以下の問題に直面しています。pfSenseが2台あり、その間にサイト・ツー・サイトのOpenVPN接続があります。これはLAN AからLAN Bへ行くときに動作します。ただし、pfSense Aには静的なグローバルIPが割り当てられているのに対し、Bには静的IPがありません。ドメインはAを指していますが、一部のサーバーがBのLANにあります。今の問題は、パケットはBのLAN内のサーバーに届いているものの、その送信元IPが変わっていないためにpfSense Bがそれらのパケットをデフォルトゲートウェイにルーティングし、サイト間VPNを通って戻ってこないことです。この問題をpfSenseで解決する方法はありますか?
事前にありがとうございます。
あなたが述べている問題はダイナミックDNSが解決します。その結果、エンドポイントはIPではなくDNSアドレスになります。これはIPSecでは単純に解決しますが、OpenVPNについては不明です。
ここの回答が何について話しているのかよくわかりませんが、これは非対称ルーティングと呼ばれます。単純な静的ルートだけではこの問題を解決できない可能性が高いです。返答元のアドレスが外部のパブリックIPだからです。
Bサイトのファイアウォールルールで、返却トラフィックをVPNに戻すことを強制する必要があります。これは、ポリシーベースのルーティングと呼ばれます。BサイトのLANルールに設定し、内部NAT化されたIPアドレスと任意の宛先をソースとして設定し、ゲートウェイにOpenVPNインターフェースを指定します。これにより、NAT化されたトラフィックをVPN経由で送ることが強制されます。必要に応じて、他のトラフィックだけを返すようにルールを微調整できます。
代わりにIPsecを使用してください。OpenVPNを使用する特別な理由はありますか?
IPsecはより高性能で、リモートサブネットもより適切に処理し、安定しています。
また、小さな調整でダイナミックIPの側にも対応可能です。
あなたが正しく理解している場合、すべてのLAN BのトラフィックをLAN Aに出すことを望んでいるようです。つまり、クライアントの入り口 → S2Sトンネル(Aサイトの静的IP)–> LAN Bのサーバー → 出口はAサイト?
BサイトのpfSense LAN Bにファイアウォールルールを追加し、LAN Bから出るすべてのトラフィックをS2Sトンネル(OVPNゲートウェイ経由)でAサイトへ送信します。このOVPNゲートウェイをファイアウォールルール内で指定する必要があります。テキストの通り、Aサイト側のアウトバウンドNATルールも必要かもしれません。
pfSenseのドキュメントに従った例で成功しました…
AサイトのLAN Aのサブネットに対して、OpenVPNサーバIP(LAN AのpfSense)をゲートウェイとして設定した静的ルートを追加する必要があります。OpenVPNクライアントはゲートウェイを作成しますが、手動で設定できない場合は自分でも作成可能です。
まず、回答に感謝します。あなたの言う通りならば、AとB間のIPSecトンネルはパケットを正しく変換して解決しますか?つまり、IPsecトンネルから出るパケットはソースとしてそのままになるのでしょうか?
Impossibleのようです。おそらく、問題は相手側のデバイスが同じIPを持っていることと、そのボックスにルートがないことです。
ネットワークの内側のデバイスのIPが変わったり変わらなかったりは、VPNには関係ありません。相手ゲートウェイに到達できるかどうかだけです。
ありがとうございます。この有益で詳細な回答について。ルールをさらに絞って、最初に通ったトラフィックだけをVPN経由にするにはどうすれば良いですか?もう一つ、BサイトのNAT済みIPは何ですか?WANアドレスですか?これは初めてのネットワーキングです 