Всем добра!

Делаю туннель между двумя компьютерами (A, B) между ними роутер R

A (eth0) -----------(enp0s1) R (enp0s2) --------- C (eth0)

A (eth0 secondary) ---- B (env1)

• IP комп. A (eth0) — 192.168.1.1/24
• IP комп. A (eth0 secondary) — 192.168.254.2/24
• IP роутера R (enp0s1) — 192.168.1.254/24
• IP роутера R (enp0s2) — 192.168.2.254/24
• IP комп. C (eth0) — 192.168.2.1/24
• IP комп. B (env1) — 192.168.254.1/24

на компьютере А создаю туннель следующей командой

ip tunnel add IPT mode ipip local 192.168.1.1 remote 192.168.2.1
ip link set dev IPT up
ip addr add 192.168.3.1/24 dev IPT

ip tunnel add IPT mode ipip local 192.168.2.1 remote 192.168.1.1
ip link set dev IPT up
ip addr add 192.168.3.254/24 dev IPT

итоговая маршрутная таблица компьютера A:

192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.1
192.168.3.0/24 dev IPT proto kernel scope link src 192.168.3.1
192.168.254.0/24 dev eth0 proto kernel scope link src 192.168.254.2

Всё работает,всё движется.

Но вопрос не про это :).

Вот чисто гипотетически. Не привязываясь к конкретной конфигурации и сфере применения.

вот если я делаю так на компьютере A:

iptables -t nat -A OUTPUT -o eth0 -j DNAT --to 192.168.254.1

и на том же компьютере A:

ping -I IPT 192.168.3.254 

Dead loop on virtual device IPT ...

Если я не ошибаюсь цепочка движения пакета с компьютера А будет:

local process (ping) — routing decision — ... — netfilter output (-o IPT) — netfilter postrouting — вход на псевдо устройство tun (IPT) — ( ipip инкапсуляция ) — выход tun (IPT) — routing decision — ... — netfilter output (-o eth0) — netfilter postrouting — arp (link layer) — ...

Адреса такие же.

Должно происходить сначала routing decision, а уже потом DNAT. Что заставляет пакеты исходящие из eth0 вернуться в IPT (в бесконечном loop)?

Помогите, пожалуйста! Посоветуйте, что почитать. Интересно разобраться.

Спасибо.