Туннель IPSec с проблемами сети pfSense

tag-icon tag-icon amazon-web-services vpn nat pfsense
Туннель IPSec с проблемами сети pfSense

У меня возникли проблемы с сетью с устройством pfSense, запущенным из AWS Market Place. Сеть выглядит примерно так:

Приблизительная конфигурация

  • Мы подключаемся к нашему клиентскому контрольно-пропускному устройству. Они требуют, чтобы мы предоставили публичный IP для маршрутизациивнутринаша сторона VPN.
  • Машина только для входящих подключений, принимает только входящие соединения с нашей стороны VPN
  • Только исходящее соединение, может устанавливаться со стороны клиента, но не наоборот.
  • Туннель использует IKEv1

Текущая конфигурация pfSense:

  • Правило переадресации портов NAT изменяет IP-адрес назначения с 3.3.3.3 на 172.1.1.2
  • Исходящий NAT из сети 10.1.0.0/16 преобразует исходный IP в 172.1.1.1 (который является частным IP pfSense)
  • Другой исходящий NAT устанавливает источник на 3.3.3.3 для пакетов, предназначенных для 10.1.0.0/16.

Текущая конфигурация групп VPN/Sec:

  • И pfSense, и 172.1.1.2 находятся в одной подсети и на одном SG.
  • SG разрешает весь трафик внутри SG
  • Таблица маршрутизации отправляет пакеты, предназначенные для 10.1.0.0/16, в ENI в pfSense (также пробовал добавлять маршрут напрямую в 172.1.1.2 в pfSense)

Сейчас ситуация такова:

  • Туннель успешно устанавливается
  • Только из исходящего трафика я могу получить доступ к серверу приложений
  • Из pfSense я могу получить доступ только к входящим сообщениям
  • С сервера приложений по адресу 172.1.1.2 я не могу получить доступ только к входящим соединениямкак я и ожидал

Больше информации:

  • tcpdumps в 172.1.1.2 показывает пакеты, пытающиеся SYN с 10.1.1.1. При настройке таблицы маршрутизации в 172.1.1.2 для 10.1.0.0/16 через 172.1.1.1 я вижу MAC pfSense в пункте назначения кадра данных.
  • tcpdumps в интерфейсе pfSenseНе показывайпакеты, приходящие с 172.1.1.2
  • tcpdumps в интерфейсе IPSec в pfSense не отображает пакеты, предназначенные для 10.1.1.1
  • Журналы потока VPC показывают принятые пакеты, исходящие из ENI 172.1.1.2
  • Журналы потока VPC не отображают пакеты, поступающие в ENI в pfSense, предназначенном для 10.1.1.1

Учитывая все вышесказанное, мне кажется, что сетевые службы AWS отбрасывают пакеты, но я не могу понять, почему.

inbound onlyЕсть идеи, к чему я могу попробовать подключиться 172.1.1.2?

Спасибо!

Связанный контент