Проблема маршрутизации VPN-трафика между двумя VPN-соединениями — AWS и Generic IKEv2 / libreswan
Имейте несколько сайтов, один из них выступает в качестве промежуточного маршрутизатора между двумя:
- AWS ВПК (10.10.0.0/24)
- VPN-сервер Либресуана (10.20.0.0/24)
- Микротик VPN-маршрутизатор (10.30.0.0/24)
host1находится в AWS VPC,host2подключен к микротику
VPN включены, каждое соединение работает отдельно, статусы в порядке.
хост2 пингует хост1, пакеты поступают через libreswan на хост1, хост1 отвечает, все пакеты доходят до libreswan, но не передаются на хост2. Кроме того, пакеты, инициированные с хоста 2, могут достичь libreswan, но не передаются на хост 1. Я полагаю, что для ipsec все без сохранения состояния и это та же проблема.
iptables nat (ручная настройка):
-A POSTROUTING -j ACCEPT -d 10.10.0.0/24
-A POSTROUTING -j ACCEPT -d 10.20.0.0/24
Фильтр iptables (ручная настройка):
-A FORWARD -j ACCEPT
таблица маршрутизации @libreswan (ip-маршрут, добавленный libreswan):
10.10.0.0/24 dev eth0 scope link mtu 1436
10.20.0.0/24 dev eth0 scope link mtu 1436
Подобные соединения с множеством комбинаций с другими сайтами работают нормально в любом случае — разница заключается в VPN-подключении AWS-Libreswan.
Есть ли что-то, что мне не хватает? Где мне смотреть?