如何为前置负载均衡器的pfSense设置IPsec

问题描述

我正在尝试建立以下配置的网络：

我的负载均衡器是TPlink - E3707-M2 面临的挑战是pfSense需要具有公共IP的WAN接口，但前置的负载均衡器只提供私有IP地址。

考虑到我需要建立到不同站点的IPsec隧道，如果pfSense位于负载均衡器后面且只获得私有IP，该如何实现？

是否可以在私有IP上运行IPsec？或者我需要在负载均衡器上配置某些设置（例如端口转发或1:1 NAT）才能使其工作？

任何见解或设置示例将不胜感激。谢谢！

通常，公共和私有地址范围不能直接相互通信。除了代理之外，私有到公共需要源NAT，而公共到私有需要目标NAT（也称为反向NAT或端口转发）。

原生IPsec无法通过NAT工作，因此需要使用NAT穿越UDP封装（NAT-T，使用UDP端口4500）。

如果pfSense创建出站IPsec连接，负载均衡器上已有的源NAT（据我假设）应该足够。确保链路伙伴启用了NAT-T。

很可能，您需要告诉负载均衡器优先使用特定的WAN链路进行主动-被动设置，这样您就知道IPsec链路的位置。

同时使用两个WAN链路需要两个受控的IPsec隧道，通过它们进行等成本多路径路由（ECMP）。对于可能不平衡的WAN链路和显著不同的RTT、抖动等，我强烈不建议这样做。使用具有回退功能的基于应用程序的策略路由或类似方案应该不是问题。

入站连接需要使用在负载均衡器上终止的公共IP地址。从那里，您需要设置UDP端口4500的目标NAT到pfSense。