IP-адреса по IPSec
У меня есть четыре установки хостов следующим образом:
У меня есть туннель IPSec через OpenSwan по Интернету между Серверами B и C. Серверы A и D настроены для маршрутизации трафика к другому через B и C соответственно. Серверы A и B находятся на одной частной сети, Серверы C и D на другом.
Я могу проверить с помощью ping-запросов и говорить правильно, но при проверке с помощью ping-запросов Сервера D с Сервера A, я вижу что-то интересное в выводе от tcpdump на каждом поле.
На сервере A:
04:52:12.790527 IP (tos 0x0, ttl 64, id 24219, offset 0, flags [DF], proto ICMP (1), length 84)
[Server A] > [Server D]: ICMP echo request, id 29513, seq 1, length 64
04:52:12.793453 IP (tos 0x0, ttl 62, id 44476, offset 0, flags [none], proto ICMP (1), length 84)
[Server D] > [Server A]: ICMP echo reply, id 29513, seq 1, length 64
На сервере B:
04:52:08.393560 IP (tos 0x0, ttl 64, id 24219, offset 0, flags [DF], proto ICMP (1), length 84)
[Server A] > [Server D]: ICMP echo request, id 29513, seq 1, length 64
04:52:08.395307 IP (tos 0x0, ttl 63, id 44476, offset 0, flags [none], proto ICMP (1), length 84)
[Server D] > [Server B]: ICMP echo reply, id 29513, seq 1, length 64
Сервер C:
04:52:08.395849 IP (tos 0x0, ttl 62, id 24219, offset 0, flags [DF], proto ICMP (1), length 84)
[Server B] > [Server D]: ICMP echo request, id 29513, seq 1, length 64
04:52:08.396382 IP (tos 0x0, ttl 64, id 44476, offset 0, flags [none], proto ICMP (1), length 84)
[Server D] > [Server B]: ICMP echo reply, id 29513, seq 1, length 64
Сервер D:
04:52:12.428422 IP (tos 0x0, ttl 62, id 24219, offset 0, flags [DF], proto ICMP (1), length 84)
[Server B] > [Server D]: ICMP echo request, id 29513, seq 1, length 64
04:52:12.428457 IP (tos 0x0, ttl 64, id 44476, offset 0, flags [none], proto ICMP (1), length 84)
[Server D] > [Server B]: ICMP echo reply, id 29513, seq 1, length 64
Однако нечетная часть прибывает:
- Сервер A имеет корректного дюйм/с
- Сервер B отбирает корректный эхо-запрос, но эхо-ответ, кажется, идет в Сервер B.
- Серверы C и D и видят, что запрос идет между Серверами B и D.
Почему пакеты по-видимому прибывают из Сервера B и не Сервера A?Спасибо!
Похоже, B изменяет поле заголовка IP SRC на свой собственный адрес. Может быть результатом работы NAT. Проверьте свой фильтр пакетов на наличие правил трансляции и измените их соответствующим образом.