Назад | Перейти на главную страницу

PFSense IPSec и NAT

Из-за плохого дизайна и ограничений хостинг-провайдера у меня есть сеть, в которой я не управляю маршрутизатором.

Наша сеть: 172.16.0.0/12 - LAN xxx0 / 24 - WAN (маршрутизатор подключен к коммутаторам, мы не контролируем его) 192.168.253.0/24 - клиентская сеть IPSec 172.16.0.50/12 - PFsense внутренний IP xxx 251/24 - Интернет IP PFsense

Мы используем PFSense 2.2.6.

Я настроил удаленный доступ IPsec с помощью этого руководства: https://doc.pfsense.org/index.php/IPsec_Road_Warrior/Mobile_Client_How-To

Он отлично работает, пока я добавляю статический маршрут к целевому серверу (ip r add 192.168.253.0/24 через 172.16.0.50). Конечно, это не сработает ни в какой другой ситуации, потому что мой основной маршрутизатор не знаком с PFsense или чем-либо еще в сегменте LAN. У него есть интерфейс только в подсети WAN.

Есть ли способ сделать так, чтобы мои удаленные клиенты имели IP-адрес в подсети 172.16.0.0/12 после подключения? Могу ли я преобразовать их трафик с 192.168.253.0/24 на какой-либо адрес 172.16.0.0/12?

См. Прилагаемую схему. Зеленая сторона - LAN. Я хотел бы добиться NAT из туннельной сети (192.168.253.0/24) в LAN (172.16.0.0/12) с использованием LAN IP.

Спасибо!

Нашел решение.

Создано правило Outbound NAT для интерфейса LAN. Источник - туннельная сеть, пункт назначения - сеть LAN.

Исходный IP - это всегда IP-адрес брандмауэра, но с этим я могу жить.