» Не идет пинг через gif интерфейсы

1я сеть
rc.conf
..
defaultrouter="192.168.242.2" #
..
gif_interfaces="gif0"
gifconfig_gif0="192.168.242.5 192.168.242.6"
ifconfig_gif0="inet 192.168.50.1 192.168.254.1 netmask 0xffffffff"
static_routes="RemoteLan"
route_RemoteLan="192.168.254.0/24 -interface gif0"
racoon_enable="YES"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"

ipsec.conf
..
flush;
spdflush;
spdadd 192.168.50.0/24 192.168.254.0/24 any -P out ipsec esp/tunnel/192.168.242.5-192.168.242.6/require;
spdadd 192.168.254.0/24 192.168.50.0/24 any -P in ipsec esp/tunnel/192.168.242.6-192.168.242.5/require;

firewall.sh
/sbin/ipfw add 1110 allow udp from 192.168.242.5 to 192.168.242.6 isakmp
/sbin/ipfw add 1120 allow udp from 192.168.242.6 to 192.168.242.5 isakmp
/sbin/ipfw add 1130 allow esp from 192.168.242.5 to 192.168.242.6
/sbin/ipfw add 1140 allow esp from 192.168.242.6 to 192.168.242.5
/sbin/ipfw add 1150 allow ipencap from 192.168.242.5 to 192.168.242.6
/sbin/ipfw add 1160 allow ipencap from 192.168.242.5 to 192.168.242.6
/sbin/ipfw add 1170 allow ip from 192.168.50.0/24 to 192.168.254.0/24
/sbin/ipfw add 1180 allow ip from 192.168.254.0/24 to 192.168.50.0/24

кстати, если здесь все разрешить (allow all, вообще, постваить) - результат будет аналогичным

2я сеть
rc.conf
..
defaultrouter="192.168.242.2"
..
gif_interfaces="gif0"
gifconfig_gif0="192.168.242.6 192.168.242.5"
ifconfig_gif0="inet 192.168.254.1 192.168.50.1 netmask 0xffffffff"
static_routes="RemoteLan"
route_RemoteLan="192.168.50.0/24 -interface gif0"
racoon_enable="YES"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"

ipsec.conf

flush;
spdflush;
spdadd 192.168.254.0/24 192.168.50.0/24 any -P out ipsec esp/tunnel/192.168.242.6-192.168.242.5/require;
spdadd 192.168.50.0/24 192.168.254.0/24 any -P in ipsec esp/tunnel/192.168.242.5-192.168.242.6/require;

firewall.sh
..
/sbin/ipfw add 1110 allow udp from 192.168.242.6 to 192.168.242.5 isakmp
/sbin/ipfw add 1120 allow udp from 192.168.242.5 to 192.168.242.6 isakmp
/sbin/ipfw add 1130 allow esp from 192.168.242.6 to 192.168.242.5
/sbin/ipfw add 1140 allow esp from 192.168.242.5 to 192.168.242.6
/sbin/ipfw add 1150 allow ipencap from 192.168.242.6 to 192.168.242.5
/sbin/ipfw add 1160 allow ipencap from 192.168.242.6 to 192.168.242.5
/sbin/ipfw add 1170 allow ip from 192.168.254.0/24 to 192.168.50.0/24
/sbin/ipfw add 1180 allow ip from 192.168.50.0/24 to 192.168.254.0/24
..
аналогично и здесь, с allow all. ничего не движется.

Пинги, между внешними интерфейсами идут. Пингуются, также, удаленные имена внешней реальной сети.

по ifconfig, gif интерфейсы существуют

tcpdump -i gif0 на машине, откуда производится пинг с внутреннего адреса на внутренний адрес удаленной стороны, говорит о нулевой активности.

Есть два момента, после которых все началось. Это лабораторка на vmware 5.5

FreeBSD 5.5 p17

Либо, из-за того, что я поставил статические адреса этим серверам, либо из-за пересборки ядра.
Опции мною добавленные в ядро:
options IPSEC
options IPSEC_ESP
options IPSEC_DEBUG
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options DUMMYNET
options QUOTA
options SUIDDIR

Все, что по IPSEC*, было и раньше и все работало.

Последнне добавил из за отваливания цепочек:
/sbin/ipfw add 5000 divert natd ip from x.x.x.0:255.255.255.0 to any out xmit em0
/sbin/ipfw add 5100 divert natd ip from any to a.a.a.a


x.. и a.. - Переменные. Там другие адреса, на самом деле. просто машины две и решил сюда написать переменные.
До того, как вообще ядро не пересобирал - диверты пахали.
Не думал, что GENERIC (конфиг) отличается от той конфигурации, что ставится с диска. Ибо ничего особо и не трогал.
sysctl.conf пуст был и раньше.

Кстати, раньше были другие правила в firewall.conf
/sbin/ipfw add 1110 pass in log quick proto esp from any to any
/sbin/ipfw add 1120 pass in log quick proto udp from any port = 500 to any port = 500

сейчас, оны вываливаться стали
либо, что-то в ядре перекручено, либо одно из двух

В rc.conf пробовал так
route_RemoteLan="192.168.254.0/24 192.168.254.1"

rc.conf 2
route_RemoteLan="192.168.50.0/24 192.168.50.1"

Drron

Сделал.
Нет. То же самое. Перепроверил rc.conf

Вообще, раньше вот по такому сценарию все делал: http://www.opennet.ru/base/net/vpn_ipsec_racoon.txt.html

Попробовал его еще раз. Все один в один. Не идут пинги.

До пересборки ядра и смены dhcp на статику, старый вариант работал, как часы. Не работал, лишь, racoon (ipsec-tools). Нужно было пересобрать ядро с IPSEC*

А если сделать ipsec_enable="NO" то тунель пашет?

Нужно добиться чтоб он без ipsec работал, потом накручивать дальше.

Drron

неа

вот как делал [more]defaultrouter="192.168.242.2" #этот шлюз правильный.
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
gateway_enable="YES"
hostname="localhost.localdomain"
ifconfig_em0="inet 192.168.242.5 netmask 255.255.255.0"
ifconfig_em1="inet 192.168.50.1 netmask 255.255.255.0"
firewall_enable="YES"#можно поставить "NO". не то.
firewall_script="/etc/firewall.sh"
sendmail_enable="NONE"
trafd_enable="YES"#можно выключить# не то.
trafd_ifaces="em0 em1"#
trafd_flags=""
trafd_log="/usr/local/var/trafd.log"
inetd_enable="YES"
keymap="ru.koi8-r"
keyrate="normal"
linux_enable="YES"
mousechar_start="3"
moused_enable="YES"
saver="daemon"
scrnmap="koi8-r2cp866"
sshd_enable="NO"
usbd_enable="NO"
natd_enable="YES"
natd_interface="em0"
natd_flags=""
gif_interfaces="gif0"
gifconfig_gif0="192.168.242.5 192.168.242.6"
ifconfig_gif0="inet 192.168.50.1 192.168.254.1 netmask 255.255.255.0"
static_routes="vpn"
route_vpn="192.168.50.0/24 192.168.50.1"
export route_vpn
ipsec_enable="NO"
#ipsec_file="/etc/ipsec.conf"[/more]

все то же самое.

Перепроверил еще раз, по ifoconfig, адреса. внешние адреса, с машины на машину, пингуются. Все, что за натом, в инет (в настоящий) ходить может. клиенты пинговать внешние адреса противоположной стороны (сервер) могут.

Добавлено:
таблицы [more]Internet:
1
Destination Gateway Flags Refs Use Netif Expire
default 192.168.242.2 UGS 0 0 em0
127.0.0.1 127.0.0.1 UH 0 0 lo0
192.168.50 link#2 UC 0 0 em1
192.168.50.1 00:0c:29:d1:ae:39 UHLW 1 0 lo0
192.168.242 link#1 UC 0 0 em0
192.168.242.2 link#1 UHLW 2 0 em0
192.168.242.6 00:0c:29:1d:ed:84 UHLW 1 4 em0 1174
192.168.254.1 192.168.50.1 UH 0 0 gif0

2
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.242.2 UGS 0 0 em0
127.0.0.1 127.0.0.1 UH 0 0 lo0
192.168.50.1 192.168.254.1 UH 0 2 gif0
192.168.242 link#1 UC 0 0 em0
192.168.242.2 link#1 UHLW 2 0 em0
192.168.242.5 00:0c:29:d1:ae:2f UHLW 1 6 em0 768
192.168.254 link#2 UC 0 0 em1
192.168.254.1 00:0c:29:1d:ed:8e UHLW 1 0 lo0
192.168.254.5 00:0c:29:c5:74:0e UHLW 1 2 em1 1021[/more]

Добавлено:
ipfw show

[more]1

01000 0 0 allow ip from any to any via lo0
01005 0 0 allow ip from any to any via gif0
01100 0 0 deny ip from any to 127.0.0.0/8
01110 0 0 allow udp from 192.168.242.5 to 192.168.242.6 dst-port 500
01120 0 0 allow udp from 192.168.242.6 to 192.168.242.5 dst-port 500
01130 0 0 allow esp from 192.168.242.5 to 192.168.242.6
01140 0 0 allow esp from 192.168.242.6 to 192.168.242.5
01150 0 0 allow ipencap from 192.168.242.5 to 192.168.242.6
01160 0 0 allow ipencap from 192.168.242.5 to 192.168.242.6
01170 0 0 allow ip from 192.168.50.0/24 to 192.168.254.0/24
01180 0 0 allow ip from 192.168.254.0/24 to 192.168.50.0/24
01200 0 0 deny icmp from any to any frag
01300 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
01400 0 0 deny tcp from any to any not established tcpflags fin
01500 0 0 deny tcp from any to any tcpflags syn,fin,ack,psh,rst,urg
01600 0 0 deny tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
04000 1 237 deny udp from any 137-139 to any via em1
04100 0 0 deny udp from any to any dst-port 137-139 via em1
05000 0 0 divert 8668 ip from 192.168.50.0/24 to any out xmit em0
05100 60 4298 divert 8668 ip from any to 192.168.242.5
06000 108 8710 allow ip from any to any
65535 0 0 deny ip from any to any


2

01000 0 0 allow ip from any to any via lo0
01100 0 0 deny ip from any to 127.0.0.0/8
01105 0 0 allow ip from any to any via gif0
01110 0 0 allow udp from 192.168.242.6 to 192.168.242.5 dst-port 500
01120 0 0 allow udp from 192.168.242.5 to 192.168.242.6 dst-port 500
01130 0 0 allow esp from 192.168.242.6 to 192.168.242.5
01140 0 0 allow esp from 192.168.242.5 to 192.168.242.6
01150 0 0 allow ipencap from 192.168.242.6 to 192.168.242.5
01160 0 0 allow ipencap from 192.168.242.6 to 192.168.242.5
01170 0 0 allow ip from 192.168.254.0/24 to 192.168.50.0/24
01180 0 0 allow ip from 192.168.50.0/24 to 192.168.254.0/24
01200 0 0 deny icmp from any to any frag
01300 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
01400 0 0 deny tcp from any to any not established tcpflags fin
01500 0 0 deny tcp from any to any tcpflags syn,fin,ack,psh,rst,urg
01600 0 0 deny tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
04000 0 0 deny udp from any 137-139 to any via em1
04100 0 0 deny udp from any to any dst-port 137-139 via em1
05000 2 120 divert 8668 ip from 192.168.254.0/24 to any out xmit em0
05100 60 4401 divert 8668 ip from any to 192.168.242.6
06000 112 9128 allow ip from any to any
65535 0 0 deny ip from any to any
[/more]

Добавлено:
Пересадил со статики на DHCP (vmnet8 nat с dhcp) и перенестроил rc.conf и firewall.sh, на обоих машинах - не то.
Все один в один. Все работает, кроме gif0 интерфейсов

Может, что то с опциями фильтрации в ядре?

блин. запутался

Если убрать
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options DUMMYNET
options QUOTA
options SUIDDIR

тогда, правила с divert, в фильтре, вылетать начнут

Без ipsec тунель должен пахать и он пашет проверил только что на двух реальниках

Делал так:
На первом:

ifconfig gif0 create
ifconfig gif0 tunnel xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
где xxx.xxx.xxx.xxx -локальный и yyy.yyy.yyy.yyy -удаленный внешние ИПЫ
ifconfig gif0 inet 192.168.50.1 192.168.254.1
ifconfig gif0 up

На втором:

ifconfig gif0 create
ifconfig gif0 tunnel yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx
ifconfig gif0 inet 192.168.254.1 192.168.50.1
ifconfig gif0 up

Все при этом уже работает.

FreeBSD 6.2
Ядро собрано с доп опциями:

options IPFIREWALL
options IPDIVERT
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPFIREWALL_FORWARD_EXTENDED
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFILTER
options DUMMYNET
options IPFILTER_LOG
options IPSEC
options IPSEC_ESP
options IPSEC_DEBUG
options SMP


Добавлено:
А racoon какой версии?

Drron

Очень хорошо помню, что еще до пересборки ядра, у меня ядро было с опцией IPFIREWALL_DEFAULT_TO_DENY

Это было видно по ipfw show

последнее правило было "65535 0 0 deny ip from any to any "

Попробую пересобрать ядро, добавив IPFILTER

версия racoon - там не racoon, а ipsec-tools v 0.6.7
racoon - теперь racoon2 и конфиги другие у него.
а обычный racoon теперь идет в ipsec-tools

Добавлено:
Добавил IPFILTER в конфиг ядра и пересобрал ядро, оставив deny дефолтом. Пинг пошел.

Отрубил в vmware dhcp и вернул конфиги, что до dhcp - снова пинга нет.

ipsec вырубил - аналогично

по ipfw show ни одно из правил не вылетает. все на месте.

И аналогично. инет пингуется. внутренние адреса противоположной стороны, снова, нет. Только внешние.

Попробую перепроверить конфиги раз 10. уж и не знаю, что делать

Какие ip vmware назначает по dhcp и какие ты ставишь сам?

Все отлично работает!

Привожу рабочий конфиг racoon.conf
#racoon.conf
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
path certificate "/usr/local/etc/racoon/cert" ;

padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}

listen
{

}

timer
{
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per a send.
phase1 30 sec;
phase2 15 sec;
}

remote anonymous
{
exchange_mode aggressive,main,base;
doi ipsec_doi;
situation identity_only;
nonce_size 16;
lifetime time 24 hour; # sec,min,hour
initial_contact on;
proposal_check obey; # obey, strict or claim
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key ;
dh_group 2 ;
}
}

sainfo anonymous
{
pfs_group 1;
lifetime time 24 hour;
encryption_algorithm 3des ;
authentication_algorithm hmac_sha1;
compression_algorithm deflate ;
}
#End of racoon.conf


Добавлено:
tcpdump показывает такую картину:

13:21:57.391217 IP (tos 0x0, ttl 54, id 56245, offset 0, flags [none], proto: ESP (50),
length: 136) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: ESP(spi=0x054de6bc,seq=0x3cc), length 116
13:21:57.391424 IP (tos 0x0, ttl 64, id 17190, offset 0, flags [none], proto: ESP (50),
length: 136) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: ESP(spi=0x04f07bab,seq=0x3cc), length 116


Добавлено:
Без ipsec
13:28:25.789193 IP (tos 0x0, ttl 20, id 57375, offset 0, flags [none], proto: IPIP (4),
length: 104) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: IP (tos 0x0, ttl 64, id 57374,
offset 0, flags [none], proto: ICMP (1), length: 84) 192.168.254.1 > 192.168.50.1:
ICMP echo request, id 28487, seq 25, length 64
13:28:25.789275 IP (tos 0x0, ttl 30, id 45372, offset 0, flags [none], proto: IPIP (4),
length: 104) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: IP (tos 0x0, ttl 64, id 45371,
offset 0, flags [none], proto: ICMP (1), length: 84) 192.168.50.1 > 192.168.254.1:
ICMP echo reply, id 28487, seq 25, length 64

А вообще в handbook есть статья по этому вопросу:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html

Drron

192.168.242.135, 192.168.242.136, по dhcp, к примеру.

И 192.168.242.5, 192.168.242.6, сам. dhcp, заведомо, вырубаю в vmware. +строчки "ifconfig_em0="DHCP"" на ifconfig_em0="inet 192.168.242.5 netmask 255.255.255.0", на первой машинке и "ifconfig_em0="inet 192.168.242.6 netmask 255.255.255.0"", на второй
Меняю, естесственно, rc.conf, firewall.sh.

То есть, если был адрес 192.168.242.135, то меняю его на И 192.168.242.5, в этих файлах. ipsec выключен пока что.

До racoon дело еще и не дошло

defaultrouter="192.168.242.2"

Проверить
ping 192.168.242.5
ping 192.168.242.6

arp -an

Тут проблема с vmware а не с тунелями.

Drron

С первой:

[root@localhost ~]# ping 192.168.242.6
PING 192.168.242.6 (192.168.242.6): 56 data bytes
64 bytes from 192.168.242.6: icmp_seq=0 ttl=64 time=1.620 ms
64 bytes from 192.168.242.6: icmp_seq=1 ttl=64 time=0.700 ms
64 bytes from 192.168.242.6: icmp_seq=2 ttl=64 time=0.661 ms
64 bytes from 192.168.242.6: icmp_seq=3 ttl=64 time=0.659 ms
64 bytes from 192.168.242.6: icmp_seq=4 ttl=64 time=0.645 ms
^C
--- 192.168.242.6 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.645/0.857/1.620/0.382 ms
[root@localhost ~]# arp -an
? (192.168.242.2) at (incomplete) on em0 [ethernet]
? (192.168.242.6) at 00:0c:29:1d:ed:84 on em0 [ethernet]


Со второй машины

ping 192.168.242.5
PING 192.168.242.5 (192.168.242.5): 56 data bytes
64 bytes from 192.168.242.5: icmp_seq=0 ttl=64 time=0.812 ms
64 bytes from 192.168.242.5: icmp_seq=1 ttl=64 time=0.762 ms
64 bytes from 192.168.242.5: icmp_seq=2 ttl=64 time=0.615 ms
^C
--- 192.168.242.5 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.615/0.730/0.812/0.084 ms

arp -an
? (192.168.242.2) at 00:50:56:e2:95:9e on em0 [ethernet]
? (192.168.242.5) at 00:0c:29:d1:ae:2f on em0 [ethernet]


Говорю. Пинг на внешние адреса идет. Почему и непонятно..

Мелькало одно выражение в голове: Статические маршруты на шлюзе (vmware), но как-то с чем-то связать это пока не могу. Что-то абстрактное в голове крутится и все.

Скорее всего, провайдер будет вязать постоянные адреса, но по мак адресам. dhcp.
Но все же момент интересный. Почему пинги не идут, когда переводишь машинки полностью на статику.

какие адреса у внутренних сетевок ?

Drron

192.168.50.1
192.168.254.1

Кстати, Огроменнейшее Спасибо за такое внимание

Попробуй сделать так:

Сервисы nat и dhcp vmware не отключай, просто возми IP заведомо не из сегмента DHCP (меньше 128) например 192.168.xxx.50 и 192.168.xxx.100.
Сетевки поставь vmware nat.
Маршрут по умолчанию 192.168.xxx.2.
Добейся чтоб виртуалки видели друг друга и шлюз.
Перекомпилируй ядро с нужными опциями.
Закоменти строки в rc.conf относящиеся к ipsec, racoon, gif.
Разреши все на фаерволах.

Руками подыми gif0
ifconfig gif0 create
ifconfig gif0 tunnel 192.168.xxx.50 192.168.xxx.100
ifconfig gif0 inet 192.168.50.1 192.168.254.1
ifconfig gif0 up

ifconfig gif0 должен показать примерно следующее:
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet 192.168.xxx.50 --> 192.168.xxx.100
inet 192.168.50.1 --> 192.168.254.1 netmask 0xffffff00

На второй машине
ifconfig gif0 create
ifconfig gif0 tunnel 192.168.xxx.100 192.168.xxx.50
ifconfig gif0 inet 192.168.254.1 192.168.50.1
ifconfig gif0 up

ifconfig gif0 должен показать примерно следующее:
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet 192.168.xxx.100 --> 192.168.xxx.50
inet 192.168.254.1 --> 192.168.50.1 netmask 0xffffff00

после этого на второй машине
tcpdump -i em0 host 192.168.xxx.50

на первой ping 192.168.xxx.100

tcpump должен показать примерно следующее:

13:28:25.789193 IP (tos 0x0, ttl 20, id 57375, offset 0, flags [none], proto: IPIP (4),
length: 104) 192.168.xxx.50 > 192.168.xxx.100: IP (tos 0x0, ttl 64, id 57374,
offset 0, flags [none], proto: ICMP (1), length: 84) 192.168.254.1 > 192.168.50.1:
ICMP echo request, id 28487, seq 25, length 64
13:28:25.789275 IP (tos 0x0, ttl 30, id 45372, offset 0, flags [none], proto: IPIP (4),
length: 104) 192.168.xxx.100 > 192.168.xxx.50: IP (tos 0x0, ttl 64, id 45371,
offset 0, flags [none], proto: ICMP (1), length: 84) 192.168.50.1 > 192.168.254.1:
ICMP echo reply, id 28487, seq 25, length 64


Что указавает на правильную работу тунеля.
Для работы клиентов также нужно не забыть прописать маршруты.

Дальше наворачиваешь racoon (конфиг уже приводил), ipsec.

И после всего завинчиваешь гайки фаерволом.

Drron
С dhcp на стороне vmware, внутренние адреса пингуются. тут дело даже не в том, привязаны ли адреса к определенному ip, или нет. dhcp сервер поднят.

Ну вот смотри. Возьмем комстар. На одной из точек они в фирме, где я работаю, выдают только статический ip. Как-то странно даже спрашивать их "а поднят ли у вас dhcp сервер, или не поднят", когда мне выданы на листочке все адреса. ip, ip dns, шлюз итц. Да промежуточная голова может быть без поднятого dhcp, во всяком случае.

Понять нужно, в чем дело, а не всеми правдами и неправдами решить проблему.

Я бы и не задавал тему. Приявязал бы конфиг к dhcp адресам и забил. Тем более, что основная масса серверов будет выдавать ip по маку. То есть, изменяться такой ip не будет. Но это не везде же.

Я проверял все на реально работающих шлюзах с белыми адресами, находящимися в абсолютно разных сетях (физически в разных местах у разных провайдеров) и все работает.

Не могу понять почему это все не работает в vmware.