Unter Linux gibt es die Möglichkeit, einer Route einen sogenannten Source Hint beizugeben, also eine IP-Source-Adresse, die für ausgehende Pakete benutzt werden soll, für die diese Route zutrifft. Dies kann sinnvoll sein, wenn (Verschlüsselungs-)Tunnel auf dem Rechner enden
Das geht ungefähr so:
ip route add 1.2.3.0/24 ... src 4.5.6.7
Unter FreeBSD finde ich leider weder etwas äquivalentes noch überhaupt einen Ansatz, die Problematik zu lösen. Selbst NAT (per ipfw) funktioniert im Falle eines IPSEC-Tunnels für lokal erzeugte Pakete NICHT, da das "Eintüten" in den Tunnel anscheinend vor dem NAT erfolgt und somit die Pakete bei "unpassender" Source-Adresse eben gar nicht im Tunnel landen (ipfw scheint nur auf Interfaces zu wirken, aber lokal erzeugte Pakete laufen nicht über ein Interface...).
Übersehe ich irgendwas offensichtliches?
Das geht ungefähr so:
ip route add 1.2.3.0/24 ... src 4.5.6.7
Unter FreeBSD finde ich leider weder etwas äquivalentes noch überhaupt einen Ansatz, die Problematik zu lösen. Selbst NAT (per ipfw) funktioniert im Falle eines IPSEC-Tunnels für lokal erzeugte Pakete NICHT, da das "Eintüten" in den Tunnel anscheinend vor dem NAT erfolgt und somit die Pakete bei "unpassender" Source-Adresse eben gar nicht im Tunnel landen (ipfw scheint nur auf Interfaces zu wirken, aber lokal erzeugte Pakete laufen nicht über ein Interface...).
Übersehe ich irgendwas offensichtliches?