Túnel IPSec com problemas de rede pfSense

tag-icon tag-icon amazon-web-services vpn nat pfsense
Túnel IPSec com problemas de rede pfSense

Estou tendo problemas de rede com um dispositivo pfSense lançado no mercado AWS. A rede é mais ou menos assim:

Configuração aproximada

  • Nós nos conectamos ao nosso dispositivo de ponto de verificação do cliente. Eles exigem que forneçamos um IP público para roteardentronosso lado da VPN.
  • Máquina somente de entrada, aceita apenas conexões de entrada do nosso lado da VPN
  • Apenas de saída, pode estabelecer uma conexão do lado do cliente, mas não o contrário.
  • O túnel usa IKEv1

Configuração atual do pfSense:

  • Uma regra NAT de encaminhamento de porta altera o endereço IP de destino de 3.3.3.3 para 172.1.1.2
  • Um NAT de saída da rede 10.1.0.0/16 converte o IP de origem em 172.1.1.1 (que é o IP privado do pfSense)
  • Outro NAT de saída define a origem como 3.3.3.3 para pacotes destinados a 10.1.0.0/16

Configuração atual de grupos VPN/Sec:

  • Tanto o pfSense quanto o 172.1.1.2 estão na mesma sub-rede e no mesmo SG
  • SG permite todo o tráfego dentro do SG
  • Uma tabela de roteamento envia pacotes destinados a 10.1.0.0/16 para o ENI no pfSense (também tentei adicionar uma rota diretamente em 172.1.1.2 para o pfSense)

A situação agora é assim:

  • O túnel é estabelecido com sucesso
  • Somente de saída, posso acessar o servidor de aplicativos
  • Na caixa do pfSense, só consigo acessar o inbound
  • Do servidor de aplicativos em 172.1.1.2 não consigo acessar apenas a entradacomo eu esperaria

Mais informações:

  • tcpdumps em 172.1.1.2 mostram pacotes tentando SYN com 10.1.1.1. Ao configurar a tabela de roteamento em 172.1.1.2 para 10.1.0.0/16 via 172.1.1.1, posso ver o MAC do pfSense no destino do dataframe.
  • tcpdumps na interface pfSensenão mostrepacotes vindos de 172.1.1.2
  • tcpdumps na interface IPSec no pfSense não mostram pacotes destinados a 10.1.1.1
  • Os logs de fluxo da VPC mostram pacotes aceitos saindo do ENI 172.1.1.2
  • Os logs de fluxo de VPC não mostram pacotes chegando no ENI no pfSense destinado a 10.1.1.1

Considerando tudo isso, parece-me que a rede AWS está descartando os pacotes, mas não consigo entender o porquê.

inbound onlyAlguma idéia do que posso tentar conectar 172.1.1.2?

Obrigado!

informação relacionada