Соединение PFSense IPSec установлено, WAN работает, LAN не
Я хочу настроить службу vpn поверх моей коробки PFSense дома. PFSense настроен и работает нормально для моей домашней сети.
Проблема в том, что я могу получить доступ только к адресам WAN через туннель vpn, и нет устройства / адреса в домашней сети.
Я проверил отсутствие / блокирование правил брандмауэра, правила блокировки нет, и журналы брандмауэра также не распечатывают заблокированный трафик с затронутых ips. Весь трафик, который проходит через туннель vpn, имеет доступ к 0.0.0.0 / 0, что должно означать WAN+LAN, верно?
Если я делаю захват пакета на коробке PFSense и запускаю эхо-запрос с компьютера клиента vpn, выходные данные захвата пакета:
21: 26: 10.355756 (аутентичный, конфиденциальный): SPI 0xcd64b046: IP 10.0.40.1 > 10.0.100.1: эхо-запрос ICMP, id 1, seq 7219, длина 40
Некоторые значения конфигурации ниже:
Изображение сетевой диаграммы - не встроено из-за недостаточной репутации
Коробка PFSense дома:
IP: 10.0.200.1
МАСКА: /16 (255.255.0.0)
Эта коробка является основным маршрутизатором в notwork (шлюз).
Настройка VPN (коробка PFSense дома):
IPSec - Мобильные клиенты:
Предоставить клиентам виртуальный IP-адрес - Проверено
Пул виртуальных IP-адресов: 10.0.40.0 / 24
Предоставить список доступных сетей - Проверено
IPSec - Phase2, локальная сеть: 0.0.0.0 / 0
Любые идеи, где проблема может быть?
1 ответ
Проблема заключалась в том, что пул виртуальных адресов vpn находился внутри реальной подсети. Поэтому, если сервер (или любое устройство в локальной сети) пытается ответить на этот запрос, он не использовал шлюз, потому что он искал (запрос arp) в локальной сети.
Поэтому я просто изменил пул виртуальных адресов vpn с 10.0.40.0 /24 на 10.40.0.0 /24, и теперь все работает нормально.
захват пакетов на коробке PFSense и tcpdump пакетов icmp на стороне сервера привели меня к этому решению.