우리는 제3자와 통합하고 있으며 통신을 위해 L2L IPSec VPN을 사용해야 합니다. IPSEC VPN을 성공적으로 구성했고 터널이 작동 중이지만 이제 소스 IP 주소가 올바르지 않기 때문에 트래픽이 통과할 수 없는 것 같습니다(가정). 나는 네트워크 전문가가 아닌 소프트웨어 전문가이므로
타사에서는 서브넷 172.31.168.0/24를 사용하도록 요구했지만 이는 내부 주소 지정(AWS VPC) 10.0.11.0/24와 충돌합니다. 1:1 NAT를 추가했습니다.
- 출처 : 모두
- dest: <외부 암호화 도메인>
- 외부 : 172.31.168.0/24
그러나 pfsense 시스템에서 암호화 도메인 범위의 IP로 경로 추적을 수행하면 트래픽이 인터넷을 통해 전송됩니다.
앱 서버 기본 경로를 PFSense 상자로 설정했으며 방화벽 로그에서 앱 서버가 외부 서비스에 연결되는 것을 볼 수 있지만 IPsec 관련 내용은 볼 수 없습니까?
내가 하려는 일이 가능할까요?
PFSense 버전 2.1.5-RELEASE(amd64) 사용
답변1
하지만 pfsense 시스템에서 암호화 도메인 범위의 IP로 경로 추적을 수행하면 트래픽이 인터넷을 통해 전송됩니다.
이는 IPsec Phase 2 항목이 올바르게 구성되지 않았음을 분명히 나타냅니다. IPsec은 소스/대상 IP 서브넷에서만 트래픽을 일치시키며, 원하는 트래픽을 터널 아래로 보내지 않는 경우 P2 구성 문제가 있는 것입니다.
답변2
이에 대한 해결책은 PFSense에서 모든 NAT 규칙을 제거하고 실제 로컬 서브넷을 사이트 A의 pfsense 2단계 항목에 로컬 도메인으로 넣은 다음 암호화 도메인을 "변환할 주소"로 넣는 것이었습니다.
pfsense를 통해 앱 서버의 트래픽을 라우팅하면 사이트 B enc 도메인으로 향하는 모든 것이 ipsec을 통해 라우팅됩니다!