host (Ubuntu 16.04) tem convidado QEMU:
rede NAT do host-convidado 192.168.100.0/24 IFs:
- virbr2: host
- virbr2-nic: guest
O host também possui:
- eno1: conectando-se ao roteador público da Internet. Sub-rede 192.168.1.0/24
- tap0: sub-rede soft vpn shrew 192.168.200.0/24 com ip fixo 192.168.200.20
host / proc / sys / net / ipv4 / ip_forward é 1.
- Os pings do convidado ao roteador público da internet são respondidos bem, o NAT funciona.
- Os pings do host para algum vpn-peer também funcionam bem.
- Pings de convidados para alguns vpn-peer perdem o telegrama final de volta para o convidado:
O Wireshark mostra a resposta de ping do vpn-peer para o tap0 do host, mas a resposta de ping não é retransmitida ao convidado.
Não há tratamento especial para o tap0 no iptables.
O que há de errado, como faço para corrigir isso?
Atualização:
Encontrou um tópico descrevendo um problema semelhante (ainda sem solução):
link
O iptables precisa saber alguns detalhes do ipsec que conseguem retornar ao convidado?