Ansonsten habe ich aus der Ferne keine Möglichkeit, den Tunnel wieder aufzubauen.
Das ist so nicht ganz korrekt. Vorausgesetzt, dass Du die aktuelle IP von cougar kennst (DDNS?) und über den Ausfall informiert wirst, dann ginge es doch ohne racoon mit ssh.
Ich dachte immer, dass cougar auf Deinem Hauptwohnsitz aktiv ist. Noch ein Paar Fragen um die Sache zu präzisieren:
1. Du bist nicht am Standort von cougar (Arbeit, Urlaub, was auch immer)?
2. Du wirst über einen Ausfall der ipsec auf cougar informiert (von jemand oder von etwas)?
3. Du kennst die IP von racoon, nicht aber von cougar, deswegen der Umweg über racoon?
4. Sofern der Tunnel nicht mehr steht, so kennt racoon den externen IP von cougar nicht mehr, Du hast vor, sie aus einem Log herauszupicken!?
Das dachte ich mir schon. Ich hatte halt gehofft, es gäbe eine Möglichkeit, die Pakete, die an Port 22 bei cougar ankommen und von racoon stammen ganz normal zu behandeln und nicht durch den Tunnel zu schicken.
Nun ja, unmöglich ist gar nichts. Man kann sich die Schwächen und Besonderheiten einer Konfiguration zu Nutze machen. Weiter oben habe ich geschrieben, dass racoon selbst keinen Tunnel aufbauen kann, denn rigtht = %any anwählen ist nicht möglich. Cougar baut den Tunnel auf und sendet darüber Pakete zum racoon. Racoon vertauscht dann die Absenderadresse mit dem Empfängeradresse (und auch umgekehrt), so kommen die Pakete über den Tunnel zurück. Wenn der Tunnel nicht mehr steht, dann ist es theoretisch möglich den externen IP von cougar (sofern bekannt!) von racoon aus mit ssh anzusteuern. Diese Pakete könnten wir dann über wan nach lan redirecten, denn der SSH-Server hört auf die interne IP von cougar!
Folgendes in der /etc/config/firewall, genau an der Stelle vor dem ersten config zone, könnte bereits Deinem Anliegen lösen:
config redirect
option name 'Allow-SSH-from-racoon'
option src 'wan'
option proto 'tcp'
option src_dport '22'
option src_ip '88.198.76.220'
option dest 'lan'
option dest_ip '192.168.100.1' #bzw. die passende interne Adresse von cougar
option family 'ipv4'
option target 'DNAT' #default, kann weggelassen werden
option enabled 'yes' #default, kann weggelassen werden
Display More
Albert