Como forzar el trafico IPSEC a través del tunel creado en Linux

Publicado el 09 junio 2020 por Oscar Oscar Meza @vidagnu

Los firewalls locales de Linux no distinguen el trafico que hace match con las políticas IPSEC y lo tratan como trafico común, es decir si existen reglas MASQUERADE o SNAT estas cambian la fuente del paquete lo que hace que no aplique para pasar a través del túnel IPSEC.

Para resolver esto hay que hacer que los paquetes que concuerden con la política IPSEC se salten las reglas NAT y esto se logra en la cadena POSTROUTING con la siguiente regla que debe ser agregada antes de cualquier regla de NAT.