Есть сервер 192.168.1.232. Есть IPSec туннель, который после подключения дает картину:
ip a
2: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 60:a4:4c:cb:4e:14 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.232/24 brd 192.168.1.255 scope global enp3s0
valid_lft forever preferred_lft forever
inet 192.168.90.10/32 scope global enp3s0
valid_lft forever preferred_lft forever
inet6 fe80::62a4:4cff:fecb:4e14/64 scope link
valid_lft forever preferred_lft forever
IP адрес 192.168.90.10/32 выдается удаленным сервером при IKE и может меняться.
Я хочу, чтобы компьютеры из сети 192.168.1.0/24 могли ходить в удаленную сеть за туннелем. Но без маскарадинга это сделать не получится, т.к. удаленный сервер я не контролирую и никакие пакеты кроме 192.168.90.10/32 он в мой адрес маршрутизировать не станет. Да и дропнет он, скорее всего пакеты, исходящие не от 192.168.90.10.
Как правильно MASQUERADE в данном случае для IPSec настроить?
После команды:
iptables -t nat -A POSTROUTING -d 10.130.0.0/16 -j MASQUERADE
пакеты до удаленной сети доходить перестают. Я думаю он в пакет первый адрес подставляет (192.168.1.232) вместо 192.168.90.10.
Можно как-то нормально настроить NAT в такой ситуации?