Вообще задача следующая: Есть сервак, на внешнем интерфейсе которого поднят IPSec (cryptomap 172.31.249.0/24=>192.168.137.0/24). Есть несколько tun/tap, с которых приходят различные сети. (192.168.90.0/24, 172.17.5.0/24 и т.п.) Вот и нужно из всех tun/tap отнатить в 172.31.249.0/24, чтобы дальше трафик ушёл на 192.168.137.0/24 ipfw nat не работает, трафик натится правильно, но не заходит в SPD IPSec.
Правила вида: ipfw nat 1 config ip 172.31.249.1 ipfw add nat 1 ip from any to any via tun1 Дают мне траф вида 172.31.249.1=>192.168.137.2 на re0, а должно паковаться в ESP. Сам IPSec работает отлично: root@vpnc:~# ping -c 3 -S 172.31.249.1 192.168.137.2 PING 192.168.137.2 (192.168.137.2) from 172.31.249.1: 56 data bytes 64 bytes from 192.168.137.2: icmp_seq=0 ttl=63 time=40.191 ms 64 bytes from 192.168.137.2: icmp_seq=1 ttl=63 time=32.563 ms 64 bytes from 192.168.137.2: icmp_seq=2 ttl=63 time=34.543 ms --- 192.168.137.2 ping statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 32.563/35.766/40.191/3.232 ms root@vpnc:~# 8 декабря 2014 г., 17:56 пользователь Lystopad Aleksandr <l...@laa.zp.ua> написал: > Hello, Anton Sayetsky! > >> >>> root@vpnc:~# cat /etc/natd.conf >> >>> # >> >>> >> >>> log >> >>> #deny_incoming >> >>> log_denied >> >>> same_ports >> >>> >> >>> instance default >> >>> port 7777 >> >>> interface lo1 >> >>> >> >>> ЧЯДНТ? > > А можно вопрос: почему user-nat ? Почему не ipfw nat ? > >> >> Мне нужно, дабы пакеты из сети 172.17.5.0/24 натились на адрес >> >> 172.31.249.1 и отправлялись дальше в сеть 192.168.137.0/24. Т.е. >> >> приходит из tun1, натится на один из адресов lo1, идёт дальше по >> >> таблице маршрутизации. >> > >> > Замени строку interface lo1 на строку alias_address 172.31.249.1 >> > > > -- > Lystopad Aleksandr
