|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Leizer A. Karabin 2:5005/14.44 10 Feb 2007 23:27:18
To : Eugene Grosbein
Subject : потери в (вокруг?) ipsec
--------------------------------------------------------------------------------
Я, собственно, просто так вышел Saturday February 10 2007 19:52,
тут слышу - Eugene Grosbein говорит Leizer A Karabin (ну я встрял, конечно):
LAK>>>> Как (и что) искать в ipsec и вокруг? Устроят любые "нечто на
LAK>>>> вид похожее видел" и прочие идеи для проверок. Может ли быть, что
LAK>>>> повлияли изменения временнЫх параметров в racoon.conf в конторе (по
LAK>>>> времени совпадает с возникновением проблемы)? Понимаю, что не должны
LAK>>>> бы.
EG>>> Пакеты IPSEC нельзя divert-ить из-за design error в ядре FreeBSD.
EG>>> Есть ipfw divert?
LAK>> Hа это никто не рассчитывал и не пытался этого делать. И потом
LAK>> это не
LAK>> может порождать наблюдаемое. Или проходило бы, или нет.
EG> Может. Продиверченные пакеты снова попадают в IPSEC, заворачиваются
EG> по второму разу, PMTUD ломается, небольшие пакеты проходят, большой
EG> поток затыкается после заполнения окна.
EG> Hо это легко проверить, отключи на обоих сторонах PMTUD и посмотри,
EG> уйдет ли проблема.
Проверка до понедельника не получится, пока же смотри:
01000 divert 8668 ip from 10.6.61.0/24 to not 10.0.0.0/8
Это наружу, и не в контору, она 10.1.0.0/24. А внутрь так и вовсе
01010 divert 8668 ip from any to <ext-IP точки>
По-моему, ipsec-трафик по политикам
spdadd 10.6.61.0/24 10.1.0.0/24 any -P out ipsec esp/tunnel/бла-бла
spdadd 10.1.0.0/24 10.6.61.0/24 any -P in ipsec esp/tunnel/бла-бла обратно
сюда никаким боком.
За сим навеки и проч. Leizer [Team Smile'ик - отменить!]
--- GoldEd 1.1.5-030104
* Origin: Чудес на свете нет. Кроме детей (2:5005/14.44)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
