* Воскресенье 06 Март 2005 09:31 Maxim Tyurin 
<mrkooll@bungarus.info>

> On Sun, Mar 06, 2005 at 02:07:49AM +1200, Alexey Borovskoy 
wrote:
> > Добрый вечер.
> >
> > Поделитесь пожалуйста конфигом для создания IPSec-туннеля
> > через NAT. Все доки которые мне удалось найти, до конца не
> > просветляют. До меня не доходит как правильно описывать
> > такой туннель.
>
> Готового конфига у меня нет но там нет ничего особо
> отличающегося от другого туннеля :)
>
> Дока по NAT в REAME соответствующего патча.
>
> Что именно не получается?

Я добавил nat_traversal=yes. Плуто начинает слушать на порту 4500 
(adding interface ipsec0/eth0 10.1.1.1:4500).

Как описать сторону которая за NAT?

В доке на патч вижу следующее:

right=%any
rightsubnet=192.168.1.1/32

Почему так и зачем? Зачем еще ему subnet нужен? right 
терминируется на машине с NAT? А если нужно пройти две машины с 
NAT?

virtual_private=%v4:10.0.0.0/8
right=%any
rightsubnet=vhost:%no,%priv

Это от меня совсем ускользает. Доступную документацию я уже 
прочел в разных направлениях и скурил, а просветления не 
наступает.

> P.S. А вообще NAT IPsec гадость и желательно без него
> обойтись.

Знаю что гадость. Может быть туннель IPSec запихнуть в туннель 
IP-IP, который пропустить через NAT?

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1