Eu tenho uma configuração de firewall / roteador dual linux que está conectada a dois provedores de upstream diferentes. Internamente, a rota padrão é um failover usando vrrp.
A configuração é algo como isto. As rotas são fornecidas aos roteadores via BGP.
Provider A (x.x.x.57) - Router 1 [WAN](x.x.x.58) [LAN](a.a.a.130/128)
+----- VRRP (a.a.a.129/128) [default gw]
Provider B (y.y.y.61) - Router 2 [WAN](y.y.y.62) [LAN](a.a.a.131/128)
Tudo funciona corretamente em geral.
No entanto, o que eu notei é que quando o roteador 1 é o mestre para o VRRP, o aaa131 não pode ser pingado de um cliente que roteia pelo provedor A. Da mesma forma, se o roteador 2 é o mestre, não podemos pingar aaa130. Eu também não posso ssh para esse endereço. No entanto, posso ssh ou pingar o lado WAN de ambos os roteadores a qualquer momento. Como posso alcançar a interface WAN do roteador 2 quando o roteador 1 é o mestre e o encaminhamento está ativado, como posso acessar diretamente o lado da LAN do mesmo roteador quando ele não é o mestre?
Qual seria a causa disso?
Para responder minha própria pergunta. Eu encontrei o seguinte link sobre a filtragem de caminho reverso para ser muito útil. Seguindo as sugestões, consegui corrigir o problema que estava tendo.
Desabilitando a filtragem de caminho reverso em redes complexas