IPSec 隧道与 pfSense 网络问题

IPSec 隧道与 pfSense 网络问题

我在使用从 AWS 市场推出的 pfSense 设备时遇到了网络问题。网络看起来如下:

大致配置

  • 我们连接到客户检查点设备。他们要求我们提供一个公共 IP 来路由里面我们这边的 VPN。
  • 仅限入站机器,仅接受来自我们 VPN 这边的传入连接
  • 仅出站,可以从客户端建立连接,但不能从客户端建立连接。
  • 隧道使用 IKEv1

pfSense 的当前配置:

  • 端口转发 NAT 规则将目标 IP 地址从 3.3.3.3 更改为 172.1.1.2
  • 来自网络 10.1.0.0/16 的出站 NAT 将源 IP 转换为 172.1.1.1(这是 pfSense 的私有 IP)
  • 对于发往 10.1.0.0/16 的数据包,另一个出站 NAT 将源设置为 3.3.3.3

VPN / Sec 组的当前配置:

  • pfSense 和 172.1.1.2 都在同一个子网中,并且属于同一个 SG
  • SG 允许 SG 内的所有流量
  • 路由表将发往 10.1.0.0/16 的数据包发送到 pfSense 中的 ENI(也尝试在 172.1.1.2 中直接向 pfSense 添加路由)

现在的情况是这样的:

  • 隧道建立成功
  • 仅从出站,我才能访问应用程序服务器
  • 从 pfSense 框,我只能访问入站
  • 我无法从 172.1.1.2 的应用服务器访问入站正如我所料

更多信息:

  • 172.1.1.2 中的 tcpdumps 显示尝试与 10.1.1.1 进行 SYN 的数据包。当通过 172.1.1.1 在 172.1.1.2 中为 10.1.0.0/16 设置路由表时,我可以在数据帧目标中看到 pfSense 的 MAC。
  • pfSense 界面中的 tcpdumps不显示来自 172.1.1.2 的数据包
  • pfSense 中 IPSec 接口的 tcpdump 不显示发往 10.1.1.1 的数据包
  • VPC 流日志显示接受从 ENI 172.1.1.2 发出的数据包
  • VPC 流日志不显示 pfSense 中用于 10.1.1.1 的 ENI 中传入的数据包

考虑到以上所有情况,在我看来 AWS 网络正在丢弃数据包,但我不知道原因。

有什么想法我可以尝试连接到inbound only哪里172.1.1.2

谢谢你!

相关内容