Nos estamos integrando con un tercero y requieren el uso de una VPN IPSec L2L para la comunicación. He configurado correctamente la VPN IPSEC y el túnel está activo, pero ahora parece que no puedo pasar tráfico a través de él porque la dirección IP de origen no es correcta (supongo). Soy un tipo de software, no de redes, así que
El tercero nos ha exigido que utilicemos la subred 172.31.168.0/24, pero esto entra en conflicto con nuestra dirección interna (AWS VPC) de 10.0.11.0/24. Agregué una NAT 1:1 para
- fuente: Cualquiera
- destino: <dominio de cifrado externo>
- externo: 172.31.168.0/24
pero hacer un traceroute desde la máquina pfsense a una IP en el rango del dominio de cifrado envía el tráfico a través de Internet.
He configurado una ruta predeterminada del servidor de aplicaciones para que sea el cuadro PFSense y puedo ver el servidor de aplicaciones conectándose a servicios externos en el registro del firewall, pero no hay elementos relacionados con ipsec.
¿Es posible lo que estoy tratando de hacer?
Usando PFSense versión 2.1.5-RELEASE (amd64)
Respuesta1
pero hacer un traceroute desde la máquina pfsense a una IP en el rango del dominio de cifrado envía el tráfico a través de Internet.
Esta es una clara indicación de que no tiene sus entradas de IPsec Fase 2 configuradas correctamente. IPsec coincide con el tráfico únicamente en la subred IP de origen/destino, y si no envía el tráfico deseado por el túnel, tiene un problema de configuración P2.
Respuesta2
Bien, la solución a esto fue eliminar todas las reglas NAT de PFSense y colocar la subred local real como dominio local en la entrada de la fase 2 de pfsense en el sitio A, luego colocar el dominio de cifrado como la "dirección a traducir".
Enrute el tráfico desde los servidores de aplicaciones a través de pfsense y todo lo destinado al dominio enc del sitio B se enrutará a través de ipsec.