On 08.12.2014 19:03, Anton Sayetsky wrote: > Вообще задача следующая: > Есть сервак, на внешнем интерфейсе которого поднят IPSec (cryptomap > 172.31.249.0/24=>192.168.137.0/24). > Есть несколько tun/tap, с которых приходят различные сети. > (192.168.90.0/24, 172.17.5.0/24 и т.п.) > Вот и нужно из всех tun/tap отнатить в 172.31.249.0/24, чтобы дальше > трафик ушёл на 192.168.137.0/24 > ipfw nat не работает, трафик натится правильно, но не заходит в SPD IPSec. > > Правила вида: > ipfw nat 1 config ip 172.31.249.1 > ipfw add nat 1 ip from any to any via tun1 > Дают мне траф вида 172.31.249.1=>192.168.137.2 на re0, а должно > паковаться в ESP.
А что при этом говорит setkey -D и setkey -DP? > Сам IPSec работает отлично: > root@vpnc:~# ping -c 3 -S 172.31.249.1 192.168.137.2 > PING 192.168.137.2 (192.168.137.2) from 172.31.249.1: 56 data bytes > 64 bytes from 192.168.137.2: icmp_seq=0 ttl=63 time=40.191 ms > 64 bytes from 192.168.137.2: icmp_seq=1 ttl=63 time=32.563 ms > 64 bytes from 192.168.137.2: icmp_seq=2 ttl=63 time=34.543 ms -- WBR, Andrey V. Elsukov
