opnsense zerotier防火墙设置求助

[pdd]

opnsense 作为防火墙，内网里面有个zerotier设备作为vpn接入，但是我从外面接入时延迟会来回变，应该是节点有所变化，低延迟时无法访问内网，高延迟时却可以访问内网，请教下防火墙规则如何设置呢

[Nortant]

需要逐步排查问题，你说的"从外面接入"的意思，应该是说从外网通过VPN接入内网，你说的延迟会变，source和host分别是什么，因为这里涉及不止一层的网络关系。

1. VPN会有一个tunnel的私有网络。
2. OPNsense和这个VPN连接的interface有一个私有网络。
3. OPNsense至少有个wan网络？
4. OPNsense是否还有其他lan网络？

如果可以，先尝试从VPN设备开始ping，到internet，到wan，到lan，到远端VPN设备，观察延迟。

内部VPN是否有开exit node，内部VPN是否有广播内部网络。

如果这些问题都排查完毕，OPNsense的规则也需要根据你的实际拓扑和连接情况来设置。

我提供我的情况供参考。

这是我的拓扑结构：
You cannot view this attachment.

我的VPN在OPNsense内连接了虚拟的interface并有自己的内网网段。
我的要求是，通过VPN连接到我内网的设备，可以访问WAN,VE,VM，但不可以访问LAN。
那么我需要做的设置如下：
1. VPN需要设置为exit node。
2. VPN需要广播VE，VM网段。
3. OPNsense的规则，有两种方式可以配置：
（1）VPN的interface入站规则source：any，destination：any。入站规则需要显式配置。同时，LAN出站规则对VPN进行阻止，看情况对VE和VM的出站规则配置，因为OPNsense的出站规则默认是允许。
（2）VPN的interface入站规则的destination，需要先配置一个alias，确定需要包含的网络，然后再在配置规则的时候反选，我用的就是这种方法。

这里需要注意的是，VPN的tunnel出来的流量，是否会被VPN进行一次NAT，这个在设置OPNsense规则的时候要清楚，否则虽然是针对VPN的interface进行设置，但源头如果只选VPN network的话，可能会不起作用，因为有可能VPN没有通过NAT转换地址，source地址仍然是VPN内部的私有地址，那么防火墙规则就不会被套用，又因为是显式配置，没有匹配到条目的话就会被drop。