[freebsd] редирект транзитного трафика

[Дружин Александр Васильевич]

From: Eugene Grosbein [mailto:eugen at grosbein.net] 
Sent: Monday, May 18, 2020 6:20 PM

>18.05.2020 19:21, Дружин Александр Васильевич пишет:
>
>> Есть маршрутизатор под FreeBSD 11.2, точнее, VPN-концентратор.
>> Мне нужно сделать редирект входящего декапсулированного трафика с одного на другой адрес внутри локальной сети.
>> Ну и произвести обратные преобразования для соответствующего исходящего трафика.
>> Ну, т.е. некий аналог nat redirect_port, но для транзитного трафика.
>> Я так понял, это можно устроить с помощью ng_patch, но для меня это, признаться, сложновато, а мне надо бы побыстрее решить вопрос.
>> Есть какие-то варианты попроще?
>
> Собственно nat redirect_port и есть, он всегда выполняется именно для транзитного трафика.
> А в чём, собственно, проблема? Инстансов ipfw nat можно настроить сколько угодно, транслировать трафик ipfw nat может для любых IP-адресов, необязательно назначенных самому концентратору.

Собственно, я и попробовал, прежде чем писать, хотя и полагал, что трансляция работает только для адресов на nat-интерфейсе.
Не вышло.
Но раз так, еще поковыряюсь.

> Из man ipfw:
>
>     The nat configuration command is the following:
>
>           nat nat_number config nat-configuration
>
>     The following parameters can be configured:
>
>     ip ip_address
>             Define an ip address to use for aliasing.
>
> Так что:
>
> ipfw disable one_pass
> ipfw nat 100 config ip 1.1.1.1 redirect_port tcp 192.168.0.1:80 500
> ipfw add 40 nat 100 tcp from any to 1.1.1.1 500 in recv $ext_if
> ipfw add 50010 nat 100 tcp from 192.168.0.1 80 to any out
>
> Это в том случае, если VPN не IPSec, в случае с IPSec посложнее.

Используются ipsec vti и gre поверх ipsec.
Это проблема?
Пробовал натить на gre.