La respuesta de ping no se reenvía al autor; Problema de enrutamiento/reenvío de IP en Linux

tag-icon tag-icon linux iptables openvpn port-forwarding
La respuesta de ping no se reenvía al autor; Problema de enrutamiento/reenvío de IP en Linux

Estoy intentando configurar una VPN de sitio a sitio usando Openvpn. La configuración inicial se completó. Mis nodos del lado del cliente openvpn (201.100.0.x) pueden comunicarse con los nodos del lado del servidor openvpn (192.0.0.x). ).

Pero si hago ping a cualquier nodo cliente (201.100.0.18) desde un nodo del lado del servidor (192.0.0.32), no obtengo respuesta (he agregado la ruta adecuada en los puntos finales). Y puedo ver las repeticiones de ping llegando a mi servidor openvpn analizando con TCP dump.

Nodo del lado del servidor: 192.0.0.32 (eth0)

Servidor: 192.0.0.39 (eth0); 10.8.0.1 (tun0)

Nodo del lado del cliente: 201.100.0.18 (eth0)

Cliente Openvpn: 201.100.0.11 (eth0); 10.8.0.6 (tun0)

server node> ping 201.100.0.18 -c 1
 PING 201.100.0.18 (201.100.0.18) 56(84) bytes of data.
 --- 201.100.0.18 ping statistics ---
 1 packets transmitted, 0 received, 100% packet loss, time 10000ms

Aquí está el formulario de volcado TCP eth0 del servidor openvpn

vpnserver>  tcpdump -nni eth0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
09:41:00.796021 IP 192.0.0.32 > 201.100.0.18: ICMP echo request, id 47432, seq 1, length 64
09:41:00.836637 IP 201.100.0.18 > 192.0.0.32: ICMP echo reply, id 47432, seq 1, length 64

La respuesta de ping llegó hasta 192.0.0.32 pero no se reenvía a 192.0.0.39; necesito saber por qué

El reenvío de IP ya está habilitado. Puede ver las reglas de firewall existentes a continuación.

    *filter
:INPUT ACCEPT [397:39519]
:FORWARD ACCEPT [6:504]
:OUTPUT ACCEPT [362:40521]
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
COMMIT
# Completed on Thu Nov  3 09:45:05 2016
# Generated by iptables-save v1.4.7 on Thu Nov  3 09:45:05 2016
*nat
:PREROUTING ACCEPT [31:3889]
:POSTROUTING ACCEPT [22:1848]
:OUTPUT ACCEPT [6:504]
-A POSTROUTING -o eth0 -j MASQUERADE   << before adding this rule client sides nodes were not able to access server side nodes
COMMIT

información relacionada