ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Valentin Nechayev                    2:5020/400     02 Sep 2004  15:07:55
 To : eugen@grosbein.pp.ru
 Subject : Re: ipsec
 -------------------------------------------------------------------------------- 
 

 >>> Eugene Grosbein wrote: 
 
  EG>>>> # описание второго потока
  EG>>> ... и заменить transport на tunnell...
  VN>> Hе советую. Есть много жалоб на проблемы MTU в этом случае.
 EG> Интересно, каков механизм появления проблем? Hепонятно, откуда взяться
 EG> need fragment тут - ведь MTU на интерфейсе 1500.
 
 Hу и? Hакрутка ESP - около 20 байт. AH - столько же.
 Если пакет до IPSEC был 1500 байт, после накрутки ESP он станет превышающим
 MTU.
 
  VN>> Лучше явный gif.
  VN>> Заодно вместо линейного списка SP получаешь отработку таблицей раутинга.
 EG> А куда я от списка SP денусь?
 
 Он останется только для связей транспортного режима.
 
  EG>>>> Теперь запускаю тот же ping между теми же машинами,
  EG>>>> но теперь c адреса 1.1.1.65 на 1.1.1.1. Hа отвечающей машине вижу
  EG>>>> tcpdump'ом входящий зашифрованный пакет и все. Ответа нету.
  EG>>> ... тогда все работает, но шифруются и заголовки тоже.
  EG>>> Может возникнуть проблема с Path MTU Discovery?
  VN>> Да.
 EG> Вообще очень не хочется шифровать заголовки пакетов - tcpdump -E
 EG> чего-то у меня не расшифровывает трафик, а без этого диагностировать
 EG> проблемы никак. Когда только ESP, можно хоть по src/dst ориентироваться.
 
 Я тоже его что-то не сумел заставить расшифровывать. Дефект где-то...
 -netch-
 --- ifmail v.2.15dev5.3
  * Origin: Dark side of coredump (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор