NAT & L2TP/IPSec private interface

[Nastasia]

Добрый день! Прошу подсказки по настройке прозрачного (без NAT) роутинга между private-интерфейсами, когда один из них - L2TP/ipsec туннель.

L2TP0 интерфейс на KeeneticII имеет security-level private, no global, прописана команда ip nat L2TP0, чтобы с сервера проходили пакеты к условному хосту  7.7.7.7, который доступен только через один из WAN-портов KeeneticII. Я ожидаю, что команда ip nat L2TP0  приведет к трансляции адресов из подсетей 192.168.200.0/24 и 192.168.230.0/24 при отправке пакетов в public-интерфейсы KeeneticII (к хосту 7.7.7.7, например), а при обращении к хостам из подсети 192.168.60.0/22 пакеты будут проходить прозрачно.  Однако wireshark, запущенный на 192.168.60.40 показывает, что при пинге с адресов 192.168.230.33 или 192.168.200.130 хоста 192.168.60.40 источником пакетов является 192.168.60.1

Как сделать, чтобы хосты на разных концах туннелей этого RAS обращались друг к другу без NAT?

Схема подключения для наглядного понимания на рисунке ниже. 

Edited March 23, 2017 by Nastasia

[r13]

В кинетике nat висит на интерфейсе источнике, например на Home (ip nat Home) и все его пакеты натятся.

Выборочный nat пока в зачаточном состоянии, почитайте, возможно поможет.

 

[Nastasia]

Спасибо, это похоже на то что мне нужно. Надо попробовать.

[gaaronk]

Можно скриптом /opt/etc/ndm/netfilter.d/02_nat.sh

 

#!/bin/sh

[ "$table" != "nat" ] && exit 0

/opt/sbin/iptables -t nat -A _NDM_IPSEC_POSTROUTING_NAT -o ngre+ -j ACCEPT

/opt/bin/logger -t "iptables" "Add GRE rules to table $table"

Только имя -o <интерфейс> задайте нужное вам