IPsec; LAN: исчезает доступ в интернет из LAN при поднятии туннеля.
Прошу помощи. Настроил на Debian Jessie шлюз для доступа в интернет из локальной сети, попутно по заданию подняв ipsec-туннель на strongswan. Интерфейс eth0 смотрит наружу, на котором с провайдером поднят PPPoE-туннель(ppp0), eth1 смотрит в LAN. Проблема заключается в том, что когда выполняю команду
# ipsec start
# ipsec stop
*nat
:PREROUTING ACCEPT [24:3145]
:INPUT ACCEPT [5:1722]
:OUTPUT ACCEPT [7:455]
:POSTROUTING ACCEPT [7:455]
-A POSTROUTING -d 192.168.0.0/16 -j RETURN
-A POSTROUTING -s 192.168.200.0/24 -j MASQUERADE
COMMIT
# Completed on Thu Feb 11 21:58:47 2016
# Generated by iptables-save v1.4.21 on Thu Feb 11 21:58:47 2016
*filter
:INPUT ACCEPT [1:56]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1859:329189]
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4500 -j ACCEPT
-A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -o eth1 -j ACCEPT
COMMIT
# Completed on Thu Feb 11 21:58:47 2016
# Generated by iptables-save v1.4.21 on Thu Feb 11 21:58:47 2016
*mangle
:PREROUTING ACCEPT [1624946:1570565421]
:INPUT ACCEPT [34934:19422054]
:FORWARD ACCEPT [1588020:1551002333]
:OUTPUT ACCEPT [32857:3994826]
:POSTROUTING ACCEPT [1620373:1554896358]
COMMIT
config setup
# strictcrlpolicy=yes
# uniqueids = no
charondebug="ike 2, chd 2, knl 2, cfg 2,dmn 2, mgr 2, job 2, net 2"
conn %default
ikelifetime=1440m
keylife=60m
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
authby=secret
conn ciscoasa
left=IP_МОЙ_ВНЕШНИЙ
leftsubnet=192.168.200.0/24
leftid=IP_МОЙ_ВНЕШНИЙ
right=IP_CISCOASA
rightsubnet=192.168.0.0/16
rightid=IP_CISCOASA
auto=start
ike=3des-md5-modp1024
esp=3des-md5
# ip r
# ip r
default dev ppp0 scope link
IP_ШЛЮЗ_ПРОВАЙДЕРА dev ppp0 proto kernel scope link src IP_МОЙ_ВНЕШНИЙ
169.254.0.0/16 dev eth1 scope link metric 1000
192.168.200.0/24 dev eth1 proto kernel scope link src 192.168.200.1
P.S. Тоннель поднимается для организации ip-телефонии со сквозной нумерацией между офисами в разных городах, сервер Asterisk ставится с моей стороны. При поднятии тоннеля регистрация пиров с ip-фонов на сервере проходит без проблем, как и поднятие внешнего транка с дальнейшим осуществлением звонков по всем направлениям.
P.P.S.
net.ipv4.ip_forward = 1