Wir integrieren mit einem Drittanbieter und dieser verlangt die Verwendung eines L2L IPSec VPN für die Kommunikation. Ich habe das IPSEC VPN erfolgreich konfiguriert und der Tunnel ist aktiv, aber jetzt kann der Datenverkehr anscheinend nicht durchgelassen werden, weil die Quell-IP-Adresse nicht korrekt ist (nehme ich an). Ich bin ein Software-Typ, kein Netzwerk-Typ, also
Der Drittanbieter hat uns aufgefordert, das Subnetz 172.31.168.0/24 zu verwenden, aber dies steht im Widerspruch zu unserer internen Adressierung (AWS VPC) von 10.0.11.0/24. Ich habe ein 1:1 NAT für
- Quelle: Beliebig
- Ziel: <externe Verschlüsselungsdomäne>
- extern: 172.31.168.0/24
Aber wenn Sie einen Traceroute von der PFSense-Maschine zu einer IP im Verschlüsselungsdomänenbereich ausführen, wird der Datenverkehr über das Internet gesendet.
Ich habe die Standardroute eines App-Servers als PFSense-Box eingerichtet und kann im Firewall-Protokoll sehen, dass der App-Server Verbindungen zu externen Diensten herstellt, aber nichts mit IPSec-Bezug?
Ist das, was ich versuche, überhaupt möglich?
Verwenden von PFSense Version 2.1.5-RELEASE (amd64)
Antwort1
aber ein Traceroute von der PFSense-Maschine zu einer IP im Bereich der Verschlüsselungsdomäne sendet den Datenverkehr über das Internet
Dies ist ein klares Anzeichen dafür, dass Ihre IPsec-Phase-2-Einträge nicht richtig konfiguriert sind. IPsec gleicht den Datenverkehr ausschließlich auf dem Quell-/Ziel-IP-Subnetz ab, und wenn der gewünschte Datenverkehr nicht durch den Tunnel gesendet wird, liegt ein P2-Konfigurationsproblem vor.
Antwort2
Okay, die Lösung hierfür bestand darin, alle NAT-Regeln aus PFSense zu entfernen und das tatsächliche lokale Subnetz als lokale Domäne im PFSense-Phase-2-Eintrag auf Site A einzufügen und dann die Verschlüsselungsdomäne als „zu übersetzende Adresse“ einzufügen.
Leiten Sie den Datenverkehr von App-Servern über PFsense und alles, was für die Site B-Enc-Domäne bestimmt ist, wird über IPSec geleitet!