8 декабря 2014 г., 18:43 пользователь Eugene Grosbein
<[email protected]> написал:
> On Mon, Dec 08, 2014 at 06:03:36PM +0200, Anton Sayetsky wrote:
>> Вообще задача следующая:
>> Есть сервак, на внешнем интерфейсе которого поднят IPSec (cryptomap
>> 172.31.249.0/24=>192.168.137.0/24).
>> Есть несколько tun/tap, с которых приходят различные сети.
>> (192.168.90.0/24, 172.17.5.0/24 и т.п.)
>> Вот и нужно из всех tun/tap отнатить в 172.31.249.0/24, чтобы дальше
>> трафик ушёл на 192.168.137.0/24
>> ipfw nat не работает, трафик натится правильно, но не заходит в SPD IPSec.
>>
>> Правила вида:
>> ipfw nat 1 config ip 172.31.249.1
>> ipfw add nat 1 ip from any to any via tun1
>> Дают мне траф вида 172.31.249.1=>192.168.137.2 на re0, а должно
>> паковаться в ESP.
>
> Неплохо бы о применении IPSEC в схеме упоминать в первом письме,
> а не к концу обсуждения. Потому как пакет на выходе из роутера
> сначала поступает на обработку в IPSEC, а только потом идёт
> через пакетные фильтры (ipfw) и выйдя из NAT, уже в IPSEC
> не направляется. И неважно, ipfw nat это, natd или pf.
Т.е. ipfw nat работать не будет принципиально? ipsec.filtertunnel может помочь?
