这个新功能可从pfsense 2.4.4获得,它消除了阶段2 IPsec配置中(有时非常多)IP关联的定义。使用VTI,只定义了一个阶段2,然后使用pfsense路由表将子网或IP定向到IPsec隧道。

你需要定义传输网络。通常可以使用/ 30,因为只需要两个IP(IPsec链路的每一端都有一个IP)。在这个例子中我们将使用10.6.6.1/30

1 .IPsec配置

像往常一样创建IPsec阶段1条目(这里不再赘述)

在节点1上,按以下格式创建IPsec阶段2条目:

  • 模式:路由(VTI)

  • 本地网络:具有范围的网络 10.6.6.1/30

  • 远程网络: 10.6.6.2

  • 根据需要设置提案部分。

  • 单击保存,然后单击应用更改

在节点2上,创建与节点1类似的IPsec阶段2条目:

  • 模式:路由(VTI)

  • 本地网络:具有范围的网络 10.6.6.2/30

  • 远程网络: 10.6.6.1

  • 提案部分与节点1相同。

  • 单击保存,然后单击应用更改

2.接口的分配

在节点1和节点2上:

  • 导航到Interfaces > Assignments(网络接口>接口管理)

  • 从列表中选择接口可用网络接口ipsec1000,然后单击“添加”。注意创建的接口(OPTx)。

  • 单击“接口”> OPTx

  • 选中“启用”选框,并在“描述”字段中为接口指定合适的名称。

  • 根据需要填写其他字段。

  • 单击保存,然后单击应用更改

在pfsense系统仪表上,应该看到隧道IP地址的接口,以及网关(对应于远程节点的IP地址)。

3.路由设置

导航到System > Routing(系统>路由管理),然后单击静态路由。

在节点1上:

  • 单击添加

  • 在目标网络字段中,输入节点2的 LAN网络的范围

  • 在“网关”字段中,选择IPsec网关(它与你创建的后缀为_VTIV4的接口同名)

  • 单击保存,然后单击应用

在节点2上:

  • 单击添加

  • 在目标网络字段中,输入节点1的LAN网络范围

  • 在“网关”字段中,选择IPsec网关(它与你创建的后缀为_VTIV4的接口同名)

  • 单击保存,然后单击应用

3.1策略路由

强制将节点1的LAN IP的对外流量通过节点2的WAN IP出站。

在节点1上:

  • 创建LAN防火墙规则,根据需要设置不同的字段

  • 在高级选项的网关字段上,选择IPsec隧道网关

  • 单击保存,然后单击应用

设置后,节点1的LAN对外访问流量将通过节点2的WAN IP出站,节点2的出站NAT必须配置为自动模式。

如果不是,请在节点2上进行如下设置:

  • 导航到Firewall > NAT(防火墙>NAT),然后单击出站

  • 选择自动出站NAT规则生成

  • 单击保存

  • 在自动模式下,pfsense为分配给IPsec网关的所有路由自动创建出站NAT规则

4. IPsec隧道防火墙

所有IPsec隧道的防火墙管理都在防火墙的IPsec接口选项卡中完成(不在你创建的接口选项卡上)。

原文地址。