上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

pfsenseメモ:OpenVPNを使うとtunインターフェースにNAPTがかかってた

 pfSenseのOpenVPNを使ってLAN間接続を試したが、どうも接続が中途半端。特にSIPが怪しくて、VPNの先にあるSIP電話機が片通話になったり、発信できるけど着信できなかったりした。

 原因は、pfSenseのtunインターフェースから出るパケットにNAPTがかかってしまっていたこと。VPNの向こうで見ると、SourceAddressがpfSenseのtun0に割り当てられたIPアドレスに置換されて出てきてしまっている。

 「Firewall > NAT」のOutbound設定ををAutomaticからManualに変更すると、VPN間はNAPTがかからなくなったが、今度はインターネット(WAN)側のPortForwardの動きが怪しくなってしまった。パケットが通過したログは残っているのに、LAN側IFでtcpdumpしてもパケットが出てこないのだ。

 どうも、pfSenseのNAPT周りの実装(特にManualにしたとき)が怪しい気がする。

★追記・・・・・・解決!
 
・原因
 NATをManualにしたときにパケットが次のように化けてしまう。Asteriskから出て行ったUDPパケット(Source5060)が、NAPTで出ていく時にSourcePortが5060ではなく別の番号に化けて出て行っていた。Autoの場合は5060のままだったのでここに差異があった。
 NATのOutboundをAutoからManualにした場合、PortForward設定とNAPTの戻りパケットが競合してしまっていたらしい。

・対策
 OutboundNATの設定で、特定のアドレス間でNoNAT行のPORT固定設定を突っ込む。ここの設定は上から評価されるようなので、できるだけ上に設定することに注意。

NAPT不具合



コメントの投稿

非公開コメント


カテゴリ


最新記事

月別アーカイブ

最新コメント

最新トラックバック









上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。