[BUG] 9.107-33 Firewall Rules and IPSEC not working at tun1

In our case we are forwarding an external static ip of an openvpn-server to the utm by a site-to-site ssl-vpn-tunnel. The reason is that we still need a public and reachable ip in case of umts-backup. If you connect by umts, most of the provider are blocking the incoming ipv4 traffic or you will be behind a nat. Incoming connections will not be possible. We still have to receive emails and to connect the red devices 24/7.

Iptables-Rules of the openvpn-server:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source IPOFOVPNSERVER
iptables -t nat -I PREROUTING -d IPOFOVPNSERVER -j DNAT --to-destination 10.8.0.2

The utm will connect as client and get the ip 10.8.0.2 by the openvpn server and the traffic will be natted through the tunnel. The new default gateway of the utm will be the 10.8.0.1 by "push redirect-gateway" in the openvpn config.
Almost everything is working. The dyndns accounts are updating, the sophos red is connecting,  the webproxy is working and emails can be received by the ip of the openvpn server. Even if you are connected by umts and your provider is blocking most of the services.

Our problem is, that the firewall rules are not working with tun1 ip 10.8.0.2. By default, a incoming ipsec-connection at port 500 will be blocked and its not possible to create working rules. If you create rules, the packets will still be dropped by default.[:O]

Another nice-to-have feature would be "activating a site-to-site ssl-vpn-tunnel in case of umts-backup". At this time we have to activate it manually, because this is only possible for ipsec-tunnel in the uplink-monitoring.


Here is a quick drawing of the described topology:


Thanks for checking the bug.
Christian

This thread was automatically locked due to age.