https://www.opennet.ru/openforum/vsluhforumID1/91925.html Здравствуйте большие гуру и маленькие!<br>Расскажу я вам сказку, но сначала присказка:<br>Решило начальство поставить новую цифровую АТСку с поддержкой VoIP. Был у меня с ней интим, но я не об этом... Есть шлюз на FreeBSD и даже работает. Машинки из внутренней сети 192.168.0.0/24 через NAT ходят в инет. АТС Необходимо подключаться к SIP провайдеру через IPsec туннель, но немного хитрым образом - у них требование присвоить privat IP из диапазона 172.xx.xx.xx/30 для внутреннего интерфейса.<br>Выглядит итоговая топология так:<br><br>&#124;------------------&#124;...........172.a.b.c &#124;-----------&#124;79.d.e.f......212.g.h.i &#124;----------&#124;212.j.k.l<br>&#124;192.168.0.0/24 &#124;&lt;----------------&gt;&#124; Gateway &#124;&lt;---------------------&gt;&#124;SIP GW&#124;---------<br>&#124;------------------&#124;........192.168.0.1&#124;------------&#124;.............................&#124;----------&#124;<br><br>//точечки добавил для выравнивания :)<br><br>IPsec я настроил. Под настроил имею ввиду, что могу пинговать 212.j.k.l со шлюз https://www.opennet.ru/openforum/vsluhforumID1/91925.html#3 Wed, 13 Jul 2011 06:42:54 GMT Хелп :)<br> https://www.opennet.ru/openforum/vsluhforumID1/91925.html#2 Tue, 12 Jul 2011 07:02:39 GMT &gt; Даешь маршрутизацию в массы. Ну что вы как дети, в самом деле. <br><br>дети - это да :)<br><br>шлюз:<br> <br>Router# netstat -rn<br>Routing tables<br><br>Internet:<br>Destination Gateway Flags Refs Use Netif Expire<br>default 79.171.125.193 UGS 0 4140872 rl1<br>79.171.120.1 79.171.125.193 UGHS 0 41147 rl1<br>79.171.120.3 79.171.125.193 UGHS 0 2976 rl1<br>79.171.125.192/28 link#2 UC 0 0 rl1<br>79.171.125.193 00:1f:9e:d2:9d:00 UHLW 4 0 rl1 1193<br>79.d.e.f 00:1d:60:90:c4:6d UHLW 1 4230 lo0<br>127.0.0.1 127.0.0.1 UH 0 81 lo0<br>192.168.0.0/24 link#1 UC 0 0 rl0<br>192.168.0.9 00:30:4f:27:9e:a5 UHLW 1 169970 rl0 1086<br>.......<br>192.168.0.254 00:22:b0:5a:54:b4 UHLW 1 825498 rl0 964<br>192.168.1.0/24 link#3 UC 0 0 rl2<br>192.168 https://www.opennet.ru/openforum/vsluhforumID1/91925.html#1 Tue, 12 Jul 2011 06:22:27 GMT &gt;[оверквотинг удален]<br>&gt; Вобщем в итоге если пинговать 212.j.k.l из локалки, то "Превышен интервал ожидания" <br>&gt; tcpdump -i gif0 на шлюзе при этом выдает только <br>&gt; 18:21:44.199076 IP 172.a.b.c &gt; 212.j.k.l: ICMP echo request, id 1, seq 158, <br>&gt; length 40 <br>&gt; 18:21:44.199076 IP 172.a.b.c &gt; 212.j.k.l: ICMP echo request, id 1, seq 159, <br>&gt; length 40 <br>&gt; 18:21:44.199076 IP 172.a.b.c &gt; 212.j.k.l: ICMP echo request, id 1, seq 160, <br>&gt; length 40 <br>&gt; Стоит ли говорить, что АТС не работает <br>&gt; Помогите советом или грамотными правилами файера пожааааалуйста :) <br><br>Даешь маршрутизацию в массы. Ну что вы как дети, в самом деле.<br>