Туннель IPSec Public-to-Public: путаница с NAT

Я знаю, что это возможно - и, по-видимому, довольно часто встречается у крупных компаний, которые не / не могут маршрутизировать частные адреса по причинам перекрытия, - но я не могу понять, как заставить это работать. Я сейчас играю с pfSense, Vyatta и Cisco 5505 с точки зрения оборудования.

Итак, вот моя установка:

ЗАПАД: Вятта

• снаружи: 10.0.0.254/24
• внутри: 172.16.0.1/24
• машина а: 172.16.0.200/24

ВОСТОК: Cisco 5505

• снаружи: 10.0.0.210/24
• внутри: 192.168.10.1
• машина b (веб-сервер): 192.168.10.2

Итак, мы пытаемся сделать следующее: направлять трафик через туннель от машины A к машине B без использования частных адресов. то есть 172.16.0.200 отправляет TCP-запрос на 10.0.0.210:80, и, что касается EAST, он видит src IP 10.0.0.254.

На WEST у меня есть типичный Source NAT «многие к одному» для преобразования 172.16.0.0/24 в 10.0.0.254, и это подтверждено, что он работает.

Также на WEST у меня есть следующая конфигурация IPSec:

• Локальный IP: 10.0.0.254
• Одноранговый IP: 10.0.0.210
• локальная подсеть: 10.0.0.254/32
• удаленная подсеть: 10.0.0.210/32

У меня обратная конфигурация на ВОСТОК. Что происходит, когда я делаю запрос с машины A на 10.0.0.210:80, так это то, что SNAT переводит частный адрес машины A в 10.0.0.254, и он маршрутизируется (и отбрасывается на другом конце) без установления туннеля. Я предполагаю, что происходит то, что внутренний интерфейс на WEST получает пакет от 172.16.0.200, и поскольку он не соответствует локальной подсети, определенной в конфигурации туннеля, он не обрабатывается механизмом IPSec, и туннель не установлен. .

Как у вас это работает? Кажется, что это курица и яйцо с NAT и IPSec, и я просто не могу понять, как это можно сделать: могу ли я сказать, «если на внутреннем интерфейсе получен пакет с адресом назначения 10.0.0.210, переведите его на 10.0.0.254 перед механизм IPSec проверяет это "?