Aqui está a solução se alguém mais tiver o mesmo problema ... O problema é que eu tenho outra configuração de VPN na caixa shorewall
, que é uma configuração de guerreiro de estrada L2TP chamada vpn
(o site-to-site VPN é chamada ovpn
) Então, meu arquivo /etc/shorewall/zones
ficou assim:
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
<SNIP>
vpn ipsec
l2tp ipv4
ovpn ipv4
e meu /etc/shorewall/hosts
assim:
#ZONE HOST(S) OPTIONS
vpn eth0:0.0.0.0/0
ovpn eth0:192.168.88.0/24,<REDACTED> ipsec
Acontece que a ordem das declarações de zona no arquivo de regiões é importante (mas não dentro do arquivo de hosts) - para cada conexão shorewall
escolhe a primeira zona que corresponde. Como a vpn
zone tem uma entrada hosts que corresponde a cada host remoto, todas as ovpn
conexões seriam correspondidas pela vpn
zone e, em seguida, roteadas para xl2tpd
, o que obviamente não funcionou.
Então eu inverti as entradas de zona para vpn
e ovpn
, e tudo funcionou bem.