IPSec Site-to-Site VPN - выпустить удаленные хосты клиента в Интернет через сервер

[Sord]

Приветствую!

Просьба помочь с настройкой сабжа. Сам IPSec Site-to-Site VPN настроил согласно инструкции, все поднялось, хосты обеих сторон пингуются между собой. Но проблема начинается, когда с хоста клиентской стороны пытаюсь выйти на определенные публичные адреса через подключение к Интернет на серверной стороне (их подсети прописаны в настройках IPSec Site-to-Site VPN) - не работает NAT, в сторону провайдера в качестве источника запроса улетает адрес хоста клиентской стороны.

Так получается и при настройке в объеме инструкции, так и с добавлением:

interface XFRM0 (security-level private, up)

crypto map {name} tunnel-interface XFRM0

аналогично, если и добавить:

ip nat XFRM0.

[Le ecureuil]

Покажите self-test с привязанным XFRM0.

[Sord]

22 минуты назад, Le ecureuil сказал:

Покажите self-test с привязанным XFRM0.

добавил в тему

[Sord]

из наблюдений могу добавить, что при привязанном XFRM0 перестают пинговаться между собой хосты обеих сторон. при выполнении traceroute с клиентского рутера до адресов из прописанных в фазе 2 подсетей серверный рутер пропадает из списка ответивших узлов

[Le ecureuil]

Ну так на XFRM0 нужно ставить адрес и все такое. Фактически IPsec превращается в wireguard, где подсети в proposal выполняют роль allow-ips.

[Sord]

Попробовал навесить на XFRM0  произвольный адрес не из домашней подсети: ip address 192.168.51.1 255.255.255.255 - результата не изменился

Попробовал создать новый сегмент с адресом 192.168.51.1/24 и включить в него XFRM0 (include XFRM0) - результат:

			"status": "error",
			"code": "73400352",
			"ident": "Network::Interface::Bridge",
			"message": "\"Bridge1\": no such Ethernet interface XFRM0."

Можете более подробно расписать, какие настройки нужно добавить к конфигурации из приложенного селф-теста?