.png)
Эти машины представляют собой Docker-контейнеры с strongswanустановленными работающими IPsec-туннелями.
routeur1и routeur2иметь туннель IPsec типа «сеть-сеть», при этом pc-nomadиметь туннель IPsec с routeur1. routeur1иметь pc1в качестве клиента в своей подсети.
pc-nomadдостигает pc1,но, по-видимому, хост перехватывает пакет ICMPи он не возвращает ответ.
решение1
Одним из найденных мной решений было добавление правил NAT в маршрутизаторы для пакетов, поступающих из подсети 192.16.1.0/24:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
Но все равно кажется странным, что хост берет пакет из другой подсети.