AWS マーケットプレイスから起動した pfSense アプライアンスでネットワークの問題が発生しています。ネットワークは次のようになります。
- 顧客のチェックポイントアプライアンスに接続します。ルーティングにはパブリックIPの提供が必要です。内部VPN の当社側。
- 受信専用マシン。VPN のこちら側からの受信接続のみを受け入れます。
- 送信のみ。顧客側から接続を確立できますが、その逆はできません。
- トンネルはIKEv1を使用する
pfSense の現在の構成:
- ポート転送NATルールにより、宛先IPアドレスが3.3.3.3から172.1.1.2に変更されます。
- ネットワーク 10.1.0.0/16 からのアウトバウンド NAT は、送信元 IP を 172.1.1.1 (pfSense のプライベート IP) に変換します。
- 別のアウトバウンドNATは、10.1.0.0/16宛のパケットの送信元を3.3.3.3に設定します。
VPN / Sec グループの現在の構成:
- pfSenseと172.1.1.2は同じサブネットにあり、同じSGです。
- SGはSG内のすべてのトラフィックを許可します
- ルーティング テーブルは、10.1.0.0/16 宛てのパケットを pfSense の ENI に送信します (172.1.1.2 のルートを pfSense に直接追加しようとしました)
現在の状況は次のようになります。
- トンネルは正常に確立されました
- アウトバウンドからのみアプリケーションサーバーにアクセスできます
- pfSenseボックスからは受信のみにアクセスできます
- 172.1.1.2のアプリケーションサーバーからは受信のみアクセスできません予想通り
より詳しい情報:
- 172.1.1.2 の tcpdumps には、10.1.1.1 と SYN しようとしているパケットが表示されます。172.1.1.1 経由で 10.1.0.0/16 のルーティング テーブルを 172.1.1.2 に設定すると、データフレームの宛先に pfSense の MAC が表示されます。
- pfSense インターフェースの tcpdumps見せないで172.1.1.2 から来るパケット
- pfSense の IPSec インターフェースの tcpdumps には 10.1.1.1 宛てのパケットが表示されない
- VPC フローログには、ENI 172.1.1.2 から送信されるパケットが受け入れられたことが示されています。
- VPC フロー ログには、10.1.1.1 向けの pfSense の ENI に着信するパケットが表示されません。
上記のすべてを考慮すると、AWS ネットワークがパケットを破棄しているように思われますが、その理由はわかりません。
inbound only何から接続すればよいか、何かアイデアはありますか172.1.1.2?
ありがとう!