VPNサイト間クライアントがping応答を受け取らない

VPNサイト間クライアントがping応答を受け取らない

私はOVHcloudに4つのサーバーを作成し、すべてUbuntu 22を実行しました。彼らは次のIPを使用して単純なテストネットワークを形成します。

Client_A:
    ens3 - public IP
    ens4 - 10.200.0.1

Server_B:
    ens3 - public IP
    ens4 - 10.200.0.2

Server_C:
    ens3 - public IP
    ens4 - 10.201.0.1

Client_D:
    ens3 - public IP
    ens4 - 10.201.0.2

StrongSwanを使用して、Server_BとServer_Cの間にIPsecトンネルを作成しました。 ipsec status コマンドの出力に示すように正常に設定されました。

B_to_C{1}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c333a692_i ca3c274b_o B_to_C{1}: 10.200.0.0/16 === 10.201.0.0/16  
C_to_B{2}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: ca3c274b_i c333a692_o C_to_B{2}: 10.201.0.0/16 === 10.200.0.0/16

Client_Aに固定パスを追加しました。

10.201.0.0/16 via 10.200.0.1 dev ens4

...そしてClient_D ...

10.200.0.0/16 via 10.201.0.1 dev ens4

両方のIPsecサーバーにnet.ipv4.ip_forward = 1を含めるように/etc/sysctl.confを設定しました。

Client_AからClient_Dへのpingは応答しませんが、Server_Bでtcpdumpを実行すると、Client_DはClient_Aにエコー応答を送信するとマークされますが、何らかの理由でServer_Bで停止してClient_Aに到達しません。

10.201.0.2 > 10.200.0.2: ICMP echo reply, id 56, seq 2, length 64

Server_BからClient_Dにpingを送信すると、Server_Bは正しい応答を受け取ります。

それでは、誰かがClient_AからClient_Dへのエコー要求への応答がイニシエータ(Client_A)に到達できない理由を説明しますか?

どのファイアウォールルールもパケットをブロックしません。

関連情報