Eu tenho um túnel ipsec funcionando que dá acesso a um 192.168.4.0/24 lan. Ele está funcionando bem e eu posso acessar os hosts do outro lado sem problema:
# from fw and lan hosts:
# ping 192.168.4.44
PING 192.168.4.44 (192.168.4.44) 56(84) bytes of data.
64 bytes from 192.168.4.44: icmp_req=1 ttl=127 time=4.41 ms
mas quando tento encaminhar uma porta no shorewall do endereço IP público para um host no outro lado do túnel, ela não roteia o tráfego:
# from wan side:
# telnet x.x.x.x 33901
telnet: Unable to connect to remote host: No route to host
tcpdump captura no firewall para IP fazendo o telnet (wan):
# tcpdump -n -i eth0.20 host 37.15.173.52
10:09:48.312840 IP [fw_public_ip] > 37.15.173.52: ICMP host [fw_public_ip] unreachable, length 68
por que o shorewall está direcionando corretamente o tráfego do lado fw e lan, mas não do wan?
---- shorewall config ----
relevantes routes entradas:
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT PORT(S) DEST
DNAT:info wan vpn:192.168.4.44:3389 tcp 33901 - [fw_public_ip]
relevantes zones entradas:
#ZONE TYPE
wan ipv4
vpn ipv4
relevantes hosts entradas:
#ZONE HOSTS OPTIONS
vpn eth0.20:192.168.4.0/24,[ipsec_host_ip] ipsec
relevantes tunnels entradas:
#TYPE ZONE GATEWAY GATEWAY ZONE
ipsec wan [ipsec_host_ip]
relevantes interfaces entradas:
#ZONE INTERFACE BROADCAST OPTIONS
wan eth0.20 detect dhcp,routefilter
relevantes masq entradas:
#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK
eth0.20 0.0.0.0/0 [fw_public_ip]