> > Хочу на FreeBSD 10.1 натировать сеть в сеть средствами pf перед > > заворачиванием в ipsec-туннель (например, локалку 192.168.1.0/24 в > > 172.16.1.0/24) > > pfsense такое делает (а там 10.1-RELEASE-p9 FreeBSD). > > В pfsense есть два параметра: > > net.inet.ip.pfil.inbound: pf > > net.inet.ip.pfil.outbound: pf > > > > На 10.1, 9.3, 8.4, 7* - таких oid-ов нет. > > Судя по названию, эти оиды регулируют порядок или необходимость > запуска pfil хуков на input/output. Т.е. к сути дела не имеют.
Экспериментально проверил, что имеют (могу ошибаться). Когда выполнил команду - пакеты в ipsec-туннель перестали заворачиваться. sysctl net.inet.ip.pfil.inbound="" > А есть у вас возможность попробовать head/? Скачал вчера, пробую. > По сути вам нужно включить filtertunnel, настроить filter_mask так, > чтобы исходящий пакет отправлялся в NAT до инкапсуляции, а входящий > после отрезания внешнего заголовка (см. if_enc(4)). В pfsense net.inet.ipsec.filtertunnel=0
