https://www.solaris.opennet.ru/openforum/vsluhforumID6/1760.html Имеется сервер на freebsd, который устанавливает ipsec-туннель с удаленным хостом в сети Интернет. За сервером есть сетка с серыми ip, сервер их натит в сеть Интернет с помощью pf. ipsec-туннель работает на racoon Правило в pf<br>nat pass from 192.168.1.5/32 to x.x.x.x/32 -&gt; y.y.y.y<br>Почему-то трафик с внутренней сетки не заворачивается в ipsec-туннель (хост x.x.x.x как раз находится за ipsec-туннелем).<br>Такое впечатление, что правила spdadd срабатывают до трансляции. Нашел подобную тему dadv.livejournal.com/202710.html<br>Но такое впечатление, что не может быть такого у pf. <br> https://www.solaris.opennet.ru/openforum/vsluhforumID6/1760.html#1 Wed, 15 Jul 2015 05:26:29 GMT &gt; Имеется сервер на freebsd, который устанавливает ipsec-туннель с удаленным хостом в сети <br>&gt; Интернет. За сервером есть сетка с серыми ip, сервер их натит <br>&gt; в сеть Интернет с помощью pf. ipsec-туннель работает на racoon Правило <br>&gt; в pf <br>&gt; nat pass from 192.168.1.5/32 to x.x.x.x/32 -&gt; y.y.y.y <br>&gt; Почему-то трафик с внутренней сетки не заворачивается в ipsec-туннель (хост x.x.x.x как <br>&gt; раз находится за ipsec-туннелем).<br>&gt; Такое впечатление, что правила spdadd срабатывают до трансляции. Нашел подобную тему dadv.livejournal.com/202710.html <br>&gt; Но такое впечатление, что не может быть такого у pf.<br><br>зачем натить? у вас без ната должно в туннель нормально идти если в pf есть правила разрешающие прохождения туннеля туда и обратно:<br><br>Server A:<br><br># 192.168.1.5 --&gt; x.x.x.x<br>pass out quick on $ext_if proto udp from 192.168.1.5 port = isakmp to x.x.x.x port = isakmp<br>pass out quick on $ext_if proto esp from 192.168.1.5 to x.x.x.x<br>pass out quick on $ext_if proto ipencap from 192.168.1.5 to x.x.x.x<br><br># x.x.x.x