问将硬件节点上的IPsec隧道带到OpenVZ容器中

EN

我有一个承载OpenVZ容器的服务器。在硬件节点(HN)上配置了一个IPsec隧道，我想在容器(CT)中提供远程网络。我该怎么做？

当前的设置如下：

• HN在eth0上有一个公共演讲
• HN在别名eth0:0上有一个私有地址192.168.100.1
• 远程网络是192.168.200.0/24，HN能够在这个网络上平主机
• CT在venet0上有一个公共地址，它可以从外部世界联系到并且可以到达外部主机。
• CT有私人地址192.168.100.101。它可以在私人地址192.168.100.1上切换其HN。
• 没有配置防火墙。

CT无法到达远程192.168.200.0/24网络上的主机，我不知道如何做到这一点。这是否可以通过使用venet接口来实现，或者我必须切换到veth？这是在HN号上失踪的路线吗？我必须在HN上启用某种NATing吗？

任何帮助都将不胜感激。

更新:如果CT从其私有地址发送ping，我可以看到主机上venet0接口上带有tcpdump的icmp请求/回复。我看上去传出的流量很好，但是传入的流量被阻塞了。