Исправление anc, (текущая версия) :
В целом все логично. Вы отправляете пакет с адреса 10.0.1.65 например на 10.0.1.200, но он не знает о том что урезанная сеть за вашим ipsec, поэтому будет искать как отправить ответ на этот адрес в локалке 10.0.1.0/24, а такого нет.
Вариантов больше одного. Можно раздать клиентам сети 10.0.1.0/24 с dhcp роут до 10.0.1.64/28 через ваш 10.0.1.1. Это самое простое и скорее правильное. Или заморочиться snat но тут нюансы. А в целом вы не описали чего достичь хотите, с учетом какого-то странного пула 10.0.1.64/28 во второй четверти сети 10.0.1.0/24 все странно выглядит.
Исправление anc, :
В целом все логично. Вы отправляете пакет с адреса 10.0.1.65 например на 10.0.1.200, но он не знает о том что урезанная сеть за вашим ipsec, поэтому будет искать как отправить ответ на этот адрес в локалке 10.0.1.0/24, а такого нет.
Исходная версия anc, :
В целом все логично. Вы отправляете пакет с адреса 10.0.1.65 например на 10.0.1.200 но он не знает о том урезанная сеть за вашим ipsec, поэтому будет искать как отправить ответ на этот адрес в локалке 10.0.1.0/24, а такого нет.