NAT ins VPN

[tsaenger]

Hallo zusammen,

ich habe 2 Netze mittels strongSwan verbunden.
Netz 1: 192.168.43.0/24
Netz 2: 192.168.3.0/24
Nun möchte ich gerne über eine öffentliche IP aus dem einen Netz1 in das entfernte VPN-Netz zugreifen.
Dazu dachte ich eigentlich mittels NAT doch eine Regel in iptables erstellen zu können.

Auf dem Server der den Zugang stellen soll ist ein aktuelles Ubuntu drauf.

Das NIC-Interface sieht so aus:

Code: Select all

auto ens18
iface ens18 inet static
        address 176.9.56.xxx
        netmask 255.255.255.255
        pointopoint 176.9.40.xxx
        gateway 176.9.40.xxx
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 8.8.8.8
        dns-search srv.sit-mainz.info

auto ens18:1
iface ens18:1 inet static
        address 192.168.43.1
        netmask 255.255.255.0

Das pingen der jeweiligen Netze funktioniert. Ich kann aber nicht über http/s auf die Geräte zugreifen. Ich gehe davon aus, dass das Problem der Rückweg ist.
Ich sehe über tcptrack das auf dem jeweiligen Port ein sync eingeleitet wird.

Code: Select all

iptables -t nat -A PREROUTING  -p tcp -m tcp --dport 499 -j DNAT --to-destination 192.168.3.1:499
iptables -t nat -A PREROUTING  -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.3.27:80

iptables -t nat -A POSTROUTING -o ens18 -j MASQUERADE

Vom Server mit der externen IP und dem Netz1 kann ich die Webseiten aus dem Netz2 ohne Probleme öffnen.

Das ipv4 forwarding habe ich aktiviert: sysctl -w net.ipv4.ip_forward=1

Wo ist hier mein Fehler?

Vielen Dank für eure Hilfe
Tobias

[tsaenger]

Sobald ich den Befehl

Code: Select all

iptables --table nat -A POSTROUTING -o ens18 -j MASQUERADE

eigegeben habe kann ich auch nicht mehr mein entferntes Netzwerk anpingen.

Gruß und Danke
Tobias