ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       02 Feb 2006  12:21:31
 To : All
 Subject : ipsec & DF
 -------------------------------------------------------------------------------- 
 

 Привет!
 
 Есть FreeBSD 4.10-STABLE и FreeBSD 4.11-STABLE в удаленных участках
 Internet на реальных адресах. Между ними нормально ходит ping -D -s 1472
 (исходники ping'а взяты посвежее, чтобы был -D, включающий DF),
 то есть IP размером в 1500 байт проходит нормально. Обе машины подключены
 через ethernet с mtu в 1500.
 
 Включаю между ними ipsec в транспортном режиме на статических ключах,
 только шифрование тела (ESP, без AH):
 
 add 1.1.1.1 2.2.2.2 esp 1005 -m transport -E blowfish-cbc "key1";
 add 2.2.2.2 1.1.1.1 esp 2005 -m transport -E blowfish-cbc "key2";
 
 spdadd 1.1.1.1/32 2.2.2.2/32 any -P out ipsec
 esp/transport/1.1.1.1-2.2.2.2/require;
 spdadd 2.2.2.2/32 1.1.1.1/32 any -P in  ipsec
 esp/transport/2.2.2.2-1.1.1.1/require;
 
 Hа второй машине аналогично. Пакеты ходят, tcpdump подтверждает, что
 трафик шифруется. Hо ping -D -s 1430 ходит, а ping -D -s 1431 уже нет.
 
 Соответственно, трафик между машинами нормально ходит только
 при отключенном path mtu discovery (sysctl net.inet.tcp.path_mtu_discovery=0)
 
 Отчего такой эффект?
 Вопрос роутинга транзитного трафика через эти машины не стоит.
 
 Eugene
 -- 
 Choose your future
 --- slrn/0.9.8.0 (FreeBSD)
  * Origin: Svyaz Service JSC (2:5006/1@fidonet)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор