pfSense - IPSec通过IPSec隧道可能

Question

我有三个站点连接到两个IPSec隧道：

Site A - 192.168.10.0/24
        |
    IPSec tunnel
        |
Site B - 192.168.0.0/24
        |
    IPSec tunnel
        |
Site C - 10.0.0.0/8

这很好，而且我可以从站点B到达站点A和站点C。我需要的是从站点A到达站点C，这可以用我目前的设置吗？

Answer 1

假设您不想直接在Site和Site之间协商一条额外的隧道，您可以简单地通过就两个现有连接协商适当的IPsec策略来做到这一点(当然，还允许在站点B上转发该流量)。

在站点A和站点B之间协商站点B上的10.0.0.0/8，在站点B和站点C之间协商站点B上的192.168.10.0/24。这使站点A和站点C能够向站点B发送额外的子网，后者还可以适当地转发该通信量(它需要允许从192.168.10.0/24到10.0.0.0/8的前向策略，反之亦然)。

如果使用IKEv2，您可以简单地将附加子网添加到站点B的本地流量选择器中，用于这两个连接中的每一个。类似地，在Site和Site上使用它们的远程流量选择器，或者您可以在那里配置0.0.0.0/0，让站点B对这两个子网进行缩小。