サードパーティと統合しており、通信にはL2L IPSec VPNの使用が必要です。IPSEC VPNは正常に構成され、トンネルは起動していますが、ソースIPアドレスが正しくないため、トラフィックを通過させることができないようです(推測)。私はソフトウェア担当者であり、ネットワーク担当者ではないので、
サードパーティはサブネット172.31.168.0/24の使用を要求しましたが、これは10.0.11.0/24の内部アドレス(AWS VPC)と競合します。1:1 NATを追加しました。
- 出典: 任意
- dest: <外部暗号化ドメイン>
- 外部: 172.31.168.0/24
しかし、pfsense マシンから暗号化ドメイン範囲内の IP に traceroute を実行すると、トラフィックがインターネット経由で送信されます。
アプリ サーバーのデフォルト ルートを PFSense ボックスに設定しましたが、ファイアウォール ログでアプリ サーバーが外部サービスに接続していることを確認できますが、IPsec 関連のものは表示されません。
私がやろうとしていることは可能なのでしょうか?
PFSense バージョン 2.1.5-RELEASE (amd64) の使用
答え1
しかし、pfsenseマシンから暗号化ドメイン範囲内のIPにtracerouteを実行すると、トラフィックがインターネット経由で送信されます。
これは、IPsec フェーズ 2 エントリが正しく構成されていないことを明確に示しています。IPsec は、送信元/宛先 IP サブネットのみでトラフィックを照合し、目的のトラフィックがトンネルに送信されない場合は、P2 構成に問題があります。
答え2
さて、この問題の解決策は、PFSense からすべての NAT ルールを削除し、実際のローカル サブネットをサイト A の pfsense フェーズ 2 エントリのローカル ドメインとして配置し、暗号化ドメインを「変換するアドレス」として配置することでした。
アプリケーション サーバーからのトラフィックを pfsense 経由でルーティングすると、サイト B enc ドメイン宛てのものはすべて ipsec 経由でルーティングされます。