Имеется система A: FreeBSD4.11, настроен Natd, ipfw, ядро собрано с поддержкой ipsec.За этой машиной сидит сеть. Еще имеется некий узел X в интернете.
Необходимо настроить, чтоб весь трафик между A и Х шифровался.
СТадартно поднят ipsec в транспортном режиме, с машины А на Х все работает.
Но появляется проблема.
Поскольку клиенты сидят за нат, они не могут подключиться к Х. Пакет из сети приходит на А в Ipfw, преобразуется natd, затем заворачивается Ipsec уходит на Х. Обратно ответы доходят до А, расшифровываются и повисают непонятно где. Я так понимаю, что natd их не видит.
Вопрос - каким образом сочленены ipfw и ipsec? после обработки Ipsec и расшифровки пакета он опять попадает в очередь Ipfw или нет?
Есть ли возможность завернуть пакеты после расшифровки прямо на natd?
>Имеется система A: FreeBSD4.11, настроен Natd, ipfw, ядро собрано с поддержкой ipsec.
>
>
>За этой машиной сидит сеть. Еще имеется некий узел X в интернете.
>
>Необходимо настроить, чтоб весь трафик между A и Х шифровался.
>СТадартно поднят ipsec в транспортном режиме, с машины А на Х все
>работает.
>Но появляется проблема.
>Поскольку клиенты сидят за нат, они не могут подключиться к Х. Пакет
>из сети приходит на А в Ipfw, преобразуется natd, затем заворачивается
>Ipsec уходит на Х. Обратно ответы доходят до А, расшифровываются и
>повисают непонятно где. Я так понимаю, что natd их не видит.
>
>Вопрос - каким образом сочленены ipfw и ipsec? после обработки Ipsec и
>расшифровки пакета он опять попадает в очередь Ipfw или нет?
>Есть ли возможность завернуть пакеты после расшифровки прямо на natd?
на сколько я знаю поддержка NAT-Traversal для ipsec работает в тест режиме, то есть надо ставить самое последнее дополнение КАМЕ и racoon тоже последний, исходники есть на kame.net, как это все прикручивать там тоже есть