私はOVHcloudに4つのサーバーを作成し、すべてUbuntu 22を実行しました。彼らは次のIPを使用して単純なテストネットワークを形成します。
Client_A:
ens3 - public IP
ens4 - 10.200.0.1
Server_B:
ens3 - public IP
ens4 - 10.200.0.2
Server_C:
ens3 - public IP
ens4 - 10.201.0.1
Client_D:
ens3 - public IP
ens4 - 10.201.0.2
StrongSwanを使用して、Server_BとServer_Cの間にIPsecトンネルを作成しました。 ipsec status コマンドの出力に示すように正常に設定されました。
B_to_C{1}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c333a692_i ca3c274b_o B_to_C{1}: 10.200.0.0/16 === 10.201.0.0/16
C_to_B{2}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: ca3c274b_i c333a692_o C_to_B{2}: 10.201.0.0/16 === 10.200.0.0/16
Client_Aに固定パスを追加しました。
10.201.0.0/16 via 10.200.0.1 dev ens4
...そしてClient_D ...
10.200.0.0/16 via 10.201.0.1 dev ens4
両方のIPsecサーバーにnet.ipv4.ip_forward = 1を含めるように/etc/sysctl.confを設定しました。
Client_AからClient_Dへのpingは応答しませんが、Server_Bでtcpdumpを実行すると、Client_DはClient_Aにエコー応答を送信するとマークされますが、何らかの理由でServer_Bで停止してClient_Aに到達しません。
10.201.0.2 > 10.200.0.2: ICMP echo reply, id 56, seq 2, length 64
Server_BからClient_Dにpingを送信すると、Server_Bは正しい応答を受け取ります。
それでは、誰かがClient_AからClient_Dへのエコー要求への応答がイニシエータ(Client_A)に到達できない理由を説明しますか?
どのファイアウォールルールもパケットをブロックしません。