×××组网
×××是我公司必须用到的功能。现在公司规模在扩大,我们的海底数据4M回台湾的带宽根本是没有办法老满足现在的需求,特别是每天早上的流量特别大,经常有几个人在抱怨!没有办法只好将他们使用的oracleERP的优先权调到最高级,这样他们都闭嘴了。实在是不想听到他们抱怨,和他们说带宽不足根本就是对牛弹琴!公司没有钱升到6M我有什么办法呢?
不过现在已经没有使用pfsense来做×××了,我们花了十几万的foretigate一直没有用是资源浪费,所以在前两个月让pfsense退休了!我做的学习实验全部都在内网里面做的,不是没有公网IP,这次真的要使用OPEN×××了,这个在下回的学习中再讲叙。
下面我们来说说两个有静态公网IP的××× tunnel的建立。首先简单说明下建立的要点。建立的过程简单,最重要的是要保持两台pfsense的设定要一致。否则会导致失败!建立之后如果有VLAN存在的话,还要在pfsense的里为vlan设定静态路由。设置静态路由的时候注意网内的网关是多少,如果有CORE SWICTH做网关的话一定要指到CORE上!
首先我们来找到IPSEC,在×××下面的IPSEC
![](https://i-blog.csdnimg.cn/blog_migrate/9005e57397e1b2ddfc32d4868f0b6e03.jpeg)
点击右边的+号来增加编辑
![](https://i-blog.csdnimg.cn/blog_migrate/9e80faae74978c4cd6b40287b8d2e3fe.jpeg)
在下面的interface上选择WAN,local subnet上选择pfsense所在的网段,我这里pfsense一直使用的是192.168.100.254的IP,remote sunbet我這裏假設對方是pfsnese所在的網段為192.168.200.0/24.remote gateway 填寫對方的公網網關喲!這裏保密我用了字母,描述最好寫下,英文的比如××× TO SHENZHEN,這樣會印象深刻點
![](https://i-blog.csdnimg.cn/blog_migrate/cfc1888736211080d3a25be12ca8e08e.jpeg)
如下圖設置。我選擇通道加密方式最為簡單的。這種方式的好處是速度處理會比其他方式稍微快一點。不過PRE-share-key呢就不要太過於簡單了!lifetime可以不寫不過要寫的話最好兩邊都要設一直喲!
![](https://i-blog.csdnimg.cn/blog_migrate/6ec0657da321b52ba9c01ddac26de2a4.jpeg)
下面同样设置教为简单的模式,keep alive下面填写对方网关IP地址。
![](https://i-blog.csdnimg.cn/blog_migrate/c655df18d0ad97d114ea76dc9178a041.jpeg)
保存后回到IPSEC的主页启动IPSEC
![](https://i-blog.csdnimg.cn/blog_migrate/dd510d7ea90b92393bc154e636e01883.jpeg)
这样我们已经设定好一边了!另外一边的话是依样画葫芦,只不过是某些IP地址要填写是对方的就可以了!因为我这里没有真正的去做,指示将之前我们公司的设定照抄下来,做好笔记避免长时间记忆消失了!如果要检查IPSEC的状态,请转移到STATUS菜单下的IPSEC,这里就不讲叙了!如果在pfsense退休之前抓个图多好呀!
下面来说说如果对方是ADSL拨号的动态×××的连接。
既然是动态当然就不能使用IP地址了,那我们就要使用动态域名了!所以要先设置好自己的pfsense拨号和域名,该配置在前面的学习中有提到过,虽然讲的不是很清楚,希望大家都能理解和交流。
在下面的图片在中选mobile client
![](https://i-blog.csdnimg.cn/blog_migrate/8b9c4e4635ab0bdc845ea05c44c29438.jpeg)
填写和对方静态IP×××一样的设定
![](https://i-blog.csdnimg.cn/blog_migrate/6846ff741154b22fa80fee2786027225.jpeg)
然后再设定密码和完整域名!
![](https://i-blog.csdnimg.cn/blog_migrate/abc39dbb93e809cbc776fa11f15a6378.jpeg)
因为这个实验我没实际地去做!我先写出来,希望过段时间我们深圳的分公司可以建立一个到时候就有机会验证这个实验的成败了!到时候会和OPN×××一起实验!
保存以上的设置后我们会发现FIREWALL下面的RULES会多出一个IPSEC的选项,在这里我们可以为IPSEC建立一个规则。一般情况下全部的协议和IP都通过!
×××建立之后pfsense所在的网段就可以互相通信了,那么其他网段还需要建立路由才能互相通信。路由在system下面的router下面建立。两边的PFSENSE要互为回路!这里就不再介绍了!
转载于:https://blog.51cto.com/44001217/181991