>[оверквотинг удален]
> -A INPUT -i eth2 -p tcp -m tcp --dport 22 -j ACCEPT
> -A INPUT -i eth2 -p tcp -m tcp --sport 22 -j ACCEPT
> -A INPUT -s 127.0.0.0/8 -i lo -j ACCEPT
> -A INPUT -i eth1 -p icmp -m limit --limit 4/sec -j ACCEPT
> -A INPUT -s 172.16.55.0/24 -d 172.16.55.1/32 -i eth2 -j ACCEPT
> -A INPUT -s внешний_ip_1_сервера/32 -j ACCEPT
> -A FORWARD -d 172.16.55.0/24 -i eth1 -o eth2 -j ACCEPT
> -A FORWARD -s 172.16.55.0/24 -i eth2 -o eth1 -j ACCEPT
> -A FORWARD -s внешний_ip_1_сервера/32 -j ACCEPT
> -A FORWARD -d внешний_ip_1_сервера/32 -j ACCEPT а где правила от 172.16.55.0/24 в tun+ ??? -- поди из-за этого и не ходит -- хотя с другой стороны default политики делают ACCEPT всему остальному и смысла обоим файрволам нет накакого, ну разве-что SNAT отрабатывает
>[оверквотинг удален]
> -A OUTPUT -d 127.0.0.0/8 -o lo -j ACCEPT
> -A OUTPUT -o eth1 -p icmp -j ACCEPT
> -A OUTPUT -s 172.16.55.1/32 -d 172.16.55.0/24 -o eth2 -j ACCEPT
> -A OUTPUT -d внешний_ip_1_сервера/32 -j ACCEPT
> COMMIT
> # Completed on Thu Apr 23 00:04:20 2015
>> почему именно vtun? greeth/ipip/gre/l2tp/l2tpv3/многоихвядре было недостаточно?
> как-то давно, для тестов, настраивал vtun для точно таких же целей, все
> работало
> никак не думал что могут возникнуть подобные проблемы
чтобы решить проблемы в целом нужно всего два инструмента
1. ping с ЛВС на хост в удалённой ЛВС
2. tcpdump последовательно на всех интерфейсах по пути
попутно нужно убедится что пакеты которые дожны попадать в тунель не попадают под SNAT