.png)
Diese Maschinen sind Docker-Container mit strongswaninstallierten laufenden IPsec-Tunneln.
routeur1und routeur2haben einen Site-to-Site-IPsec-Tunnel, während sie pc-nomadeinen IPsec-Tunnel mit haben routeur1. routeur1haben pc1als Client in ihrem Subnetz.
pc-nomaderreicht pc1,aber anscheinend schnappt sich der Host das ICMP-Paketund es wird keine Antwort zurückgegeben.
Antwort1
Eine Lösung, die ich gefunden habe, bestand darin, in den Routern NAT-Regeln für die Pakete hinzuzufügen, die aus dem Subnetz 192.16.1.0/24 kommen:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
Dennoch scheint es seltsam, dass der Host das Paket aus dem anderen Subnetz nimmt.