基于路由的IPsec (VTI) 与pfSense 配置指南

从pfSense 2.4.4 版本开始，支持路由式IPsec（VTI），无需在第二阶段配置中逐一指定所有对端IP段。只需定义一个第二阶段，然后通过pfSense的路由表将子网或主机流量定向到IPsec隧道。

首先需定义一个传输网络，通常使用 /30 子网，为隧道两端各分配一个IP。本例使用 10.6.6.1/30。

1. IPsec 配置

按照常规方式创建第一阶段条目（此处不再赘述）。

节点1

创建第二阶段条目，配置如下：

• 模式：路由（VTI）
• 本地网络：带子网的地址 10.6.6.1/30
• 远程网络：10.6.6.2
• 根据需要设置提议（Proposal）部分
• 保存并应用更改

节点2

创建类似的第二阶段条目：

• 模式：路由（VTI）
• 本地网络：带子网的地址 10.6.6.2/30
• 远程网络：10.6.6.1
• 提议部分与节点1相同
• 保存并应用更改

2. 接口分配

节点1和节点2均需操作：

1. 前往 Interfaces > Assignments（网络接口 > 接口管理）
2. 在可用网络接口列表中选择 ipsec1000，点击“添加”。记录生成的接口名称（例如 OPTx）
3. 进入 Interfaces > [OPTx]（接口 > OPTx）
4. 勾选“启用接口”，在“描述”字段中为接口指定一个易于识别的名称
5. 按需填写其他字段
6. 保存并应用更改

在pfSense仪表板上，应能看到隧道IP地址对应的接口，并自动生成一个网关（对应远端节点的IP地址）。

3. 路由设置

进入 System > Routing（系统 > 路由管理），选择静态路由选项卡。

节点1

• 点击“添加”
• 目标网络：填入节点2的LAN网络地址段
• 网关：选择带 _VTIV4 后缀的IPsec网关（与之前创建的接口同名）
• 保存并应用

节点2

• 点击“添加”
• 目标网络：填入节点1的LAN网络地址段
• 网关：选择带 _VTIV4 后缀的IPsec网关
• 保存并应用

3.1 策略路由

如需强制节点1的LAN IP的对外流量经节点2的WAN IP出站：

节点1

1. 创建LAN防火墙规则，根据需要设置匹配条件
2. 在高级选项的 网关 字段中选择IPsec隧道网关
3. 保存并应用

配置后，节点1的LAN流量将通过节点2的WAN IP出站。确保节点2的出站NAT已设为自动模式。

节点2（如未自动配置）

1. 进入 Firewall > NAT（防火墙 > NAT），选择出站选项卡
2. 选择“自动出站NAT规则生成”
3. 保存即可。pfSense 会自动为所有通过IPsec网关的路由创建出站NAT规则。

4. IPsec 隧道防火墙

所有IPsec隧道的防火墙规则均在 防火墙 > 规则 > IPsec 选项卡中管理，而非在步骤2分配的 OPTx 接口选项卡中配置。

原文地址： Routed IPsec (VTI) with pfSense_with_pfsense)