<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Fri, May 4, 2018 at 7:57 AM Arab Abdulla <<a href="mailto:arab666@protonmail.com">arab666@protonmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Dear Admins!<br></div><div><br></div><div>Please help. Can't make work routing. I have net scheme:<br></div><div>IPSEC Client 1 <--> IPSEC Server <--> IPSEC Client 2<br></div><div><br></div><div>IPSEC IPs of computers:<br></div><div>Server: 10.1.1.1<br></div><div>Client 1: 10.1.2.1<br></div><div>Client 2: 10.1.3.1<br></div><div><br></div><div>I can ping 10.1.3.1 from 10.1.2.1, traffic goes through 10.1.1.1. It works.<br></div><div><br></div><div>I need to make "Client 2" an Internet gateway to pass all Internet traffic from Client 1.<br></div><div><br></div><div>But when I try to add route:<br></div><div>ip route add <a href="http://8.8.4.4/32" target="_blank">8.8.4.4/32</a> via 10.1.3.1<br></div><div>it seems route not working, like gateway 10.1.3.1 is just ignored. Traffic ends on 10.1.1.1, and do not pass to 10.1.3.1 at all. I check it with tcpdump.</div></blockquote><div><br></div><div>Client 1 send the packet addressed for 8.8.4.4, and the server receives it. Now the server doesn't know about the routing tables on client 1: it only knows it has this packet addressed to 8.8.4.4. How does the server know a packet for 8.8.4.4 should go through client 2? You can check the server routing tables with "ip route get 8.8.4.4", or perhaps "ip route get 8.8.4.4 from <a href="http://10.1.2.1">10.1.2.1</a>: what's it say? Does it show the server thinks the next hop should be 10.1.3.1?</div><div><br></div><div>Reverse path filtering is another thing that can be a problem in scenarios like this, especially if client 1 has some IP address other than 10.1.2.1, and is not using 10.1.2.1 as the source address for the packets it sends destined for the internet. the log_martians and rp_filter sysctls are something to check. I've spent more than a few hours racking my brain as to why packets are "just disappearing" before remembering reverse path filtering.</div></div></div>