Доброго дня всем. Как и писал в этом обсуждении, в pfsense работает NAT перед ipsec.
И вот нашел ссылку на описание на русском. https://forum.pfsense.org/index.php?topic=73670.0 https://forum.pfsense.org/index.php?topic=73670.msg402868#msg402868 "pf source - оригинальные и патченные под pfSense. Кстати могу выложить, если кому-то надо. В открытом доступе последние вы вряд ли уже увидите, ибо после того как некто собрал на их основе свой образ pfSense 2.2 и выложил ссылку на него на форум, "Electric Sheep Fencing" решила, что нарушены ее права на имя pfSense и удалила патчи из репозитария. Теперь нужно подписать лицензионное соглашение разработчика, чтобы иметь к ним доступ. Что дальше будет - не понятно, все в процессе." > -----Original Message----- > From: [email protected] [mailto:[email protected]] > On Behalf Of Golub Mikhail > Sent: Tuesday, April 21, 2015 10:14 AM > To: [email protected] > Subject: [freebsd] IPsec VPN and NAT > > Доброе утро. > > Есть две сети с одинаковой адресацией сетей за шлюзами. > Задача - объединить их через ipsec. > Чтобы проверить работу схемы сделал сети отличающимися. > > Имеется FreeBSD 10.1 > Два интерфейса (em0 - outside, em1 - inside). > Используется pf. > > Хочу с одной стороны сделать NAT для адресов локальной сети перед > тем, как > завернуть их в туннель. > Для построения ipsec использую или strongswan или ipsec-tools (с одной > стороны stronswan, а с другой - racoon). > С одной стороны сеть 192.168.44.0/24,с другой - 192.168.45.0/24. > Хочу чтобы с другой стороны сеть 192.168.44.0/24 не фигурировала. Т.е. > делаю > binat в сеть 192.168.46.0/24 > Туннель должен быть между сетями 192.168.46.0/24 (после бината) с > одной > стороны и сетью 192.168.45.0/24 с другой стороны. > > В OpenBSD пишут, что должно работать. > http://undeadly.org/cgi?action=article&sid=20090127205841 > > Работает у кого-то описанная (похожая) в статье схема? > > P.S. В ядре: > options IPSEC > options IPSEC_NAT_T > device crypto > device enc > device pf > device pflog > device pfsync > > net.inet.ip.forwarding=1 > > ifconfig enc0 up > > binat on enc0 from 192.168.44.0/24 to 192.168.45.0/24 -> 192.168.46.0/24 > > > -- > Голуб Михаил
