Guten Morgen,
ich hab es dann doch noch allein gelöst bekommen, indem ich noch die Antwortpakete mit Markierungen versehe.
Für die "Doku" nochmal zur Aufgabenstellung: ein Gateway hat zwei WAN Interfaces, eines mit Standardroute, das andere soll per HTTPS angesprochen werden und die Verbindung ins LAN/DMZ weiterleiten. Natürlich müssen die Antworten dann wieder über genau dieses 2. WAN nach draußen.
Jetzt sieht das advanced routing so aus:
ip route add $PPP1_IP/32 dev ppp1 src $PPP1_IP table webmail ip route add default via $PPP1_PtP dev ppp1 table webmail ip route add $LAN_NET/24 dev eth0 table webmail ip rule add from $PPP1_IP/32 table webmail ip rule add to $PPP1_IP/32 table webmail ip rule add fwmark 1 table webmail ip route flush cache
und die betreffende Stelle im Paketfilterscript (auf beiden ppp findet ausgehend Maskierung statt):
$FW -t mangle -A PREROUTING -p tcp -i ppp1 -d $PPP1_IP/32 --dport 443 -j MARK --set-mark 1 $FW -t nat -A PREROUTING -p tcp -i ppp1 -d $PPP1_IP/32 --dport 443 -j DNAT --to $LAN_IP:443 $FW -t mangle -A PREROUTING -p tcp -i eth0 -s $LAN_IP/32 --sport 443 -j MARK --set-mark 1 $FW -A FORWARD -i ppp1 -o eth0 -s 0.0.0.0/0 -d $LAN_IP/32 -p tcp --dport 443 -j ACCEPT $FW -A FORWARD -o ppp1 -i eth0 -d 0.0.0.0/0 -s $LAN_IP/32 -p tcp --sport 443 -j ACCEPT
Vielleicht geht es schöner oder auch ganz anders, aber jetzt funktioniert es.
Mit freundlichen Grüßen / Kind regards Ronny Seffner