Мы интегрируемся со сторонними организациями, и они требуют использования L2L IPSec VPN для связи. Я успешно настроил IPSEC vpn, и туннель работает, но теперь я не могу заставить трафик проходить через него, потому что исходный IP-адрес неверен (я предполагаю). Я специалист по программному обеспечению, а не по сетям, поэтому
Третья сторона потребовала от нас использовать подсеть 172.31.168.0/24, но это конфликтует с нашей внутренней адресацией (AWS VPC) 10.0.11.0/24. Я добавил 1:1 NAT для
- источник: Любой
- dest: <внешний домен шифрования>
- внешний: 172.31.168.0/24
Но трассировка маршрута от машины pfsense до IP-адреса в диапазоне домена шифрования отправляет трафик через Интернет.
Я настроил маршрут по умолчанию для сервера приложений на PFSense и вижу, как сервер приложений подключается к внешним службам в журнале брандмауэра, но никаких данных, связанных с IPSec, нет?
Возможно ли вообще то, что я пытаюсь сделать?
Использование PFSense версии 2.1.5-RELEASE (amd64)
решение1
но выполнение трассировки маршрута от машины pfsense до IP-адреса в диапазоне домена шифрования отправляет трафик через Интернет
Это явный признак того, что записи IPsec Phase 2 настроены неправильно. IPsec сопоставляет трафик исключительно с IP-подсетью источника/назначения, и если он не отправляет нужный вам трафик по туннелю, у вас проблема с конфигурацией P2.
решение2
Хорошо, решение этой проблемы состояло в том, чтобы удалить все правила NAT из PFSense и указать фактическую локальную подсеть в качестве локального домена в записи фазы 2 pfsense на сайте A, а затем указать домен шифрования в качестве «адреса для преобразования».
Направляйте трафик с серверов приложений через pfsense, и все, что предназначено для домена сайта B enc, будет маршрутизироваться через ipsec!