Shorewall: DNAT para zona de túnel IPSEC não é roteada corretamente

1

Eu tenho um túnel ipsec funcionando que dá acesso a um 192.168.4.0/24 lan. Ele está funcionando bem e eu posso acessar os hosts do outro lado sem problema:

# from fw and lan hosts:
# ping 192.168.4.44
PING 192.168.4.44 (192.168.4.44) 56(84) bytes of data.
64 bytes from 192.168.4.44: icmp_req=1 ttl=127 time=4.41 ms

mas quando tento encaminhar uma porta no shorewall do endereço IP público para um host no outro lado do túnel, ela não roteia o tráfego:

# from wan side:
# telnet x.x.x.x 33901
telnet: Unable to connect to remote host: No route to host

tcpdump captura no firewall para IP fazendo o telnet (wan):

# tcpdump -n -i eth0.20 host 37.15.173.52
10:09:48.312840 IP [fw_public_ip] > 37.15.173.52: ICMP host [fw_public_ip] unreachable, length 68

por que o shorewall está direcionando corretamente o tráfego do lado fw e lan, mas não do wan?

---- shorewall config ----

relevantes routes entradas:

#ACTION   SOURCE DEST                  PROTO      DEST  SOURCE    ORIGINAL
#                                                 PORT  PORT(S)   DEST
DNAT:info wan    vpn:192.168.4.44:3389 tcp        33901 -         [fw_public_ip]

relevantes zones entradas:

#ZONE   TYPE
wan   ipv4
vpn   ipv4

relevantes hosts entradas:

#ZONE   HOSTS                            OPTIONS
vpn     eth0.20:192.168.4.0/24,[ipsec_host_ip]   ipsec

relevantes tunnels entradas:

#TYPE    ZONE  GATEWAY  GATEWAY ZONE
ipsec    wan   [ipsec_host_ip]

relevantes interfaces entradas:

#ZONE   INTERFACE       BROADCAST       OPTIONS
wan     eth0.20         detect          dhcp,routefilter

relevantes masq entradas:

#INTERFACE   SOURCE       ADDRESS         PROTO   PORT(S) IPSEC   MARK
eth0.20      0.0.0.0/0    [fw_public_ip]
    
por Lluís 16.09.2014 / 10:21

0 respostas