IPSec-Tunnel mit pfSense-Netzwerkproblemen

tag-icon tag-icon amazon-web-services vpn nat pfsense
IPSec-Tunnel mit pfSense-Netzwerkproblemen

Ich habe Netzwerkprobleme mit einem pfSense-Gerät, das vom AWS-Marktplatz gestartet wurde. Das Netzwerk sieht ungefähr so ​​aus:

Ungefähre Konfiguration

  • Wir stellen eine Verbindung zu unserem Kunden-Checkpoint-Gerät her. Sie verlangen, dass wir eine öffentliche IP-Adresse für die Weiterleitung bereitstellen.innenunsere Seite des VPN.
  • Nur eingehender Computer, akzeptiert nur eingehende Verbindungen von unserer Seite des VPN
  • Nur ausgehend, kann eine Verbindung von der Kundenseite aus herstellen, aber nicht umgekehrt.
  • Der Tunnel verwendet IKEv1

Aktuelle Konfiguration von pfSense:

  • Eine Portweiterleitungs-NAT-Regel ändert die Ziel-IP-Adresse von 3.3.3.3 auf 172.1.1.2
  • Ein ausgehendes NAT vom Netzwerk 10.1.0.0/16 konvertiert die Quell-IP in 172.1.1.1 (die private IP von pfSense).
  • Ein weiteres Outbound-NAT setzt die Quelle auf 3.3.3.3 für Pakete, die an 10.1.0.0/16 gerichtet sind

Aktuelle Konfiguration der VPN/Sec-Gruppen:

  • Sowohl pfSense als auch 172.1.1.2 befinden sich im selben Subnetz und in derselben SG
  • SG erlaubt den gesamten Verkehr innerhalb der SG
  • Eine Routing-Tabelle sendet Pakete, die für 10.1.0.0/16 bestimmt sind, an das ENI im pfSense (es wurde auch versucht, eine Route direkt in 172.1.1.2 zu pfSense hinzuzufügen)

Die Situation ist jetzt wie folgt:

  • Der Tunnel wird erfolgreich errichtet
  • Nur von außen kann ich auf den Anwendungsserver zugreifen
  • Von der pfSense-Box aus kann ich nur auf eingehende
  • Vom App-Server unter 172.1.1.2 kann ich nicht nur auf eingehende Nachrichten zugreifen.wie ich es erwarten würde

Mehr Info:

  • TCPdumps in 172.1.1.2 zeigen Pakete, die versuchen, eine SYN mit 10.1.1.1 durchzuführen. Wenn ich die Routing-Tabelle in 172.1.1.2 für 10.1.0.0/16 über 172.1.1.1 einstelle, kann ich die MAC von pfSense im Datenrahmenziel sehen.
  • TCPdumps in der pfSense-SchnittstelleZeig nichtPakete von 172.1.1.2
  • TCPdumps in der IPSec-Schnittstelle in pfSense zeigen keine für 10.1.1.1 bestimmten Pakete an
  • VPC-Flussprotokolle zeigen akzeptierte Pakete, die aus ENI 172.1.1.2 ausgehen
  • VPC-Flussprotokolle zeigen keine Pakete an, die im ENI in pfSense eingehen, das für 10.1.1.1 vorgesehen ist

Aus all dem oben Gesagten ergibt sich für mich der Eindruck, dass das AWS-Netzwerk die Pakete verwirft, ich kann mir aber nicht erklären, warum.

inbound onlyIrgendwelche Ideen, von wo aus ich versuchen kann, eine Verbindung herzustellen 172.1.1.2?

Danke schön!

verwandte Informationen