Я хочу настроить службу vpn поверх моей коробки PFSense дома. PFSense настроен и работает нормально для моей домашней сети.

Проблема в том, что я могу получить доступ только к адресам wan через туннель vpn, но не иметь устройства / адреса в домашней сети.

Я проверил отсутствие / блокирование правил брандмауэра, правила блокировки нет, и журналы брандмауэра также не распечатывают заблокированный трафик с затронутых ips. Весь трафик, который проходит через туннель vpn, имеет доступ к 0.0.0.0 / 0, что должно означать WAN+LAN, верно?

Если я делаю захват пакета на коробке PFSense и запускаю эхо-запрос от компьютера клиента vpn, выходные данные захвата пакета:

21: 26: 10.355756 (аутентичный, конфиденциальный): SPI 0xcd64b046: IP 10.0.40.1> 10.0.100.1: эхо-запрос ICMP, id 1, seq 7219, длина 40

Некоторые значения конфигурации ниже:

Изображение сетевой диаграммы - не встроено из-за недостаточной репутации

Коробка PFSense дома:

IP: 10.0.200.1

МАСКА: /16 (255.255.0.0)

Эта коробка является основным маршрутизатором в notwork (шлюз).

Настройка VPN (коробка PFSense дома):

IPSec - мобильные клиенты:

Предоставить клиентам виртуальный IP-адрес - Проверено

Пул виртуальных IP-адресов: 10.0.40.0 / 24

Предоставить список доступных сетей - Проверено

IPSec - Phase2, локальная сеть: 0.0.0.0 /0

Любые идеи, где проблема может быть?

1 ответ1

0

Проблема заключалась в том, что пул виртуальных адресов vpn находился внутри реальной подсети. Поэтому, если сервер (или любое устройство в локальной сети) пытается ответить на этот запрос, он не использовал шлюз, потому что он искал (запрос arp) в локальной сети.

Поэтому я просто изменил пул виртуальных адресов vpn с 10.0.40.0 /24 на 10.40.0.0 /24, и теперь все работает нормально.

захват пакетов на коробке PFSense и tcpdump пакетов icmp на стороне сервера привели меня к этому решению.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .