On Mon, Dec 08, 2014 at 06:03:36PM +0200, Anton Sayetsky wrote: > Вообще задача следующая: > Есть сервак, на внешнем интерфейсе которого поднят IPSec (cryptomap > 172.31.249.0/24=>192.168.137.0/24). > Есть несколько tun/tap, с которых приходят различные сети. > (192.168.90.0/24, 172.17.5.0/24 и т.п.) > Вот и нужно из всех tun/tap отнатить в 172.31.249.0/24, чтобы дальше > трафик ушёл на 192.168.137.0/24 > ipfw nat не работает, трафик натится правильно, но не заходит в SPD IPSec. > > Правила вида: > ipfw nat 1 config ip 172.31.249.1 > ipfw add nat 1 ip from any to any via tun1 > Дают мне траф вида 172.31.249.1=>192.168.137.2 на re0, а должно > паковаться в ESP.
Неплохо бы о применении IPSEC в схеме упоминать в первом письме, а не к концу обсуждения. Потому как пакет на выходе из роутера сначала поступает на обработку в IPSEC, а только потом идёт через пакетные фильтры (ipfw) и выйдя из NAT, уже в IPSEC не направляется. И неважно, ipfw nat это, natd или pf.