我已经工作了一个多星期,试图让出站数据包符合安全协会的要求。
这是我的(示例)场景:
尽管事实上我已经在 FreeBSD Box 中启动并运行了所有 SA,但尝试使用 pf 或 ipfw 对数据包进行 nat 处理是行不通的,nat 的数据包使用默认路由接口继续流动并且没有得到进入ipsec隧道。
这是一个示例 SA,使用:
$ ipsec status vpn
vpn{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: cca608fa_i d74355dc_o vpn{1}: AES_CBC_256/HMAC_SHA2_256_128, 2688 bytes_i (32 pkts, 32s ago), 4992 bytes_o (32 pkts, 32s ago), rekeying in 43 minutes vpn{1}: 2.2.2.2/32 === 3.3.3.3/32
这是我的 nat 规则pf.conf:
nat on enc0 from 1.1.1.0/24 to 2.2.2.2/32 -> 3.3.3.3
这是我的ipsec0 interface …