Я использую strongswan 4.6.4 для подключения Road Warriors к моему серверу (ubuntu 13.10), который защищен брандмауэром.
left=%defaultroute
leftsubnet=10.10.1.0/24
right=%any
rightsubnet=10.11.1.0/24
rightsourceip=10.11.1.0/24
«Левая подсеть» 10.10.1.0/24 также является выделенной служебной сетью VPN, сам сервер находится в сети 192.168.1.0/24 и имеет IP-адреса в обеих сетях (192.168.1.2 и 10.10.1.2). % defaultroute указывает на 192.168.1.1.
Сам vpn работает, и если брандмауэр ufw не запущен, то доступ от клиентов road warrior к серверу работает. tcpdump показывает трафик с 10.11.1.1 по 10.10.1.2.
Теперь, когда запущен брандмауэр ufw, создание туннелей все еще работает, но трафик, исходящий от Road Warriors, привязан к источнику и месту назначения.
Это означает, что tcpdump показывает в качестве IP-адреса источника общедоступный IP-адрес клиента вместо виртуального IP-адреса 10.11.1.1 и в качестве IP-адреса назначения 192.168.1.2 вместо 10.10.1.2.
Конечно, в iptables нет нат-правил.
Как я могу решить проблему? AFAIK ufw просто поддерживает правила iptables. Где происходит нат при активном ufw?
Большое спасибо!