pfSense 네트워킹 문제가 있는 IPSec 터널

pfSense 네트워킹 문제가 있는 IPSec 터널

AWS Marketplace에서 출시된 pfSense 어플라이언스에 네트워킹 문제가 있습니다. 네트워크는 다음과 같습니다.

대략적인 구성

  • 우리는 고객 체크포인트 어플라이언스에 연결합니다. 라우팅하려면 공개 IP를 제공해야 합니다.내부에VPN의 우리 쪽.
  • 인바운드 전용 시스템은 VPN 측에서 들어오는 연결만 허용합니다.
  • 아웃바운드만 가능하며 고객 측에서 연결을 설정할 수 있지만 그 반대 방향에서는 설정할 수 없습니다.
  • 터널은 IKEv1을 사용합니다.

pfSense의 현재 구성:

  • 포트 전달 NAT 규칙은 대상 IP 주소를 3.3.3.3에서 172.1.1.2로 변경합니다.
  • 네트워크 10.1.0.0/16의 아웃바운드 NAT는 소스 IP를 172.1.1.1(pfSense의 개인 IP)로 변환합니다.
  • 또 다른 아웃바운드 NAT는 10.1.0.0/16으로 향하는 패킷에 대해 소스를 3.3.3.3으로 설정합니다.

VPN/Sec 그룹의 현재 구성:

  • pfSense와 172.1.1.2는 모두 동일한 서브넷에 있고 동일한 SG에 있습니다.
  • SG는 SG 내의 모든 트래픽을 허용합니다.
  • 라우팅 테이블은 10.1.0.0/16으로 의도된 패킷을 pfSense의 ENI로 보냅니다(172.1.1.2에서 pfSense에 직접 경로를 추가하려고 시도함).

지금 상황은 이렇습니다.

  • 터널이 성공적으로 설정되었습니다.
  • 아웃바운드에서만 애플리케이션 서버에 접근할 수 있습니다.
  • pfSense 상자에서는 인바운드에만 액세스할 수 있습니다.
  • 172.1.1.2의 앱 서버에서는 인바운드에만 액세스할 수 없습니다.내가 예상했던 대로

더 많은 정보:

  • 172.1.1.2의 tcpdumps는 10.1.1.1과 SYN을 시도하는 패킷을 보여줍니다. 172.1.1.1을 통해 10.1.0.0/16용 172.1.1.2에서 라우팅 테이블을 설정하면 데이터프레임 대상에서 pfSense의 MAC을 볼 수 있습니다.
  • pfSense 인터페이스의 tcpdump보여주지 마시오172.1.1.2에서 들어오는 패킷
  • pfSense의 IPSec 인터페이스에 있는 tcpdump는 10.1.1.1용 패킷을 표시하지 않습니다.
  • VPC 흐름 로그에는 ENI 172.1.1.2에서 나가는 허용된 패킷이 표시됩니다.
  • VPC 흐름 로그에는 10.1.1.1용 pfSense의 ENI에서 들어오는 패킷이 표시되지 않습니다.

위의 모든 사항을 고려하면 AWS 네트워킹이 패킷을 삭제하는 것처럼 보이지만 그 이유를 알 수 없습니다.

내가 연결할 수 있는 아이디어가 inbound only있나요 172.1.1.2?

감사합니다!

관련 정보