Как организовать nat до ipsec-туннеля?

Question

[nerik]

Имеется сервер на freebsd, который устанавливает ipsec-туннель с удаленным хостом в сети Интернет. За сервером есть сетка с серыми ip, сервер их натит в сеть Интернет с помощью pf. ipsec-туннель работает на racoon Правило в pf
nat pass from 192.168.1.5/32 to x.x.x.x/32 -> y.y.y.y
Почему-то трафик с внутренней сетки не заворачивается в ipsec-туннель (хост x.x.x.x как раз находится за ipsec-туннелем).
Такое впечатление, что правила spdadd срабатывают до трансляции. Нашел подобную тему dadv.livejournal.com/202710.html
Но такое впечатление, что не может быть такого у pf.

Answer 1

[athacker]

Там в комментариях к этому посту автор пишет, что для pf скорее всего тоже нужен подобный патч.