Josef Hrabec napsal/wrote, On 04/20/09 13:19:
A celkove mi nejak uniklo, co presne ti vlastne nefunguje (pokud ten
ping prochazi).
Z klienta odchazi echo paket, tento paket je videt na internim interface
routeru spravne jako prichozi. Na enc0 neni
videt zadny paket. Na externim interface jsou
Mohl bych poprosit o strucny popis jak s tim enc pracovat? Proste spusteni
tcpdump -ni enc0 v mem pripade zadne pakety nevypisuje. Tcpdump si pri
spusteni postezuje, ze dany adapter nema pridelenou zadnou IP... nic mene
ale dale to vypada, jako by na enc0 poslouchal. Nic mene pocet zachycenych
pak
> K enc iface. Je pravda, ze ked som s IPSec este na OpenBSD zacinal, tiez
> som
> si myslel, ze co tunel to virtualny iface a chvilu mi trvalo kym som sa
> naucil pouzivat enc. Je to skaredy hack.
>
Mohl bych poprosit o strucny popis jak s tim enc pracovat? Proste spusteni
tcpdump -ni enc0 v mem
Richard Willmann napsal/wrote, On 04/20/09 13:59:
btw: nevies ako funguje na linkach s nizkym MTU DNS? RFC hovori, ze
pakety by nemali byt vacsie nez ... resp. existuje podmienka na
implementacie, ze prijimatel musi prijat paket nejakej minimalnej dlzky,
cislo si nespomeniem, (576 bajtov ?) ale
Myslis 576 byte ? Stejne vetsinou pouzivam vic. Nebo jsi ethernet-centric
uzivatel a za "normalni" povazujes pouze 1514 ? ;-)
Abych rekl pravdu, zrovna me nenapada zadnej zasadni duvod, proc by na
presne konkretni hodnote MTU melo zalezet. Zejmena pokud pres tunel tahame
TCP, ktere ma PMTU. Ci
On 20.4.2009 13:00, Richard Willmann:
Takze, kdyz uz jsem nahodou nekde donucen IPSEC pouzivat (jako, ze se
tomu vyhybam) tak zasadne v konfiguraci IP over IP-IP (tj. GIF) over
IPSEC/ESP
Na IPSec je krasne najma to, ze ti necha "normalne" MTU.
Myslis 576 byte ? Stejne vetsinou pouzivam vic. N
> Skoda jen, ze nerikas, jestli ten ping taky dopadne uspesne prijatou
> odpovedi.
> A celkove mi nejak uniklo, co presne ti vlastne nefunguje (pokud ten
> ping prochazi).
Omlouvam se, situace se ma tak. Z klienta odchazi echo paket, tento paket
je videt na internim interface routeru spravne jako
To je skutecne v poradku. IPSEC je "connection-less" tunel. Neni zadne
"sestavovani tunelu". Bylo by to dobre videt pri staticke konfiguraci
klicu an obou stranach - kazdemu "protlacovanemu" paketu by odpovidal 1:1
jeden ESP paket - zadne sluzebni pakety.
snad len dodam, ze niektore implementa
On 20.4.2009 10:28, Josef Hrabec:
Pri spusteni racoon-u lze pozorovat, jak z pocatku "nedela nic" a teprve ve
chvili, kdy se ze stroje za timto routerem posle echo paket na druhou stranu
zacne na externim rozhrani provoz nejprve ike paketu, ktere posleze nahradi
provoz jiz pouze esp paketu.
To
Ahoj,
chteli bychom v praci zrusit Windows ISA server, ktery slouzi pro VPN
pripojeni postavene na IPSEC a nahradit jej strojem s FreeBSD. Ackoliv se mi
pravdepodobne podarilo uspesne projit prvni a druhou fazi vymeny klicu a
tunel tak dostat do stavu established, nedari se mi skrz nej procpat zadn
10 matches
Mail list logo
