Добрый день!
Создал на основе двух OpenBSD6 сетевой мост между двумя зданиями. Все прекрасно, сеть без проблем, DHCP сервер и BOOTPC работают через мост без проблем. Подскажите, где прочитать или найти гайд по настройке IPSec на сетевом мосту. Все что я находил в сети относится к двум разным сетям и прочим NAT. У меня же просто одно сеть один большой диапазон. Хотелось бы такой же прозрачности на сетевом мосту, только с шифрованием.  

• ipsec на мосту,shadow_alone, 13:19 , 12-Фев-17
  • ipsec на мосту,Trasv, 15:26 , 12-Фев-17
    • ipsec на мосту,PavelR, 09:30 , 13-Фев-17
      • ipsec на мосту,Trasv, 07:02 , 15-Фев-17
        • ipsec на мосту,PavelR, 22:02 , 15-Фев-17
          • ipsec на мосту,Trasv, 20:28 , 16-Фев-17
            • ipsec на мосту,PavelR, 21:13 , 16-Фев-17
              • ipsec на мосту,Trasv, 23:04 , 16-Фев-17

Эка загнул...
Придеться тогда извращаться и делать инкапсуляцию, если вы L2  хотите в ipsec засунуть.

> Эка загнул...
> Придеться тогда извращаться и делать инкапсуляцию, если вы L2  хотите в
> ipsec засунуть.

У меня пока нет понимания, как это должно работать. IPSec туннель между двумя OpenBSD ставится вообще без проблем, кучей разных способов. Но как добиться того, чтобы широковещалки и dhcp запросы проходили прозрачно и пинги бегали.

>> Эка загнул...
>> Придеться тогда извращаться и делать инкапсуляцию, если вы L2  хотите в
>> ipsec засунуть.
>  У меня пока нет понимания, как это должно работать. IPSec туннель
> между двумя OpenBSD ставится вообще без проблем, кучей разных способов. Но
> как добиться того, чтобы широковещалки и dhcp запросы проходили прозрачно и
> пинги бегали.

Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и
пинги бегали". Затем заверни трафик туннеля в IPSec.

> Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и
> пинги бегали". Затем заверни трафик туннеля в IPSec.

Каким образом трафик в туннель завернуть? Через pf (route-to) или через статические маршруты?  

>> Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и
>> пинги бегали". Затем заверни трафик туннеля в IPSec.
> Каким образом трафик в туннель завернуть? Через pf (route-to) или через статические
> маршруты?

как-то эти буквы не сочетаются со словами "широковещалки".

Я не опенбсдшник, но схема такая:

1) https://www.google.com/#q=openbsd+bridge+tunnel

2) http://man.openbsd.org/etherip.4

По второй ссылке расписано требуемое вам решение.

> 2) http://man.openbsd.org/etherip.4
> По второй ссылке расписано требуемое вам решение.

Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как только поднимается ipsec туннель, etherip разваливается. Буду искать причину.

>> 2) http://man.openbsd.org/etherip.4
>> По второй ссылке расписано требуемое вам решение.
> Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как
> только поднимается ipsec туннель, etherip разваливается. Буду искать причину.

В моем понимании это означает, что ipsec не подымается.

>>> 2) http://man.openbsd.org/etherip.4
>>> По второй ссылке расписано требуемое вам решение.
>> Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как
>> только поднимается ipsec туннель, etherip разваливается. Буду искать причину.
> В моем понимании это означает, что ipsec не подымается.

Если использовать, по мануалу, ipsec.conf типа статик
esp from 1.2.3.4 to 4.3.2.1 spi 0x4242:0x4243 \
        authkey file "xxxx:yyyy" enckey file "xxx.enc1:xxx.enc2"
flow esp proto etherip from 1.2.3.4 to 4.3.2.1  

то в etherip не идут пакеты, те фактически IPSec не работает и соответственно все внешнии соединения
рвутся.
Но при использовании второго варианта с isakmpd
ike esp proto etherip from 1.2.3.4 to 4.3.2.1
ike passive esp proto etherip from 4.3.2.1 to 1.2.3.4

все отлично работает(просто нужно было добавить passive и скопировать ключи). Шифрованный туннель работает прекрасно. Почему не работает первый вариант я так и не понял. Надо попробовать еще раз.