我們正在與第三方集成,他們需要使用 L2L IPSec VPN 進行通訊。我已成功配置 IPSEC vpn 並且隧道已啟動,但現在我似乎無法讓流量通過它,因為來源 IP 位址不正確(我假設)。我是一個軟體人員而不是網路人員所以
第三方要求我們使用子網路 172.31.168.0/24,但這與我們的內部尋址 (AWS VPC) 10.0.11.0/24 衝突。我新增了 1:1 NAT
- 來源:任何
- dest: <外部加密域>
- 外部:172.31.168.0/24
但是從 pfsense 機器到加密域範圍內的 IP 進行追蹤路由會透過網路傳送流量。
我已經將應用程式伺服器預設路由設定為 PFSense 框,我可以在防火牆日誌中看到應用程式伺服器連接到外部服務,但沒有 ipsec 相關的內容?
我想做的事情可能嗎?
使用 PFSense 版本 2.1.5-RELEASE (amd64)
答案1
但是從 pfsense 機器到加密域範圍內的 IP 進行追蹤路由會透過網路傳送流量
這清楚地表示您沒有正確設定 IPsec 第 2 階段條目。 IPsec 純粹在來源/目標 IP 子網路上匹配流量,如果它沒有沿著隧道發送所需的流量,則表示有 P2 設定問題。
答案2
好的,解決方案是從 PFSense 中刪除所有 NAT 規則,並將實際本地子網路作為站點 A 上 pfsense 第 2 階段條目中的本地域,然後將加密域作為「要轉換的位址」。
透過 pfsense 路由來自應用程式伺服器的流量,並且任何發送到網站 B enc 網域的流量都將透過 ipsec 路由!