Подскажите по поводу проброски тоннеля...

А символьные сетевые устройства - tun, tap есть и на FreeBSD и OpenBSD и уже и на Linux..

Обеспечь прохождение esp и ah протоколов через твои фаерволы и NAT-ы.. Возможно, стоит использовать перенаправление IP или отдельных портов а также не систему взаимодействия - сервер+сервер, а - сервер+клиент с дополнительной маршрутизацией..

>Отличие в том, что у меня оба сервака за NAT'ом,

Имхо - нет. так как они друг с другом просто так связаться не могут. Хоть у одного из них должен быть реальный ИП, или хоть один порт был проброшен из инета в него.

Ну или мутить какой-нить транзитный сервер.

А почему бы не попробовать, например, openvpn ? Умеет работать через NAT, работает по UDP. Если на внешних шлюзах этих сетей firewall-ы stateful, то можно соединить и 2 тачки за NAT-ом: чем-то послать с одной из локальных тачек UDP пакет с порта 1194 на удаленный шлюз тоже на порт 1194, он отметится в firewall-е на локальном шлюзе, после этого этот шлюз сможет пропускать удаленные пакеты, идущие оттуда к локальному openvpn (как ESTABLISHED пакеты), vpn-соединение установится.

>Хоть у одного из них должен быть реальный ИП, или хоть один порт был проброшен из инета в него.

Порт пробросить? Без проблем! Есть рутовый доступ к этим двум ADSL-роутерам. Вот только какой именно порт пробрасывать?

Кажется нашел что-то полезное вот тут: http://blog.kovyrin.net/2006/03/17/how-to-create-ip-ip-tunnel-between-freebsd...

>А почему бы не попробовать, например, openvpn

Потом попробую. Сейчас хочется просто понять как простые тоннели делаются. А то запущу я этот openvpn, вобью несколько адресов в настройки, и оно заработатет. А я так ничего и не пойму ;)

Когда тоннель подниму, попробую, наверное, поначалу с stunnel побаловаться...

>А то запущу я этот openvpn, вобью несколько адресов в настройки, и оно заработатет.

Сомневаюсь :)

А вообще-то у этого openvpn - довольно внятная дока, хоть и большая. Порт ему можно любой назначить. Самое муторное это ключи генерить (можно вроде и без ключей.). В общем - у меня со второго раза получилось.

Для простой организации шифрованого туннеля мне понравился pipsec. Настраивается достаточно просто, полностью в юзерспейсе (ничего в ядре трогать не надо), при запуске создаёт шифрованый туннель, два его конца видны как интерфейсы (под линухом типа tunX), с которыми можно делать все стандартные операции. Работает под линхом и *bsd. Стандартно пакует шифрованые пакеты в ip-esp, умеет также делать туннели поверх udp или icmp echo reply (но без шифрования - впрочем, при желании покопавшись в исходниках можно и туда шифрование прикрутить).

В данном случае надо на nat-ах организовать проброску ip-esp пакетов на шлюзы. Их опознавать надо по номеру протокола. А далее стандартным образом можно поднимать шифрованый туннель (тем же pipsec к примеру), указывая вместо ip-адреса удалённого шлюза ip-адрес его NAT-а.