私は現在、2つのpfsenseアプライアンス(2.0.2)を使用してs2sVPNを構築しています。トンネルは構築されますが、一方の側からもう一方の側にトラフィックをルーティングできません。テストラボを確認してください。
さて、エラーを絞り込むために新しいテストラボを作成します。これが私が行っていることです:
-> VPNトンネルが起動し、pfsenseの両端でアップ状態が表示されます。 他に何もpfsenseで構成されていません
サイトAのクライアントはサイトBのクライアントにpingを実行できません。その逆も同様です。 pathpingは、ルートがクライアントのgw(PFSense LANポート)で終了することを示します。
サイトAのPFSenseは、LANおよびWANインターフェイスを使用してサイトBのクライアントにpingを実行できませんが、OTP1インターフェイスを使用して正常に動作します。ただし、サイトBのクライアントはサイトAのPFSenseにpingを実行できません。
ただし、これはサイトBのPFSenseからサイトAのクライアントへのpingには当てはまりません。pingはどのインターフェイスからも機能しません。ここでも、サイトAのクライアントからサイトBのPFSenseにpingを実行すると失敗します。
また、サイトBのPFSenseは、サイトAのクライアントにpingを実行できません。その逆も同様です。 WAN、LAN、およびOTP1インターフェイスを使用してpingを送信することをテストしました。
奇妙なことに、サイトAのPFsenseはサイトBのPFSenseにpingを実行できますが、その逆はできません。
サイトAのpfsenseである直接クライアントのみが、リモートネットワーク上のすべてのもの(pfsenseまたは任意のクライアント)と通信できるようです。 pfsenseを介してルーティングしようとするクライアントは、pfsenseと同じサブネット上にあると考えても通信に失敗するため、ネットワークをリモートサイトに認識させる必要があります。また、サーバーサイト(B)で開始された通信は、クライアントサイト(A)の何にも到達していないようです。
これにより2つの質問が発生します:-PFsense/OpenVPNに、(同じサブネットから)pfsense経由でルーティングするクライアントからのVPNトランスポートトラフィックも送信するように指示するにはどうすればよいですか(NATは機能すると思いますが他に方法はありませんか?)-サーバーサイト(B)で生成されたトラフィックがVPN経由でクライアントサイトに移動できるようにするにはどうすればよいですか?
編集番号2
これをサーバー側の高度な構成に追加しましたが、上記のテストで説明した以外の効果はありませんでした。
route 192.168.2.0 255.255.255.0;Push "route 192.168.3.0 255.255.255.0";
また、pfsense 2.0.1を使用して、vpn接続が確立されると、ovpnインターフェイスのIPがゲートウェイに追加されたゲートウェイがあることに気付きました。これにより、そのインターフェイスを使用してリモートネットワークに静的ルートを追加できるようになりました。私はこれをサイトAとサイトB(または必要に応じてクライアントとサーバー)の両方で行いました。
編集番号
ここにルートを示す画面があります:サイトB(サーバー)ルート:
サイトA(クライアント):
S2sの状況では、プッシュルートではなく静的ルートを使用します。または、ネットワークの複雑さに応じて、OSPFを使用してルートを交換します。しかし、正直なところ、私はs2sの状況でルートをプッシュしようとしたことはありません。簡単なセットアップでは問題なく動作する場合があります。
Pfsenseでopenvpnを使用してs2をセットアップするには、openvpnサーバー/クライアントを構成した後、2つのことを行う必要があります。