|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Eugene Grosbein 2:5006/1 11 Sep 2006 00:00:58
To : Auster
Subject : Re: ipsec & tcp connection stalled
--------------------------------------------------------------------------------
09 сен 2006, суббота, в 15:44 KRAST, Auster написал(а):
>> 00:51:49.268607 IP IP1 > IP2: ESP(spi=0x000003ef,seq=0x25386), length 112:
>> ESP(spi=0x000003ef,seq=0x25385), length 88
>> 00:51:49.268680 IP IP2 > IP1: ESP(spi=0x000007d7,seq=0x42a4), length 88:
>> ICMP
>> echo reply, id 57344, seq 0, length 64
>> Это был входящий ping и он был успешным. Hо tcpdump декодировал только
>> ответный echo reply, а во входящем пакете якобы был ESP внутри ESP??
A> если верить дампу - так оно и есть.
Как оно вообще работает тогда...
A> попробовал восоздать практически с твоей конфигурацией
>> add IP1 IP2 esp 1007 -m transport -E blowfish-cbc "...";
>> add IP2 IP1 esp 2007 -m transport -E blowfish-cbc "...";
>> spdadd IP1/32 IP2/32 any -P in ipsec esp/transport/IP1-IP2/require;
>> spdadd IP2/32 IP1/32 any -P out ipsec esp/transport/IP2-IP1/require;
A> между свежесобранными fbsd-6.1R-p6 и fbsd-4.11R-p21 (с options IPSEC,
A> IPSEC_ESP, IPSEC_DEBUG (но без IPSEC_FILTERGIF и не FAST_IPSEC)).
У меня не FAST_IPSEC, но есть IPSEC_FILTERGIF на обеих хостах.
A> между ними нормально все забегало (stalled connections пробовал получать
A> с
A> `ls-lR /usr':) на одной и другой стороне - не получил).
У меня, оказывается, трафик от 6.1 на 4.11 идет нормально,
а вот от 4.11 на 6.1 не идет, например scp затыкается на 144 килобайтах.
A> обычный же ping дал в дампе len=88 (esp) и внутри по len=64 от icmp
A> и в одну и другую сторону (и request и reply).
A> - получается, ссудя по всему, у тебя пакеты в какомто из направлений
A> дважды через ipsec проходят, хоть и пока непонятно как это удалось.
И мне непонятно. Штатный tcpdump 3.7.2 отбрасывает корку при попытке
такого же запуска на 4.11. Собрал из портов 3.9.4 с libcap 0.9.4,
он почему-то не декодирует вообще ничего.
Eugene
--
И у священных источников живут алчные монахи. (Дхарма)
--- slrn/0.9.8.0 (FreeBSD)
* Origin: Svyaz Service JSC (2:5006/1@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
