IPsec VPN站點到站點隧道可以将兩個不在同一位置的網絡進行互連,就好像它們由路由器直接連接配接一樣。站點A的系統可以通路站點B的伺服器或其他系統,反之亦然。與任何其他網絡接口一樣,VPN隧道的流量也可以通過防火牆規則進行調節。如果有多個用戶端需要從同一位置連接配接到另一個位置的站點,站點到站點的隧道連接配接将非常适合,而且易于配置和管理。
使用站點到站點隧道連接配接,本地網絡上的裝置無需知道存在的VPN,也不需要任何用戶端軟體,所有工作都由隧道站點處理。對于有網絡支援但不處理VPN連接配接的裝置(例如列印機、相機、HVAC 系統和其他嵌入式硬體)來說,這也是一個很好的解決方案。
同時,通過路由Internet流量,也可以滿足某些有特定需求的使用者。
本指南介紹IPsec VPN站點至站點(共享密鑰)的配置過程,以及通過IPsec隧道路由Internet 流量的方法 ,所有配置都基于pfSense plus 22.01中文定制版系統完成。
如果需要進一步交流防火牆方面的使用經驗,可以加入QQ群286850453讨論。也歡迎關注微信公公号"pfSense防火牆",友善及時收到推送的文章。
網絡概況
防火牆站點A:
- 公網IP位址:117.44.117.44
- 本地網絡:192.168.100.0/24
防火牆站點 B :
- 公網IP位址:202.109.202.109
- 本地網絡:192.168.101.0/24
站點A配置
階段1配置
- 導航到 VPN > IPsec
- 單擊“+”圖示,添加一個階段1條目。
階段1字段資訊:
- 密鑰交換版本首選IKEv2,如果不确定,可以選Auto。
- 遠端網關輸入站點B的WAN公網IP位址。
- 預共享密鑰點下面的生成或手動輸入,這裡的密鑰須與站點B相同。
- 其他選項保持預設即可。
配置完成後,點選“儲存”按鈕,完成站點A階段1的配置。
階段2配置
在IPsec VPN隧道頁面上,在剛才建立的階段1條目上,單擊“顯示階段2條目”,然後單擊“+ ”圖示,添加階段2條目。
階段2字段資訊:
- 模式選IPv4隧道。
- 由于本指南要設定站點B的用戶端通過站點A通路網際網路,這裡的本地網絡須輸入 0.0.0.0/0。如果沒有這種需求,本地網絡一般選LAN subnet。
- 遠端網絡輸入站點B的LAN子網。
- 其他選項保持預設即可。
單擊“儲存”按鈕,完成站點A的階段2配置。儲存後,不要忘記點選“應用更改”來應用配置。
防火牆配置
為保證VPN能正常通信,需要配置兩條規則:一條規則允許從LAN到IPsecVPN 的流量;另一條允許從VPN到LAN的流量。
這裡的規則也可以按照需求進行配置,例如,隻允許特定的網絡或位址通過VPN。
出站配置
因為要通過站點A通路網際網路,還需要對站點A的出站進行設定。
- 導航到防火牆 >位址轉換,出站頁籤。
- 将出站NAT模式設定為混合出站 NAT。
- 在清單頂部添加一條手動出站規則,允許站點B的LAN net網絡通過站點A的WAN接口出站。接口選WAN,源輸入站點B的LAN網絡,位址選接口位址。
完成後如下:
站點B配置
階段1配置
階段1字段資訊:
- 密鑰交換版本與站點A相同,選IKEv2。
- 遠端網關輸入站點A的WAN公網靜态位址。
- 預共享密鑰輸入站點A中生成的密鑰,兩個站點必須相同。
- 生存時間,至少比站點A多10%。
- 子SA 啟動操作,選None(僅響應),讓該端點不自行啟動,而是由站點A來啟動。
- 子SA 關閉操作,選關閉連接配接并清除SA,讓階段2不自動重新連接配接,讓站點A進行管理。子SA的操作,隻需要一端主動作為即可。
- 其他選項保持預設并與站點A保持一緻。
點選“儲存”按鈕,完成站點B階段1配置。
階段2配置
階段2字段資訊:
- 模式選IPv4隧道。
- 本地網絡選LAN subnet。
- 由于要設定站點B的用戶端通過站點A通路網際網路,遠端網絡必須輸入 0.0.0.0/0。如果沒有這種需求,可以輸入站點A的LAN subnet。
- 階段2的生存時間比站點A至少高10%。
- 其他選項保持預設并與站點A一緻。
防火牆配置
與站點A相同,除非有其他特殊要求。
測試連接配接
轉到狀态>IPsec,點選右側的”連接配接P1和P2s”,應該就可以正常連接配接了。
在站點B的用戶端上,打開浏覽器,查詢上網IP,檢查是否通過站點B出站。
在兩個站點之間跑了一下測速。
- 具有預共享密鑰的IPsec站點到站點VPN 示例
- 通過站點到站點IPsec隧道路由Internet流量
- 具有相同子網的站點到站點IPsec VPN