Имеется сервер на freebsd, который устанавливает ipsec-туннель с удаленным хостом в сети Интернет. За сервером есть сетка с серыми ip, сервер их натит в сеть Интернет с помощью pf. ipsec-туннель работает на racoon Правило в pf
nat pass from 192.168.1.5/32 to x.x.x.x/32 -> y.y.y.y
Почему-то трафик с внутренней сетки не заворачивается в ipsec-туннель (хост x.x.x.x как раз находится за ipsec-туннелем).
Такое впечатление, что правила spdadd срабатывают до трансляции. Нашел подобную тему
dadv.livejournal.com/202710.html
Но такое впечатление, что не может быть такого у pf.