Проброс портов во внутреннюю сеть

Судя по портам да названиям протоколов, тебе нужен IPsec и NAT Traversal (NAT-T). Необходимые примеры настройки есть на опеннете и лиссяре.

В линуксе

$ /sbin/modinfo xt_esp
filename:       /lib/modules/`uname -r`/kernel/net/netfilter/xt_esp.ko
alias:          ip6t_esp
alias:          ipt_esp
description:    Xtables: IPsec-ESP packet match
author:         Yon Uriarte <yon@astaro.de>
license:        GPL
depends:        x_tables

int = "192.168.1.1"
pass in on egress proto udp from any to any port {isakmp, ipsec-nat-t} rdr-to $int
pass in on egress proto esp from any to any port 50 rdr-to $int

Как-то так.

Сам шлюз в данном случае выступает как промежуточное прозрачное звено, на котором развернут комплекс ПО по учету и управлению трафиком пользователей по выходу их в интернет, контроль доступа к ресурсам и т.д. Задача прокинуть через него насквозь соединение по Ipsec для возможности подключений к внутреннему IP-адресу мед.оборудования за шлюзом.

NAT Traversal заменяет системный natd, дополняя его возможностями или работает параллельно. То ли это, что нужно.

Это из OpenBSD?

Опен, но у ipfw синтакс схожий. И у меня там кстати баг (невнимательно читал), надо бы так:

pass in on egress proto esp from any to any rdr-to $int

Тебе лучше всего будет организовать VPN так будет безопасней, используй OPEN_vpn, но если все таки надумал пробрасывать порты то тебе это придется делать через natd так как nat у тебя работает через демон natd

В /etc/natd.conf добавляем такую строчку

redirect_port udp 10.10.10.10:500 500 redirect_port udp 10.10.10.10:4500 4500

IPSec поверх OpenVPN? А что? Мусьё знает толк в извращениях!

Зачем мне VPN самому поднимать, моя задача дать доступ строго к управляющей аппаратом железке, обслуживанием которой занимаются специалисты Siemens-а. Это их задача поднять на ней\к ней тоннель, никто более заниматься этим не должен.

Разумеется речь идет о natd, с пробросом udp вопрос понятен, больше интересует как ESP так же прокинуть, пришел к такому конфигу.

/etc/natd.conf
same_ports yes
use_sockets yes
redirect_port udp 192.168.2.102:500 500
redirect_port udp 192.168.2.102:4500 4500
redirect_proto esp 192.168.2.102

Не пробовал в действии пока, удаленного не хочу копаться с natd, завтра будучи рядом с терминалом проверю.

Изначально меня смутило в целом требование «50 IP (ESP)», а пятьдесят в данном случае всего лишь номер протокола esp.

Мне кажется или у вас закончились знаки вопроса?

NAT Traversal заменяет системный natd, дополняя его возможностями или работает параллельно. То ли это, что нужно.

NAT Traversal это свойство IPSec, когда esp пакеты инкапсулируются в udp-пакеты, которые NAT'ятся без проблем. И порт там 4500, так что страно, зачем вас попросили настроить NAT и udp и esp пакетов.

Чтобы вопросы вновь появились, нужно попробовать внедрить наработанное за вчерашний день, посмотреть, что получится.

NAT Traversal (NAT-T), как я понял, это технология «зашитая» в железку, позволяющая упростить создание VPN\IPsec подключений между точками и упростившая бы настройку проброса в моем случае?

В качестве железки у них как раз выступает cisco, я обязательно упомяну об этом моменте подрядчику. Было бы куда проще, если бы управляющая оборудованием железка сама могла быть инициатором установки и поддержки VPN/IPsec соединения наружу, они же хотят, чтобы они могли подключаться к ней удаленно снаружи.

Да, NAT-T должен поддерживаться оборудованием, организующим ipsec (как сервером, так и клиентом). Не могу утверждать на 100%, но вроде как все «железяки» умеют это.

Они, видимо, до конца не уверены в том, сможет ли подключающаяся железяка NAT-T и просят и esp NAT'ить. Ещё написано, что ESP в тунельном режиме через NAT не пройдёт, только в транспортном режиме. С этим вам, возможно, придётся разбиратся, когда у них не заработает...

По факту для функционирования оказалось достаточным проброса только двух UDP портов 500,4500 Задача выполнена, вопрос решен. Спасибо всем откликнувшимся.