SNAT in IPsec Tunnel mit policy match

[Markus Wigge]

Hi,

ich versuche grade ein lokales Netz auf die externe IP meiner
Linux-Firewall zu SNATen und das ganze dann durch einen host-to-net
Tunnel zu schicken.

Leider scheint das nicht so ganz zu funktionieren, da dass
policy-Matching im FORWARD target keine passende Policy findet. Diese
bezieht sich ja auch nur auf die externe IP.
(extern-ip/32===extern-ip...remote-gw===remote-net/24)

Gibt es irgendeine Möglichkeit, das trotzdem zu matchen? Ich hatte schon
versucht mittels manual Keying eine Dummy-Policy für das lokale Netz
aufzusetzen. Nach dem Maskieren findet ja scheinbar noch ein Policy
Lookup statt...
Leider war das noch nicht so richtig erfolgreich :(

add 217.14.174.234 62.134.128.4 esp 0xfffffe -u 42 \
    -E des-cbc "F00Bar";
spdadd "my-net" "remote-net" any -P out ipsec
        esp/tunnel/"extern-ip"-"remote-gw"/unique:42;

Trotz des manual Keying beschwert sich der Racoon, dass es dafür keine
inbound-Policy gäbe?!

Ziel ist es halt, dass vom lokalen Netz auf das Remote-Netzwerk
zugegriffen werden kann...

Hat da noch jemand eine schlaue Idee?

Gruß,
Markus