***組網
***是我公司必須用到的功能。現在公司規模在擴大,我們的海底數據4M回臺灣的帶寬根本是沒有辦法老滿足現在的需求,特別是每天早上的流量特別大,經常有幾個人在抱怨!沒有辦法只好將他們使用的oracleERP的優先權調到最高級,這樣他們都閉嘴了。實在是不想聽到他們抱怨,和他們說帶寬不足根本就是對牛彈琴!公司沒有錢升到6M我有什麼辦法呢?
不過現在已經沒有使用pfsense來做***了,我們花了十幾萬的foretigate一直沒有用是資源浪費,所以在前兩個月讓pfsense退休了!我做的學習實驗全部都在內網裏面做的,不是沒有公網IP,這次真的要使用OPEN***了,這個在下回的學習中再講敘。
下面我們來說說兩個有靜態公網IP的*** tunnel的建立。首先簡單說明下建立的要點。建立的過程簡單,最重要的是要保持兩臺pfsense的設定要一致。否則會導致失敗!建立之後如果有VLAN存在的話,還要在pfsense的裏爲vlan設定靜態路由。設置靜態路由的時候注意網內的網關是多少,如果有CORE SWICTH做網關的話一定要指到CORE上!
首先我們來找到IPSEC,在***下面的IPSEC
點擊右邊的+號來增加編輯
在下面的interface上選擇WAN,local subnet上選擇pfsense所在的網段,我這裏pfsense一直使用的是192.168.100.254的IP,remote sunbet我這裏假設對方是pfsnese所在的網段為192.168.200.0/24.remote gateway 填寫對方的公網網關喲!這裏保密我用了字母,描述最好寫下,英文的比如*** TO SHENZHEN,這樣會印象深刻點
如下圖設置。我選擇通道加密方式最為簡單的。這種方式的好處是速度處理會比其他方式稍微快一點。不過PRE-share-key呢就不要太過於簡單了!lifetime可以不寫不過要寫的話最好兩邊都要設一直喲!
下面同樣設置教爲簡單的模式,keep alive下面填寫對方網關IP地址。
保存後回到IPSEC的主頁啓動IPSEC
這樣我們已經設定好一邊了!另外一邊的話是依樣畫葫蘆,只不過是某些IP地址要填寫是對方的就可以了!因爲我這裏沒有真正的去做,指示將之前我們公司的設定照抄下來,做好筆記避免長時間記憶消失了!如果要檢查IPSEC的狀態,請轉移到STATUS菜單下的IPSEC,這裏就不講敘了!如果在pfsense退休之前抓個圖多好呀!
下面來說說如果對方是ADSL撥號的動態***的連接。
既然是動態當然就不能使用IP地址了,那我們就要使用動態域名了!所以要先設置好自己的pfsense撥號和域名,該配置在前面的學習中有提到過,雖然講的不是很清楚,希望大家都能理解和交流。
在下面的圖片在中選mobile client
填寫和對方靜態IP***一樣的設定
然後再設定密碼和完整域名!
因爲這個實驗我沒實際地去做!我先寫出來,希望過段時間我們深圳的分公司可以建立一個到時候就有機會驗證這個實驗的成敗了!到時候會和OPN***一起實驗!
保存以上的設置後我們會發現FIREWALL下面的RULES會多出一個IPSEC的選項,在這裏我們可以爲IPSEC建立一個規則。一般情況下全部的協議和IP都通過!
***建立之後pfsense所在的網段就可以互相通信了,那麼其他網段還需要建立路由才能互相通信。路由在system下面的router下面建立。兩邊的PFSENSE要互爲迴路!這裏就不再介紹了!