VPN 路由规则

我是网络方面的新手，需要一些帮助。我的设置如下

 ------------         ------------         ------------
|     A      |       |     B      |       |     C      | 
| 10.148.x.x |-------| 10.184.x.x |-------| 192.168.x.x|
|    APP     |       |    VPN     |       |   VPN      |
 ------------         ------------         ------------

我有一个这样的拓扑。其中 B 和 C 以隧道 VPN 站点到站点的方式连接。我想通过 B 将流量（例如 ICMP/API REQ/等）从 A 发送到 C，反之亦然。A 和 C 都将接收来自 B 的传入流量，而不是来自真实来源的流量（因此，例如，当 C PING B 时，B 会将该 PING 定向到 A 并告诉 A ping 的来源来自 B）。在浏览了许多问题之后，我发现这些规则适用于 IPTABLES 并应用于 B。

这是从 A 到 C 的路由：

-A PREROUTING -s 10.148.x.x -d 10.184.x.x -p tcp/icmp -j DNAT --to-destination 192.168.x.x
-A FORWARD -s 10.148.x.x -d 192.168.x.x -p tcp/icmp -j ACCEPT
-A POSTROUTING -o eth0 -j MASQUERADE

这是从 C 到 A 的路由：

-A PREROUTING -s 192.168.x.x -d 10.184.x.x -p tcp/icmp -j DNAT --to-destination 10.148.x.x
-A FORWARD -s 192.168.x.x -d 10.148.x.x -p tcp/icmp -j ACCEPT
-A POSTROUTING -o eth0 -j MASQUERADE

它在普通服务器上运行良好，但在这种情况下：

我使用 TCPDUMP 转储 B 处的流量。当 C PING B 时，流量如下

10:18:04.706713 IP 192.168.x.x > 10.184.x.x: ICMP echo request, id 49458, seq 12987, length 40
10:18:04.706806 IP 10.184.x.x > 10.148.x.x: ICMP echo request, id 49458, seq 12987, length 40
10:18:04.719587 IP 10.148.x.x > 10.184.x.x: ICMP echo reply, id 49458, seq 12987, length 40
this traffic direct to A but its seems like B cannot reply to 192.168.x.x

当 A PING B 时，流量看起来像流量返回 DUP！

64 bytes from 10.184.x.x: icmp_seq=1 ttl=187 time=48.1 ms
64 bytes from 10.184.x.x: icmp_seq=1 ttl=187 time=48.1 ms (DUP!)
64 bytes from 10.184.x.x: icmp_seq=1 ttl=187 time=48.2 ms (DUP!)
64 bytes from 10.184.x.x: icmp_seq=1 ttl=187 time=48.2 ms (DUP!)

来自 man ping：

重复和损坏的数据包

ping 将报告重复和损坏的数据包。重复数据包不应该发生，似乎是由不适当的链路级重新传输引起的。重复可能发生在许多情况下，并且很少（如果有的话）是一个好兆头，尽管低水平的重复可能并不总是引起警报。

损坏的数据包显然是引起警报的严重原因，并且通常表示 ping 数据包路径中（在网络或主机中）的某处有硬件损坏。

我错过了什么？

已编辑：如果我没有清楚地传达问题，我很抱歉。现在我编辑了 IP，因此上面显示的 IP 都是私有 IP，而不是公共 IP。AB 中没有隧道，只有 BC 之间的隧道 VPN。对于这种情况，我的用户只希望 A 和 C 都命中并知道 IP B。因此，A 和 C 都命中 B。