我们正在与第三方集成,他们需要使用 L2L IPSec VPN 进行通信。我已成功配置 IPSEC VPN,隧道已启动,但现在似乎无法通过它传输流量,因为源 IP 地址不正确(我猜)。我是一个软件人员,而不是网络人员,所以
第三方要求我们使用子网 172.31.168.0/24,但这与我们的内部寻址 (AWS VPC) 10.0.11.0/24 冲突。我为
- 来源:Any
- dest: <外部加密域>
- 外部:172.31.168.0/24
但是从 pfSense 机器到加密域范围内的 IP 进行跟踪路由会将流量通过互联网发送出去。
我已经设置了应用服务器的默认路由为 PFSense 框,并且我可以在防火墙日志中看到应用服务器连接到外部服务,但没有 ipsec 相关的内容?
我所尝试做的事情有可能实现吗?
使用 PFSense 版本 2.1.5-RELEASE(amd64)
答案1
但从 pfSense 机器到加密域范围内的 IP 进行跟踪路由会将流量发送到互联网上
这清楚地表明您没有正确配置 IPsec 第 2 阶段条目。IPsec 仅根据源/目标 IP 子网匹配流量,如果它没有将所需的流量发送到隧道,则说明存在 P2 配置问题。
答案2
好的,解决方案是从 PFSense 中删除所有 NAT 规则,并将实际本地子网作为站点 A 上的 pfSense 第 2 阶段条目中的本地域,然后将加密域作为“要转换的地址”。
通过 pfSense 从应用服务器路由流量,并且任何发往站点 B enc 域的内容都将通过 ipsec 路由!