我在使用从 AWS 市场推出的 pfSense 设备时遇到了网络问题。网络看起来如下:
- 我们连接到客户检查点设备。他们要求我们提供一个公共 IP 来路由里面我们这边的 VPN。
- 仅限入站机器,仅接受来自我们 VPN 这边的传入连接
- 仅出站,可以从客户端建立连接,但不能从客户端建立连接。
- 隧道使用 IKEv1
pfSense 的当前配置:
- 端口转发 NAT 规则将目标 IP 地址从 3.3.3.3 更改为 172.1.1.2
- 来自网络 10.1.0.0/16 的出站 NAT 将源 IP 转换为 172.1.1.1(这是 pfSense 的私有 IP)
- 对于发往 10.1.0.0/16 的数据包,另一个出站 NAT 将源设置为 3.3.3.3
VPN / Sec 组的当前配置:
- pfSense 和 172.1.1.2 都在同一个子网中,并且属于同一个 SG
- SG 允许 SG 内的所有流量
- 路由表将发往 10.1.0.0/16 的数据包发送到 pfSense 中的 ENI(也尝试在 172.1.1.2 中直接向 pfSense 添加路由)
现在的情况是这样的:
- 隧道建立成功
- 仅从出站,我才能访问应用程序服务器
- 从 pfSense 框,我只能访问入站
- 我无法从 172.1.1.2 的应用服务器访问入站正如我所料
更多信息:
- 172.1.1.2 中的 tcpdumps 显示尝试与 10.1.1.1 进行 SYN 的数据包。当通过 172.1.1.1 在 172.1.1.2 中为 10.1.0.0/16 设置路由表时,我可以在数据帧目标中看到 pfSense 的 MAC。
- pfSense 界面中的 tcpdumps不显示来自 172.1.1.2 的数据包
- pfSense 中 IPSec 接口的 tcpdump 不显示发往 10.1.1.1 的数据包
- VPC 流日志显示接受从 ENI 172.1.1.2 发出的数据包
- VPC 流日志不显示 pfSense 中用于 10.1.1.1 的 ENI 中传入的数据包
考虑到以上所有情况,在我看来 AWS 网络正在丢弃数据包,但我不知道原因。
有什么想法我可以尝试连接到inbound only哪里172.1.1.2?
谢谢你!