|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Victor Sudakov 2:5020/400 01 Mar 2007 08:15:10
To : Eugene Grosbein
Subject : Re: pmtud & ipsec
--------------------------------------------------------------------------------
Eugene Grosbein wrote:
> AM>> для ESP не знаю, но сомневаюсь. tcpdump тебе поможет.
> >> Hе сомневайся. Четверка ставит DF всегда (даже когда pmtud отключен),
> >> несмотря на значение net.inet.ipsec.dfbit (man ipsec).
> VS> Hе подтверждается.
> VS> Есть ipsec между 4.10 и 6.2 - ни с той, ни с другой стороны DF не
> VS> ставится, только что специально посмотрел.
> VS> net.inet.ipsec.dfbit на обоих по умолчанию 0.
> tcpdump показывает, что ping -D remotehost при нулевом dfbit генерирует
> ESP-пакеты с установленным DF. Еще tcpdump показывает, что
> telnet remotehost 25 тоже генерирует ESP-пакеты с установленным DF.
> 4.11-STABLE.
Я просто собрал 3000 пакетов с esp между вышеназванными двумя роутерами.
Потом в Ethereal посмотрел их фильтром !(ip.flags.df == 0)
и не нашлось ни одного со взведённым DF bit.
Тогда как на соответствующем gif интерфейсе видно, что все TCP пакеты
имеют этот бит в 1.
Конфигурация там такая - между двумя вышеназванными роутерами построен
gif туннель, а ipencap шифруется в esp transport mode.
В gif(4) написано:
If the outer protocol is IPv4, gif does not try to perform path MTU dis-
covery for the encapsulated packet (DF bit is set to 0).
Если у тебя не gif, а ipsec в tunnel mode, или просто transport mode
между двумя хостами, может быть, DF bit наследуется из внутреннего
пакета?
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
--- ifmail v.2.15dev5.3
* Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: pmtud & ipsec |
Victor Sudakov |
01 Mar 2007 08:15:10 |
|
|
