UFW blochează răspunsul Https NAT

Am o configurare cu OpenVPN care direcționează două rețele către WAN. În configurația de mai jos, serverul Fedora Linux oferă acces OpenVEN la WAN, în timp ce routerul Mikrotik 1 direcționează (nu NAT) traficul către anumite gazde prin serverul OpenVPN 10.9.0.1.

Problema este că Https nu este disponibil pentru routerul Fedora, deoarece am scăpat de NAT pentru rețelele 192.168.88.0/0 și 89.0/24.

Problema este că UFW pare să blocheze răspunsul NAT la IP extern 2 către clienții 192.168.89.0/24 în timp ce funcționează OK din rețeaua 192.168.88.0/24!

Traceroute pare să fie OK de la ambele rețele (conectivitatea la rețea pare să fie bună).

Harta rețelei

Iată lista conntrack cu porturi:

tcp 6 431996 STABILIT src=192.168.89.252 dst=195.82.146.214 sport=65042 dport=443 src=195.82.146.214 dst=95.179.146.214 dst=95.179.146.214 sport=65042 dport=443.
tcp 6 431996 ESTABLISHED src=192.168.89.252 dst=195.82.146.214 sport=53619 dport=443 src=195.82.146.214 dst=95.179.146.214 dst=95.179.146.214 sport=53619.Dxxx use mark=5346.
tcp 6 431996 ESTABLISHED src=192.168.89.252 dst=195.82.146.214 sport=52700 dport=443 src=195.82.146.214 dst=95.179.179.146.214 sport=52.146.214 sport=52700 dport=443.

Puteți vedea că toate cele trei porturi (65042, 53619, 52700) sunt apoi blocate de UFW:

Sep 29 21:47:43 Atlantis kernel: [UFW AUDIT] IN=enp1s0 OUT= MAC=56:00:03:7f:e1:09:fe:00:03:7f:e1:09:08:00 SRC= 195.82.146.214 DST=95.179.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=28004 DF PROTO=TCP SPT=443 DPT=60549 WINDOW=58 RES=0x00 ACK FIN ACK
Sep 29 21:47:43 Atlantis kernel: [UFW AUDIT INVALID] IN=enp1s0 OUT= MAC=56:00:03:7f:e1:09:fe:00:03:7f:e1:09:08:00 SRC =195.82.146.214 DST=95.179.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=28004 DF PROTO=TCP SPT=443 DPT=60549 WINDOW=58 RES=0x00 ACK FIN 0x00
Sep 29 21:47:43 Atlantis kernel: [UFW BLOCK] IN=enp1s0 OUT= MAC=56:00:03:7f:e1:09:fe:00:03:7f:e1:09:08:00 SRC= 195.82.146.214 DST=95.179.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=28004 DF PROTO=TCP SPT=443 DPT=60549 WINDOW=58 RES=0x00 ACK FIN ACK
Sep 29 21:47:44 Atlantis kernel: [UFW AUDIT] IN=enp1s0 OUT= MAC=56:00:03:7f:e1:09:fe:00:03:7f:e1:09:08:00 SRC= 195.82.146.214 DST=95.179.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=60436 DF PROTO=TCP SPT=443 DPT=55409 WINDOW=58 RES=0x00 ACK FIN 0x00 ACK FIN
Sep 29 21:47:44 Atlantis kernel: [UFW AUDIT INVALID] IN=enp1s0 OUT= MAC=56:00:03:7f:e1:09:fe:00:03:7f:e1:09:08:00 SRC =195.82.146.214 DST=95.179.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=60436 DF PROTO=TCP SPT=443 DPT=55409 WINDOW=58 RES=0x00 ACK FIN ACK
Sep 29 21:47:44 Atlantis kernel: [UFW BLOCK] IN=enp1s0 OUT= MAC=56:00:03:7f:e1:09:fe:00:03:7f:e1:09:08:00 SRC= 195.82.146.214 DST=95.179.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=60436 DF PROTO=TCP SPT=443 DPT=55409 WINDOW=58 RES=0x00 ACK FIN 0x00 ACK FIN

Problema nu există cu rețeaua 192.168.88.0/24 - totul este în regulă. Voi aprecia orice ajutor.

Aici este configurația UFW, nimic special acolo:

# START REGULILE OPENVPN
# reguli de masă NAT
*nat
: POSTROUTING ACCEPT [0:0]
# Permite traficul de la clientul OpenVPN către enp1s0
-A POSTROUTING -s 10.8.0.0/24 -o enp1s0 -j ​​MASQUERADE
#-A POSTROUTING -s 10.9.0.0/24 -o enp1s0 -j ​​MASQUERADE #Nu este necesar deoarece rețeaua nu este NATtted.

-A POSTROUTING -s 192.168.88.0/24 -o enp1s0 -j ​​MASQUERADE
-A POSTROUTING -s 192.168.89.0/24 -o enp1s0 -j ​​MASQUERADE
COMMIT