Назад | Перейти на главную страницу

IPsec: может пинговать хосты другой сети с брандмауэром, но не с хостами за брандмауэром

У меня есть брандмауэр с порядком байтов и установленный туннель IPsec. Брандмауэр в сети 192.168.100.0/24 и имеет адрес 192.168.100.1. Хосты, которые я пытаюсь пропинговать, находятся в сети 10.4.0.0/32 и конкретные адреса 10.4.0.198 и 10.4.0.199. Между сетью 192.168.100.0/24 и 10.4.0.0/32 это тот туннель IPsec. Пинг от самого брандмауэра к хосту 10.4.0.198 работает, но если я попытаюсь пропинговать эти хосты с ПК с Windows за брандмауэром, это не сработает. Любое предложение, в чем может быть проблема? Я уже добавил правило iptables -A FORWARD -p icmp -d 10.4.0.0/32 -s 0.0.0.0/0 -j ACCEPT но это все равно не работает. Iptables огромны, поэтому было бы нецелесообразно размещать каждый код. Но вот результат route:

Таблица IP-маршрутизации ядра

Шлюз назначения Genmask Флаги Метрика Ссылка Использование Iface

по умолчанию HSI-KBW-46-237- 0.0.0.0 UG 0 0 0 eth1

1.1.1.0 * 255.255.255.0 U 0 0 0 eth2

10.31.1.0 vpn.svsnls.neug 255.255.255.0 UG 0 0 0 br0

10.255.255.0 vpn.admedespfor 255.255.255.0 UG 0 0 0 br0

46.237.253.64 * 255.255.255.192 U 0 0 0 eth1

192.168.4.0 впн.джурабадгош 255.255.255.0 УГ 0 0 0 бр0

192.168.8.0 vpn.grundschule 255.255.255.0 UG 0 0 0 br0

...

10.4.0.0/32 это один хост, а не подсеть, поэтому не работает, вам следует изменить подсеть с правильной маской сети

daniele@bart:~$ sipcalc 10.4.0.0/32
-[ipv4 : 10.4.0.0/32] - 0

[CIDR]
Host address        - 10.4.0.0
Host address (decimal)  - 168034304
Host address (hex)  - A040000
Network address     - 10.4.0.0
Network mask        - 255.255.255.255
Network mask (bits) - 32
Network mask (hex)  - FFFFFFFF
Broadcast address   - 10.4.0.0
Cisco wildcard      - 0.0.0.0
Addresses in network    - 1
Network range       - 10.4.0.0 - 10.4.0.0