.0.0.0/0。如果没有这种需求，本地网络一般选LAN subnet。
• 远程网络输入站点B的LAN子网。
• 其他选项保持默认即可。

单击“保存”按钮，完成站点A的阶段2配置。保存后，不要忘记点击“应用更改”来应用配置。

为保证VPN能正常通信，需要配置两条规则：一条规则允许从LAN到IPsecVPN 的流量；另一条允许从VPN到LAN的流量。

这里的规则也可以按照需求进行配置，例如，只允许特定的网络或地址通过VPN。

出站配置

因为要通过站点A访问互联网，还需要对站点A的出站进行设置。

• 导航到防火墙 >地址转换，出站选项卡。
• 将出站NAT模式设置为混合出站 NAT。
• 在列表顶部添加一条手动出站规则，允许站点B的LAN net网络通过站点A的WAN接口出站。接口选WAN，源输入站点B的LAN网络，地址选接口地址。

完成后如下：

站点B配置

阶段1配置

阶段1字段信息：

• 密钥交换版本与站点A相同，选IKEv2。
• 远程网关输入站点A的WAN公网静态地址。
• 预共享密钥输入站点A中生成的密钥，两个站点必须相同。

• 生存时间，至少比站点A多10%。
• 子SA 启动操作，选None(仅响应)，让该端点不自行启动，而是由站点A来启动。
• 子SA 关闭操作，选关闭连接并清除SA，让阶段2不自动重新连接，让站点A进行管理。子SA的操作，只需要一端主动作为即可。
• 其他选项保持默认并与站点A保持一致。

点击“保存”按钮，完成站点B阶段1配置。

阶段2配置

• 模式选IPv4隧道。
• 本地网络选LAN subnet。
• 由于要设置站点B的客户端通过站点A访问互联网，远程网络必须输入 0.0.0.0/0。如果没有这种需求，可以输入站点A的LAN subnet。

• 阶段2的生存时间比站点A至少高10%。
• 其他选项保持默认并与站点A一致。

防火墙配置

与站点A相同，除非有其他特殊要求。

测试连接

转到状态>IPsec，点击右侧的”连接P1和P2s”，应该就可以正常连接了。

在站点B的客户端上，打开浏览器，查询上网IP，检查是否通过站点B出站。

在两个站点之间跑了一下测速。

说明：测试平台带宽上、下行各300M。

via: https://pfschina.org/wp/?p=7145