PFSense IPSEC VPN VLAN

Question

我们正在与第三方集成，他们需要使用L2L IPSec VPN进行通信。我已经成功地配置了IPSEC vpn，并且tunel已经启动，但是现在我似乎无法让流量通过它，因为源IP地址是不正确的(我假设)。我是个软件的人，不是网络的人，所以

第三方要求我们使用子网172.31.168.0/24，但这与我们的内部寻址(AWS VPC) 10.0.11.0/24相冲突。我加了1:1的NAT

• 资料来源:任何
• dest：<外部加密domain>
• 外部: 172.31.168.0/24

但是，在加密域范围内，从pfsense机器到ip执行traceroute将通过internet发送流量。

我已经设置了一个应用服务器默认路由为PFSense框，我可以看到应用服务器连接到防火墙日志中的外部服务，但没有ipsec相关内容？

我想做的事有可能吗？

使用PFSense版本2.1.5-发行版(amd64)

Answer 1

但是，在加密域范围内从pfsense机器到ip执行traceroute将通过internet发送流量。

这清楚地表明您没有正确配置IPsec第二阶段条目。IPsec完全匹配源/dest IP子网上的通信量，如果它没有向隧道发送所需的通信量，则会出现P2配置问题。

Answer 2

好的，解决方案是从PFSense中删除所有NAT规则，并将实际的本地子网作为本地域放在站点A上的pfsense第2阶段条目中，然后将加密域作为“转换地址”。

路由流量从应用服务器通过pfsense和任何目的地的站点B enc域将被路由通过ipsec！