Túnel IPSec con problemas de red pfSense

tag-icon tag-icon amazon-web-services vpn nat pfsense
Túnel IPSec con problemas de red pfSense

Tengo problemas de red con un dispositivo pfSense lanzado desde el mercado de AWS. La red se parece a esto:

Configuración aproximada

  • Nos conectamos a nuestro dispositivo de control de clientes. Requieren que proporcionemos una IP pública para enrutaradentronuestro lado de la VPN.
  • Máquina solo entrante, solo acepta conexiones entrantes de nuestro lado de la VPN
  • Sólo de salida, se puede establecer una conexión desde el lado del cliente, pero no al revés.
  • El túnel utiliza IKEv1

Configuración actual de pfSense:

  • Una regla NAT de reenvío de puerto cambia la dirección IP de destino de 3.3.3.3 a 172.1.1.2
  • Una NAT saliente de la red 10.1.0.0/16 convierte la IP de origen a 172.1.1.1 (que es la IP privada de pfSense)
  • Otra NAT saliente establece el origen en 3.3.3.3 para los paquetes destinados a 10.1.0.0/16.

Configuración actual de grupos VPN/Sec:

  • Tanto pfSense como 172.1.1.2 están en la misma subred y en el mismo SG
  • SG permite todo el tráfico dentro del SG
  • Una tabla de enrutamiento envía paquetes destinados a 10.1.0.0/16 al ENI en pfSense (también intenté agregar una ruta directamente en 172.1.1.2 a pfSense)

La situación ahora es así:

  • El túnel se establece con éxito
  • Solo desde la salida, puedo acceder al servidor de aplicaciones.
  • Desde el cuadro de pfSense, solo puedo acceder a llamadas entrantes.
  • Desde el servidor de aplicaciones en 172.1.1.2 no puedo acceder solo de entradacomo esperaría

Más información:

  • tcpdumps en 172.1.1.2 muestra paquetes que intentan SINCRONIZAR con 10.1.1.1. Al configurar la tabla de enrutamiento en 172.1.1.2 para 10.1.0.0/16 a través de 172.1.1.1, puedo ver la MAC de pfSense en el destino del marco de datos.
  • tcpdumps en la interfaz pfSenseno mostrarpaquetes provenientes de 172.1.1.2
  • tcpdumps en la interfaz IPSec en pfSense no muestra los paquetes destinados a 10.1.1.1
  • Los registros de flujo de VPC muestran los paquetes aceptados que salen de ENI 172.1.1.2
  • Los registros de flujo de VPC no muestran los paquetes que llegan a ENI en pfSense destinado a 10.1.1.1

Teniendo en cuenta todo lo anterior, me parece que la red de AWS está descartando los paquetes, pero no puedo entender por qué.

inbound only¿Alguna idea desde dónde puedo intentar conectarme 172.1.1.2?

¡Gracias!

información relacionada