我在使用從 AWS 市場啟動的 pfSense 設備時遇到網路問題。網路看起來像這樣:
- 我們連接到我們的客戶檢查點設備。他們要求我們提供公共 IP 來路由裡面我們這邊的VPN。
- 僅入站機器,僅接受來自我們 VPN 端的傳入連接
- 僅出站,可從客戶方建立連接,但反之則不行。
- 隧道使用IKEv1
pfSense目前配置:
- 連接埠轉送 NAT 規則將目標 IP 位址從 3.3.3.3 變更為 172.1.1.2
- 來自網路 10.1.0.0/16 的出站 NAT 將來源 IP 轉換為 172.1.1.1(這是 pfSense 的私人 IP)
- 另一個出站 NAT 將發送至 10.1.0.0/16 的封包的來源設定為 3.3.3.3
目前VPN/Sec群組的配置:
- pfSense和172.1.1.2都在同一個子網,同一個SG
- SG 允許 SG 內的所有流量
- 路由表將發送至 10.1.0.0/16 的資料包傳送至 pfSense 中的 ENI(也嘗試直接將 172.1.1.2 中的路由新增至 pfSense)
現在的情況是這樣的:
- 隧道建立成功
- 僅從出站,我可以訪問應用程式伺服器
- 從 pfSense 框中,我只能存取入站
- 從 172.1.1.2 的應用程式伺服器我無法僅存取入站正如我所期望的
更多資訊:
- 172.1.1.2 中的 tcpdump 顯示嘗試與 10.1.1.1 同步的資料包。當透過 172.1.1.1 在 172.1.1.2 中設定 10.1.0.0/16 的路由表時,我可以在資料幀目標中看到 pfSense 的 MAC。
- pfSense 介面中的 tcpdump不顯示來自 172.1.1.2 的資料包
- pfSense 中 IPSec 介面中的 tcpdump 不顯示發送至 10.1.1.1 的封包
- VPC 流日誌顯示接受的從 ENI 172.1.1.2 發出的資料包
- VPC 流日誌不顯示在 pfSense 中 ENI 中傳入的用於 10.1.1.1 的資料包
考慮到上述所有情況,在我看來,AWS 網路正在丟棄資料包,但我不明白為什麼。
我可以嘗試連接到什麼inbound only想法172.1.1.2?
謝謝你!