Estamos nos integrando com terceiros e eles exigem o uso de uma VPN IPSec L2L para comunicação. Configurei com êxito a VPN IPSEC e o tunel está ativo, mas agora não consigo fazer o tráfego passar por ele porque o endereço IP de origem não está correto (presumo). Eu sou um cara de software, não um cara de rede, então
O terceiro exigiu que usássemos a sub-rede 172.31.168.0/24, mas isso entra em conflito com nosso endereçamento interno (AWS VPC) de 10.0.11.0/24. Eu adicionei um NAT 1:1 para
- fonte: Qualquer
- dest: <domínio de criptografia externo>
- externo: 172.31.168.0/24
mas fazer um traceroute da máquina pfsense para um ip no intervalo do domínio de criptografia envia o tráfego pela Internet.
Eu configurei uma rota padrão de servidores de aplicativos para ser a caixa PFSense e posso ver o servidor de aplicativos se conectando a serviços externos no log do firewall, mas nada relacionado ao ipsec?
O que estou tentando fazer é mesmo possível?
Usando PFSense versão 2.1.5-RELEASE (amd64)
Responder1
mas fazer um traceroute da máquina pfsense para um ip no intervalo do domínio de criptografia envia o tráfego pela internet
Esta é uma indicação clara de que você não tem suas entradas IPsec Fase 2 configuradas corretamente. O IPsec corresponde ao tráfego puramente na sub-rede IP de origem/destino e, se não estiver enviando o tráfego desejado pelo túnel, você terá um problema de configuração P2.
Responder2
Ok, a solução para isso foi remover todas as regras NAT do PFSense e colocar a sub-rede local real como o domínio local na entrada da fase 2 do pfsense no site A e, em seguida, colocar o domínio de criptografia como o "endereço a ser traduzido".
Roteie o tráfego dos servidores de aplicativos através do pfsense e qualquer coisa destinada ao domínio enc do site B será roteado pelo ipsec!