Internetfreigabe über ipsec

Ich versuche, meine Windows 7-Workstation über den ipsec-Tunnel mit dem Internet zu verbinden.
Ich habe:

192.168.88.251 - win7 workstation 192.168.88.1 - my mikrotik router VPN_IPSEC - my vpn with ipsec address VPN_TEST - my 2nd vpn for connectiviti testing 

StrongSwan-Konfiguration auf VPN_IPSEC:

config setup charondebug="ike 1, knl 1, cfg 0" uniqueids=no  conn ikev2-vpn auto=add compress=no type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes  ike=aes256-sha-modp1024 esp=aes256-sha-modp1024 dpdaction=clear dpddelay=300s rekey=no  left=%any leftid=VPN_IPSEC_IP leftsendcert=always leftsubnet=0.0.0.0/0  right=%any rightid=%any authby=secret rightsubnet=192.168.88.251/24 rightdns=8.8.8.8,8.8.4.4 

Auf der mikrotik-Seite habe ich entsprechende config

Ausgabe des Befehls ipsec status:

ikev2-vpn[1]: ESTABLISHED 110 minutes ago,  VPN_IPSEC_IP[VPN_IPSEC_IP]...MY_PUB_IP[MY_PUB_IP] ikev2-vpn: INSTALLED, TUNNEL, ESP SPIs: ca494e15_i 099301b9_o ikev2-vpn: 0.0.0.0/0 === 192.168.88.251/32  

Anscheinend funktioniert mein IPSec-Tunnel korrekt. Auf VPN_IPSEC mache ich Ping 192.168.88.251, und ich sehe Ping. Zur gleichen Zeit, wenn ich auf Win7 Ping 8.8.8.8 durchführe, sehe ich den Datenverkehr im installierten Abschnitt "SA" auf mikrotik. Wenn ich Firewall-Regeln für VPN_IPSEC erstellt, die mit 192.168.88.251 arbeiten, sehe ich, dass die entsprechenden Zähler wachsen.

Auf VPN_IPSEC habe ich diese anfängliche Firewall-Konfiguration:

Chain INPUT (policy ACCEPT 936 packets, 92296 bytes)  Chain FORWARD (policy ACCEPT 483 packets, 29148 bytes)  Chain OUTPUT (policy ACCEPT 306 packets, 30108 bytes) 

Tabelle NAT ist gleich: Alle akzeptieren

Jetzt komme ich jetzt dazu, dass der verschlüsselte Verkehr von win7 zu VPN_IPSEC kommt. Ich möchte jetzt, dass es außerhalb VPN_IPSEC weitergeleitet wird.

Bei win7 mache ich

ping VPN_TEST 

Auf VPN_IPSEC mache ich

tcpdump -nni venet0 icmp 

Aha:

IP 192.168.88.251 > VPN_TEST_IP: ICMP echo request, id 512, seq 21277, length 40   IP 192.168.88.251 > VPN_TEST_IP: ICMP echo request, id 512, seq 49949, length 40 

dh keine Antwort

Jetzt füge ich eine POSTROUTING-Regel hinzu:

iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o venet0 -j MASQUERADE  IP 192.168.88.251 > VPN_TEST_IP: ICMP echo request, id 25095, seq 301, length 64 IP 185.69.52.31 > VPN_TEST_IP: ICMP echo request, id 25095, seq 301, length 64 IP 192.168.88.251 > VPN_TEST_IP: ICMP echo request, id 25095, seq 302, length 64 IP 185.69.52.31 > VPN_TEST_IP: ICMP echo request, id 25095, seq 302, length 64 

dh keine Antwort, aber ich sehe, dass Pakete maskiert werden

Zur gleichen Zeit auf VPN_TEST mache ich:

tcpdump -nni eth0 icmp 

Ich sehe keine Pings von meinem VPN_IPSEC, aber ich sehe zufällige Pings von über Internet-Hosts.

Ich mache auch bei win7:

ping 8.8.8.8 

Und ich bekomme keine Antwort.

Zur gleichen Zeit, wenn ich auf VPN_IPSEC mache

ping VPN_TEST 

Ich sehe alle Pings auf beiden tcpdumps und sehe Antworten

dh der Verkehr von meinem Tunnel bleibt auf VPN_IPSEC

Wie ist es Katze?

Wie kann ich die Firewall auf VPN_IPSEC richtig konfigurieren?

UPD: Ich weiß, dass ich für das Teilen von Internetverbindungen Masquerading- und Weiterleitungsregeln erstellen sollte. Ich sollte auch net.ipv4.ip_forward = 1 haben. Ich habe es schon. Und ich habe viele Masquerading- und Forwarding-Regeln im Mix ausprobiert. KEIN ERGEBNIS.

Zu diesem Zeitpunkt möchte ich erst jetzt sehen, dass meine Pings vom Tunnel zu meinem VPN_TEST gehen und zu VPN_IPSEC zurückkehren.