分公司通过总部专线出口IP上外网

1.分公司与总部通过IPSec连接使内网互通后，ipsec隧道已经建立后。
2.在分公司上新增互联网路由推到总公司。
3.总部添加和步骤2对应的路由。

测试环境：
2台pfSense
启用IPSec

参考：
[通过站点到站点 IPsec 隧道路由 Internet 流量](https://docs.netgate.com/pfsense/en/latest/recipes/ipsec-s2s-route-internet-traffic.html "通过站点到站点 IPsec 隧道路由 Internet 流量")

可以在运行 pfSense® 软件的防火墙上使用 IPsec 进行发送 来自远程站点的 Internet 流量，使其似乎来自远程站点 另一个位置。如果供应商需要该连接，则可能需要这样做 源自特定地址。

此隧道的基础是有效的站点到站点 IPsec VPN，如[使用预共享密钥的 IPsec 站点到站点 VPN 示例](https://docs.netgate.com/pfsense/en/latest/recipes/ipsec-s2s-psk.html "使用预共享密钥的 IPsec 站点到站点 VPN 示例")中所述。有关详细说明，请参阅该食谱。 这里只会提到与该食谱的差异。

提醒一下，此示例使用两个站点：

站点 A 是主站点。Internet 流量将退出此位置。

站点 B 是具有 LAN 子网的远程办公室。这是 将穿过隧道并到达互联网的本地流量来源 通过站点 A。10.5.0.0/24

与具有预共享密钥的 IPsec Site-to-Site VPN 示例中的隧道的唯一区别是：

站点 A，第 2 阶段
本地网络
0.0.0.0/0

B站点，2期
远程网络
0.0.0.0/0

这将导致防火墙通过以下方式发送来自 LAN 的所有流量 到隧道远程端的 IPsec 隧道。

## 允许 IPsec 流量通过防火墙
由于此隧道必须传递来自 Internet 的流量，因此防火墙规则必须 要相当宽容。站点 A 上的规则需要传递来自源的流量 站点 B 的 LAN （） 到任何目的地。10.5.0.0/24

提示

防止站点 B 访问站点 A 或站点上的敏感本地资源 连接到其他 VPN，将阻止规则置于传递 互联网流量。

站点 B 的规则不一定必须允许大量流量回流 除非站点 B 上有公共资源，这些资源将覆盖整个 隧道（例如 1：1 NAT、端口转发）。

## 配置出站 NAT
要使站点 B 访问 Internet，站点 A 必须在 离开 WAN 时来自站点 B LAN （） 的流量。10.5.0.0/24

为此，请首先更改站点 A 防火墙上的出站 NAT 模式：

导航到防火墙> NAT，“出站”选项卡

将出站 NAT 模式设置为混合出站 NAT

注意

如果站点 A 已使用此模式或设置为“手动”，则不要更改 模式。

点击保存

使用此模式将允许默认的自动 NAT 规则继续工作 不需要完整的手动规则集。现在，将自定义规则添加到 与站点 B 匹配的列表：

单击“添加” FA-升级

设置以下值：

源
网络，10.5.0.0/24

目的地
任何

翻译地址
接口地址

描述
NAT for IPsec tunnel Site B

点击保存

单击应用更改。

新条目现在位于出站 NAT 规则列表中。

此时，站点 B 将通过 IPsec 建立有效的 Internet 连接 隧道和站点 A 的 Internet 提供商。来自站点 B 的任何 Internet 流量 看起来好像来自站点 A。

参考：
[FortiGate IPSec+策略路由实现流量的路径分发](https://blog.csdn.net/m0_54768192/article/details/128721763 "FortiGate IPSec+策略路由实现流量的路径分发")