Estou usando o túnel StrongSwan para Mikrotik IKEv2. Gostaria de saber se é possível descobrir o que vem do túnel ipsec do lado do Mikrotik?
O problema é que tenho um host na minha rede local que está atrás de um firewall cuja configuração é proibida. Este firewall permitirá apenas conexões da mesma sub-rede (digamos 192.168.10.X), mas o que vem do túnel é originado em 100.64.10.1, que é rejeitado pelo host mencionado acima.
O que também vale ressaltar é que do lado do Mikrotik tenho um IP 100.64.10.2 criado pela configuração ipsec do Swan.
Já tentei uma abordagem direta criando uma regra NAT no Mikrotik, mas ela está sendo ignorada (pelo que entendi devido às regras notrack geradas pelo ipsec). Também estive pesquisando em RAW e MANGLE (que estão realmente funcionando) por uma solução alternativa, mas ainda assim o netstat em um host fictício mostrará 100.64.10.1 para IP de entrada.
Por favor ajude :D
Fragmento ipsec.conf:
conn arterial
[email protected]
left=%any
leftcert=scert.pem
lefthostaccess=yes
leftid=XXX.XXX.XXX.XXX (public IP)
leftsendcert=always
leftsubnet=100.64.10.0/28
right=%any
rightid=%any
rightauth=eap-mschapv2
rightdns=8.8.8.8,8.8.4.4
rightsendcert=never
rightsourceip=100.64.0.2
rightsubnet=192.168.10.0/16
conn roadwar
also=arterial
[email protected]
rightsourceip=100.64.10.3-100.64.10.15
rightsubnet=100.64.10.0/28
fragmento de iptables:
iptables -t nat -A POSTROUTING -s 192.168.10.0/16 -o enpXsY -m policy --pol ipsec --dir out -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.0/16 -o enpXsY -j MASQUERADE
