UFW chặn phản hồi Https NAT

Tôi đã thiết lập OpenVPN để định tuyến hai mạng tới mạng WAN. Trên thiết lập bên dưới, máy chủ Fedora Linux cung cấp quyền truy cập OpenVEN vào mạng WAN, trong khi bộ định tuyến Mikrotik 1 định tuyến lưu lượng truy cập (không NATted) đến các máy chủ cụ thể thông qua máy chủ OpenVPN 10.9.0.1.

Vấn đề là Https không khả dụng với bộ định tuyến Fedora vì tôi đã loại bỏ NAT cho các mạng 192.168.88.0/0 và 89.0/24.

Vấn đề là UFW dường như chặn NAT phản hồi IP bên ngoài 2 tới các máy khách 192.168.89.0/24 trong khi nó hoạt động tốt từ mạng 192.168.88.0/24!

Traceroute có vẻ ổn từ cả hai mạng (kết nối mạng có vẻ ổn).

Bản đồ mạng

Đây là danh sách conntrack với các cổng:

tcp 6 431996 ĐÃ THÀNH LẬP src=192.168.89.252 dst=195.82.146.214 sport=65042 dport=443 src=195.82.146.214 dst=95.179.xxx.xxx sport=443 dport=65042 [ĐẢM BẢO] mark=0 use=1
tcp 6 431996 ĐÃ THÀNH LẬP src=192.168.89.252 dst=195.82.146.214 sport=53619 dport=443 src=195.82.146.214 dst=95.179.xxx.xxx sport=443 dport=53619 [ĐẢM BẢO] mark=0 use=1
tcp 6 431996 ĐÃ THÀNH LẬP src=192.168.89.252 dst=195.82.146.214 sport=52700 dport=443 src=195.82.146.214 dst=95.179.xxx.xxx sport=443 dport=52700 [ĐẢM BẢO] mark=0 use=1

Bạn có thể thấy rằng cả ba cổng (65042, 53619, 52700) đều bị chặn bởi UFW:

Ngày 29 tháng 9 21:47:43 atlantis kernel: [UFW AUDIT] IN=enp1s0 OUT= MAC=56:00:03:7f:e1:09:fe:00:03:7f:e1:09:08:00 SRC= 195.82.146.214 DST=95.179.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=28004 DF PROTO=TCP SPT=443 DPT=60549 WINDOW=58 RES=0x00 ACK FIN URGP=0
Ngày 29 tháng 9 21:47:43 nhân atlantis: [UFW KIỂM TOÁN KHÔNG HỢP LỆ] IN=enp1s0 OUT= MAC=56:00:03:7f:e1:09:fe:00:03:7f:e1:09:08:00 SRC =195.82.146.214 DST=95.179.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=28004 DF PROTO=TCP SPT=443 DPT=60549 WINDOW=58 RES=0x00 ACK FIN URGP=0
Ngày 29 tháng 9 21:47:43 atlantis kernel: [UFW BLOCK] IN=enp1s0 OUT= MAC=56:00:03:7f:e1:09:fe:00:03:7f:e1:09:08:00 SRC= 195.82.146.214 DST=95.179.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=28004 DF PROTO=TCP SPT=443 DPT=60549 WINDOW=58 RES=0x00 ACK FIN URGP=0
Ngày 29 tháng 9 21:47:44 atlantis kernel: [UFW AUDIT] IN=enp1s0 OUT= MAC=56:00:03:7f:e1:09:fe:00:03:7f:e1:09:08:00 SRC= 195.82.146.214 DST=95.179.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=60436 DF PROTO=TCP SPT=443 DPT=55409 WINDOW=58 RES=0x00 ACK FIN URGP=0
Ngày 29 tháng 9 21:47:44 nhân atlantis: [UFW KIỂM TOÁN KHÔNG HỢP LỆ] IN=enp1s0 OUT= MAC=56:00:03:7f:e1:09:fe:00:03:7f:e1:09:08:00 SRC =195.82.146.214 DST=95.179.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=60436 DF PROTO=TCP SPT=443 DPT=55409 WINDOW=58 RES=0x00 ACK FIN URGP=0
Ngày 29 tháng 9 21:47:44 atlantis kernel: [UFW BLOCK] IN=enp1s0 OUT= MAC=56:00:03:7f:e1:09:fe:00:03:7f:e1:09:08:00 SRC= 195.82.146.214 DST=95.179.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=54 ID=60436 DF PROTO=TCP SPT=443 DPT=55409 WINDOW=58 RES=0x00 ACK FIN URGP=0

Vấn đề không tồn tại với mạng 192.168.88.0/24 - mọi thứ đều ổn. Tôi sẽ đánh giá cao bất kỳ sự giúp đỡ.

Đây là cấu hình UFW, không có gì đặc biệt ở đó:

# BẮT ĐẦU QUY TẮC OPENVPN
# Quy tắc bảng NAT
* tự nhiên
:POSTROUTING CHẤP NHẬN [0:0]
# Cho phép lưu lượng truy cập từ máy khách OpenVPN đến enp1s0
-A POSTROUTING -s 10.8.0.0/24 -o enp1s0 -j ​​MASQUERADE
#-A POSTROUTING -s 10.9.0.0/24 -o enp1s0 -j ​​MASQUERADE #Không cần thiết vì mạng không được NATtted.

-A POSTROUTING -s 192.168.88.0/24 -o enp1s0 -j ​​MASQUERADE
-A POSTROUTING -s 192.168.89.0/24 -o enp1s0 -j ​​MASQUERADE
LÀM