Дано: Две сети которые необходимо объеденить через туннель. Оддна из сетей подключенна к Интернету через сервер с FreeBSD, вторая сеть через ADSL модем. За NATом модема стоит сервер с FreeBSD. Тунель организован между серверами.
Для работы туннеля в настройках файрвола модема необходимо разрешить протокол 47

iptables -t nat -A PREROUTING -p 47 -s 0.0.0.0  -j DNAT --to-destination 10.xxx.xxx.1

или в секции настроек виртуальных серверов добавить правило для сервера PPTP

За маршрутизацию пакетов из одной подсети в другую у сервера FreeBSD отвечает параметр net.inet.ip.forwarding, посмотр какое значение он имеет:

sysctl net.inet.ip.forwarding
net.inet.ip.forwarding: 0

• 0 - сервер FreeBSD не будет выполнять маршрутизацию.
• 1 - сервер FreeBSD будет выполнять маршрутизацию.

Включение функции маршрутизации

sysctl net.inet.ip.forwarding=1
net.inet.ip.forwarding: 0 -> 1

Чтобы после перезагрузки это значение всегда было 1-цой. Это можно сделать 2-мя способами:

• в файл /etc/rc.conf добавить строчку: gateway_enable=«YES»
• в файл /etc/sysctl.conf добавить строчку: net.inet.ip.forwarding=1

Cоздание интерфейса gif0 на хосте А:

ifconfig gif0 create
ifconfig gif0 192.168.10.253 192.168.10.254 netmask 255.255.255.255 
ifconfig gif0 tunnel 10.xxx.xxx.1 B.B.B.B

Это не опечатка ifconfig gif0 tunnel 10.xxx.xxx.1 B.B.B.B

Хост Б:

ifconfig gif0 create
ifconfig gif0 192.168.10.254 192.168.10.253 netmask 255.255.255.255
ifconfig gif0 tunnel B.B.B.B A.A.A.A

• Первой строкой, вышеприведенных команд, мы создаётся интерфейс gif0.
• Второй, назначается интерфейсу IP адрес, для текущего хоста и для другого конца туннеля.
• Третья строка, устанавливается туннель между хостами.интерфейсов.

Когда интерфейсы туннеля подняты, можно проверить соединение пропинговав с хоста А, командой ping, IP адрес туннеля, хоста Б:

ping 192.168.10.254

Для доступа из сети 10.xxx.xxx.0/24 в сеть 10.yyy.yyy.0/24, необходимо добавить статический маршрут на каждом шлюзе.
Хост А:

route add -net 10.yyy.yyy.0/24 192.168.10.254

Хост Б.

route add -net 10.xxx.xxx.0/24 192.168.10.253

Что-бы после перезагрузки туннель настраивался автоматически, нужно дописать в /etc/rc.conf следующие строчки:

Хост А.

cloned_interfaces="gif0"
ifconfig_gif0="inet 192.168.10.253 192.168.10.254 netmask 255.255.255.255 tunnel 10.xxx.xxx.1 B.B.B.B"
static_routes="Host-B"
route_Host-B="-net 10.yyy.yyy.0/24 192.168.10.254"

Хост Б.

cloned_interfaces="gif0"
ifconfig_gif0="inet 192.168.10.254 192.168.10.253 netmask 255.255.255.255 tunnel B.B.B.B A.A.A.A"
static_routes="Host-A"
route_Host-A="-net 10.xxx.xxx.0/24 192.168.10.253"

Для создания gif интерфейсов можно выделить адрес из локальных сетей 10.xxx.xxx.0/24 и 10.yyy.yyy.0/24 соответственно.

Офис А. Шлюзом в Интернет является ADSL модем,а шлюзом до офиса Б - сервер FreeBSD.
Офис Б. Шлюзом в Интернет и шлюзом до офиса А - сервер FreeBSD.

СОЗДАННЫЙ ТУННЕЛЬ НЕ ЗАЩИЩЁН ШИФРОВАНИЕМ!

Ссылки:
http://www.lissyara.su/archive/ipsec
http://vds-admin.ru/networks/gre-generic-routing-encapsulation-sozdanie-tunnelei
https://www.opennet.ru/base/sec/ipsec_fr.txt.html
https://www.freebsd.org/doc/ru/books/handbook/ipsec.html
http://unixadm.info/content/%D0%BE%D1%80%D0%B3%D0%B0%D0%BD%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F-ipsec-%D1%82%D1%83%D0%BD%D0%BD%D0%B5%D0%BB%D0%B5%D0%B9-freebsdipsecracoonipsec-tools-cisco-freebsdipsecracoonipsec-tools
https://www.opennet.ru/openforum/vsluhforumID1/95477.html
http://kovyrin.net/2006/03/17/how-to-create-ip-ip-tunnel-between-freebsd-and-linux
http://subnets.ru/blog/?p=280