Los firewalls locales de Linux no distinguen el trafico que hace match con las políticas IPSEC y lo tratan como trafico común, es decir si existen reglas MASQUERADE o SNAT estas cambian la fuente del paquete lo que hace que no aplique para pasar a través del túnel IPSEC.

Para resolver esto hay que hacer que los paquetes que concuerden con la política IPSEC se salten las reglas NAT y esto se logra en la cadena POSTROUTING con la siguiente regla que debe ser agregada antes de cualquier regla de NAT.

sudo iptables -t nat -I POSTROUTING -m policy --pol ipsec --dir out -j ACCEPT
A %d blogueros les gusta esto: