Добрый день. Вторую неделю не могу понять, где роется собака... :(
Есть схема:

Провайдер <--- 81.18.XXX.XXX {FreeBSD(1)} --gif-- {FreeBSD(2)} -- 192.168.8.0|24
                                                                    

Задача - пустить клиентов сети 192.168.8.0/24 в инет.

Сервер(1):
gif_interfaces="gif0"
gifconfig_gif0="172.16.175.78 10.175.77.86"
ifconfig_gif0="192.168.110.2 192.168.110.1"

Добавлен маршрут: route add 192.168.8.0/24 192.168.110.1

Есть ipfw правило (em0 - смотрит в сторону провайдера):
ipfw add divert natd ip from any to 81.18.XXX.XXX in via em0
ipfw add divert natd ip from 192.168.8.0/24 to any out via em0
allow ip from any to any

Сервер(2):
gif_interfaces="gif0"
gifconfig_gif0="10.175.77.86 172.16.175.78 "
ifconfig_gif0="192.168.110.1 192.168.110.2"

Добавлен маршрут: route add 0.0.0.0/0.0.0.0 192.168.110.2 (т.е. весь трафик тупо в тунель заворачиваем)
Шифрования туннеля нет, просто гифы созданы.

Имеем: icmp пакеты из подсети 192.168.8.0/24 наружу ходят. Всякие яндексы и прочее резолвятся и пингуются без проблем. http трафик не ходит, хоть убейся.

Чего делал:
1. tcpdump на gif0 первого сервака говорит, что пакеты ask приходят на него, а обратно он ничего не отдает. Может быть в ipfw чего нить не хватает? Но не пойму где тогда.