подмена ip

Если у тебя 192.168.11.2 не знает как ответить назад «клиенту» (маршрутизатор по умолчанию у неё не твой, а что-то другое), то надо еще SNAT или маскарад делать:

iptables -t nat -A POSTROUTING -d 192.168.11.2 -j MASQUERADE

Я добавил

iptables -t nat -A POSTROUTING  -j MASQUERADE

И в локалке это заработало. Правда из сети заказчика пингов все равно нет.

и не будет, использовать нат для локальных сетей идиотизм, прочти уже -https://ru.wikipedia.org/wiki/NAT

При чем тут вообще локалка? Лишь бы ляпнуть да? Их локалка по отношению к нашей сети -внешняя сеть с настроенной маршрутизацией. Прежде чем умничать вникайте в проблему. А по теме походу сейчас проблема на стороне заказчика уже, потому что все выглядит так что у нас все работает.

прочти уже

Что такое нат и как он работает я знаю. Не владею iptables (не понимаю их правил) это да, не поинмаю. Но что такое нат и принципы его работы в теории я знаю. Нат тут как раз самое то. Сначала прочти описание моей топологии и поставленной задачи, а потом говори про локалки вообще.

все выглядит так что у нас все работает.

ну да, ну да. nat тебе не нужен пойми уже, путь в тупик это. смотри лучше в сторону vpn и маршрутов.

Расскажи как решить проблему мою которую ты не читал

Для маршрутов нужная подсетка и еще один ip из пространства заказчика

Я уже проверил решение через nat из другой подконтрольной мне сети (то есть не локалки)и оно работает, так что воздержись от «ну да, ну да»

маршрутов нужная подсетка

так кто мешает - vpn.

Ситуация такая, есть маршрутизатор на linux и 2 машины в локалки в подсетке 192.168.11.0/24 подключенные к нему.

Заказчика хочет обращаться к этим машинкам по двум айпи, но другим 10.****

vpn чистой воды.

Для впн из двух клиентов нужен третий айпи для роутера

подпишусь, пожалуй, случай становится всё более забавным

Ты не в курсе, vxzvxz - просто наркоман или родственник erzent'а?

ты думаешь не о том, смотри лучше в сторону vpn и маршрутов.

Да нечего подписываться, првила iptables верные - проверенно. Косяк в впн с заказчиком. Все осложняет сломанный телефон. Я не общаюсь с админами целевой сетки напрямую. В принципе забавного нет ничего.

Ну раз всё так незабавно, то отпишусь конечно

Рассказываю конец истории. iptables был настроен как надо, косяк оказался конечно же в настройках ipsec. Я посмотрел логи и увидел ошибки характерные для несовпадения настроек на сервере и клиенте. Но все было настроено вроде верно. Отослал конфиг ipsec заказчику и попросил его отправить заказчику заказчика для верификации и попросил логи с их стороны. Заказчик заказчика сказал, что логи предоставить невозможно в принципе и никак и сам он их проверять тоже не будет. В итоге заказчик совзонился со своим заказчиком и общался (мой заказчик) со мной в скайпе. Заказчик заказччика сказал, что мы ДОЛЖНЫ отбрутфорсить настройки которые будут работать в течение одного часа иначе контракту конец. Они тестили и общались по телефону попутно говоря мне в скайп результат, а я брутфорсил настройки и говорил когда можно тестить опять.

Каким то чудом у нас это получилось...

Отладка по бразильской системе, прям как я люблю