Wie der Titel schon sagt, kann ich keine bidirektionale Verbindung wie SSH auf Phase 2 VIP herstellen, das mit NAT 1:1 an die LAN-IP angeschlossen ist.
Phase 1 und Phase 2 sind aktiv. Die Remote-IP von Phase 2 ist 192.168.1.248 und die lokale IP ist 172.16.250.10 (VIP).
Ich habe sowohl auf der LAN-Schnittstelle als auch auf der IPSec-Schnittstelle ein NAT 1:1 erstellt, das besagt: Externe IP 172.16.250.10 (VIP...) Interne IP 192.192.168.1.253 (tatsächliche pfSense-IP)
Um dies zu testen, versuche ich im Moment nur SSH. Ich habe zwei Regeln für die Firewall erstellt, eine für ICMP und eine für SSH.
ICMP funktioniert einwandfrei – ich bin mir nicht sicher, warum. Hier sind die Regeln und die Paketerfassung für ICMP und SSH:
Regeln:
Paketerfassung des ICMP – Einige Informationen sind unscharf, da ich nicht sicher bin, wozu sie dienen …:
Und hier ist eine Paketerfassung eines SSH-Versuchs – der erfolglos ist, mit sowohl einem Telnet-Test als auch einem SSH-Test selbst im Protokoll:
Wie Sie sehen, reagierte pfSense nicht wie beim ICMP. Dies passiert auch, wenn ich alle Regeln für IPSEC und LAN zulasse, und passiert auch bei anderen Diensten wie Zabbix-Ports. Zur Klarstellung: Ja, SSH ist aktiviert.
Ich möchte auch vorab darüber informieren, dass ich eine statische Route für IN → OUT erstellt habe (die einwandfrei funktioniert).
Ich bin hierher gekommen, weil mir wirklich die Ideen ausgehen und ich Hilfe brauche. Kann mir jemand etwas Licht in die Sache bringen?
Danke schön.
Antwort1
Die Lösung bestand darin, auf einer der Seiten ein BINAT zu erstellen, um Konflikte bei Netzwerken mit gleichen Adressbereichen zu vermeiden.