AWS Marketplace에서 출시된 pfSense 어플라이언스에 네트워킹 문제가 있습니다. 네트워크는 다음과 같습니다.
- 우리는 고객 체크포인트 어플라이언스에 연결합니다. 라우팅하려면 공개 IP를 제공해야 합니다.내부에VPN의 우리 쪽.
- 인바운드 전용 시스템은 VPN 측에서 들어오는 연결만 허용합니다.
- 아웃바운드만 가능하며 고객 측에서 연결을 설정할 수 있지만 그 반대 방향에서는 설정할 수 없습니다.
- 터널은 IKEv1을 사용합니다.
pfSense의 현재 구성:
- 포트 전달 NAT 규칙은 대상 IP 주소를 3.3.3.3에서 172.1.1.2로 변경합니다.
- 네트워크 10.1.0.0/16의 아웃바운드 NAT는 소스 IP를 172.1.1.1(pfSense의 개인 IP)로 변환합니다.
- 또 다른 아웃바운드 NAT는 10.1.0.0/16으로 향하는 패킷에 대해 소스를 3.3.3.3으로 설정합니다.
VPN/Sec 그룹의 현재 구성:
- pfSense와 172.1.1.2는 모두 동일한 서브넷에 있고 동일한 SG에 있습니다.
- SG는 SG 내의 모든 트래픽을 허용합니다.
- 라우팅 테이블은 10.1.0.0/16으로 의도된 패킷을 pfSense의 ENI로 보냅니다(172.1.1.2에서 pfSense에 직접 경로를 추가하려고 시도함).
지금 상황은 이렇습니다.
- 터널이 성공적으로 설정되었습니다.
- 아웃바운드에서만 애플리케이션 서버에 접근할 수 있습니다.
- pfSense 상자에서는 인바운드에만 액세스할 수 있습니다.
- 172.1.1.2의 앱 서버에서는 인바운드에만 액세스할 수 없습니다.내가 예상했던 대로
더 많은 정보:
- 172.1.1.2의 tcpdumps는 10.1.1.1과 SYN을 시도하는 패킷을 보여줍니다. 172.1.1.1을 통해 10.1.0.0/16용 172.1.1.2에서 라우팅 테이블을 설정하면 데이터프레임 대상에서 pfSense의 MAC을 볼 수 있습니다.
- pfSense 인터페이스의 tcpdump보여주지 마시오172.1.1.2에서 들어오는 패킷
- pfSense의 IPSec 인터페이스에 있는 tcpdump는 10.1.1.1용 패킷을 표시하지 않습니다.
- VPC 흐름 로그에는 ENI 172.1.1.2에서 나가는 허용된 패킷이 표시됩니다.
- VPC 흐름 로그에는 10.1.1.1용 pfSense의 ENI에서 들어오는 패킷이 표시되지 않습니다.
위의 모든 사항을 고려하면 AWS 네트워킹이 패킷을 삭제하는 것처럼 보이지만 그 이유를 알 수 없습니다.
내가 연결할 수 있는 아이디어가 inbound only있나요 172.1.1.2?
감사합니다!