IPsec VPN 站点到站点隧道可以将两个位于不同地理位置的网络进行互连,使它们如同由路由器直接相连一般。站点 A 的系统可以访问站点 B 的服务器或其他系统,反之亦然。与任何其他网络接口一样,VPN 隧道的流量也可以通过防火墙规则进行调控。当多个客户端需要从同一位置连接到另一个位置的站点时,站点到站点隧道连接是理想之选,不仅易于配置和管理,而且十分稳定。
使用站点到站点隧道连接,本地网络上的设备无需感知 VPN 的存在,也无需安装任何客户端软件——所有工作均由隧道站点处理。对于那些支持网络但不处理 VPN 连接的设备(例如打印机、摄像头、HVAC 系统及其他嵌入式硬件),这也是一种出色的解决方案。
此外,通过路由 Internet 流量,也可满足部分有特定需求的用户。
本指南将介绍 IPsec VPN 站点至站点(共享密钥)的配置过程,以及通过 IPsec 隧道路由 Internet 流量的方法。所有配置均基于 pfSense plus 22.01 中文定制版 系统完成。
网络概况
防火墙站点 A:
- 公网 IP 地址:117.44.117.44
- 本地网络:192.168.100.0/24
防火墙站点 B:
- 公网 IP 地址:202.109.202.109
- 本地网络:192.168.101.0/24
站点 A 配置
阶段 1 配置
- 导航到 VPN > IPsec
- 单击“+”图标,添加一个阶段 1 条目。
阶段 1 字段信息:
- 密钥交换版本:首选 IKEv2,若不确定,可选 Auto。
- 远程网关:输入站点 B 的 WAN 公网 IP 地址。
- 预共享密钥:点击下方的“生成”或手动输入,此处的密钥必须与站点 B 完全相同。
- 其他选项保持默认即可。
配置完成后,点击“保存”按钮,完成站点 A 阶段 1 的配置。
阶段 2 配置
在 IPsec VPN 隧道页面上,找到刚才创建的阶段 1 条目,单击“显示阶段 2 条目”,然后再单击“+”图标,添加阶段 2 条目。
阶段 2 字段信息:
- 模式:选 IPv4 隧道。
- 本地网络:由于本指南要设置站点 B 的客户端通过站点 A 访问互联网,这里的本地网络须输入 0.0.0.0/0。如果没有此类需求,本地网络一般选 LAN subnet。
- 远程网络:输入站点 B 的 LAN 子网。
- 其他选项保持默认即可。
单击“保存”按钮,完成站点 A 的阶段 2 配置。保存后,不要忘记点击“应用更改”来应用配置。
防火墙配置
为保证 VPN 能正常通信,需要配置两条规则:一条规则允许从 LAN 到 IPsec VPN 的流量;另一条允许从 VPN 到 LAN 的流量。
这里的规则也可以按需进行配置,例如,只允许特定的网络或地址通过 VPN。
出站配置
因为要通过站点 A 访问互联网,还需要对站点 A 的出站进行设置。
- 导航到 防火墙 > 地址转换,选择 出站 选项卡。
- 将 出站 NAT 模式 设置为 混合出站 NAT。
- 在列表顶部添加一条手动出站规则,允许站点 B 的 LAN net 网络通过站点 A 的 WAN 接口出站。接口选 WAN,源 输入站点 B 的 LAN 网络,地址 选 接口地址。
完成后效果如下:
站点 B 配置
阶段 1 配置
阶段 1 字段信息:
- 密钥交换版本:与站点 A 相同,选 IKEv2。
- 远程网关:输入站点 A 的 WAN 公网静态地址。
- 预共享密钥:输入在站点 A 中生成的密钥,两个站点必须相同。
- 生存时间:至少比站点 A 多 10%。
- 子 SA 启动操作:选 None(仅响应),让该端点不自行启动,而是由站点 A 来启动。
- 子 SA 关闭操作:选 关闭连接并清除 SA,让阶段 2 不自动重新连接,由站点 A 进行管理。子 SA 的操作,只需一端主动即可。
- 其他选项保持默认并与站点 A 一致。
点击“保存”按钮,完成站点 B 阶段 1 配置。
阶段 2 配置
阶段 2 字段信息:
- 模式:选 IPv4 隧道。
- 本地网络:选 LAN subnet。
- 远程网络:由于要设置站点 B 的客户端通过站点 A 访问互联网,远程网络必须输入 0.0.0.0/0。如果没有这种需求,可以输入站点 A 的 LAN subnet。
- 生存时间:阶段 2 的生存时间至少比站点 A 高 10%。
- 其他选项保持默认并与站点 A 一致。
防火墙配置
与站点 A 的防火墙配置相同,除非有其他特殊要求。
测试连接
转到 状态 > IPsec,点击右侧的“连接 P1 和 P2s”,隧道应该就可以正常建立了。
在站点 B 的客户端上打开浏览器,查询上网 IP,检查其是否已通过站点 A 出站。
在两个站点之间进行了测速。
说明:测试平台带宽上、下行各 300M。
觉得内容不错?我要
