Комментарии

Можт быть дело в dnsmasq.service? Ошибка Failed to set DNS configuration: Unit dbus-org.freedesktop.network1.service not found.

Так и не получилось, работает только через SecureNat.

В момент подключения, DHCP сервер выдаёт вот так

DHCPDISCOVER(tap_soft) ca:47:e0:27:80:6e
DHCPOFFER(tap_soft) 192.168.249.29 ca:47:e0:27:80:6e
DHCPDISCOVER(tap_soft) ca:47:e0:27:80:6e
DHCPOFFER(tap_soft) 192.168.249.29 ca:47:e0:27:80:6e
DHCPDISCOVER(tap_soft) ca:47:e0:27:80:6e
DHCPOFFER(tap_soft) 192.168.249.29 ca:47:e0:27:80:6e
DHCPREQUEST(tap_soft) 192.168.249.29 ca:47:e0:27:80:6e
DHCPACK(tap_soft) 192.168.249.29 ca:47:e0:27:80:6e Keenetic-9964

Происходит L2TP коннект и клиент получает адресс 192.168.249.29

В правилах вот так
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 1701 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A OUTPUT ! -s 127.241.173.119/32 ! -d 127.3.125.203/32 -p icmp -m icmp --icmp-type 3/3 -m connmark ! --mark 0x59cb7b68 -j DROP
-A OUTPUT ! -s 127.207.242.177/32 ! -d 127.14.110.5/32 -p tcp -m tcp --sport 61001:65535 --tcp-flags RST RST -m connmark ! --mark 0x6830be11 -j DROP
COMMIT
#
*nat
:PREROUTING ACCEPT [621:144631]
:INPUT ACCEPT [538:139101]
:OUTPUT ACCEPT [850:176144]
:POSTROUTING ACCEPT [56:4833]
-A POSTROUTING -s 192.168.249.0/24 -o ens3 -j MASQUERADE
-A POSTROUTING -o ens3 -j MASQUERADE
-A POSTROUTING -s 192.168.249.0/24 -o ens3 -j MASQUERADE
COMMIT

Интерфейс смотрящий наружу - ens3
Интерфейс SE:
tap_soft: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.249.1 netmask 255.255.255.0 broadcast 192.168.249.255
inet6 fe80::5c78:b2ff:fec6:c937 prefixlen 64 scopeid 0x20<link>
ether 06:63:1d:a5:71:39 txqueuelen 1000 (Ethernet)

Попробуйте проверить правила фильтрации трафика в таблице filter, цепочке forward, может у вас фаервол блочит. Также проверьте доступность виртуального tap интерфейса с помощью команды ping.

Спасибо за статью. Остальные статьи что находил либо старые, либо неполные. Всё вышло только при подключении нет Интернета на устройстве. Комманду iptables давал, сетевой интерфейс смотрящий в сеть - eth0, фовардинг пакетов делал. Пробовал и iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE, всё равно Интернета нет, куда ещё нужно посмотреть?

Салом, можно ещё создать файл в /etc/nginx/proxy_params, a потом добавить туда следующие строки: 

proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;

после просто подключить в конфиге nginx: 

proxy_pass https://your_backend;

include proxy_params;

на Ubuntu такой файл уже существует можно просто подключить 

Можно ещё так:

1. Создаем отдельную сеть для наших контейнеров

docker network create zbx-net

2. Указываем сеть по умолчанию в docker-compose.yml

networks:
  default:
    name: zbx-net
    external: true

Спасибо за отзыв, написал отдельную статью по установке и настройке Ansible