Что: 478eef75e239bf6cf9e4e8357524f0fd033a7bb2
Когда: 2021-06-25 12:47:53+03:00
------------------------------------------------------------------------
Темы: bsd hate ipsec
------------------------------------------------------------------------
Обломался с туннельным IPsec режимом

Попробовал вчера за NAT-ом соединить два strongSwan между FreeBSD
системами своими. Через 4500 UDP порт всё работает, соединяется без
правок в ядре, инкапсулированный ESP трафик оборачивается. Но вот у меня
не вышло обеспечить передачу IP-трафика между машинами. Сделал TUN
интерфейс, указав ему IP адреса которые должны ходить внутри туннеля. И
маршрут должен быть при этом автоматически ядру и оборачивать пакеты он
должен в ESP. На ноутбуке трафик принимается и на ping-и он отвечает,
всё как надо и как ожидается. А вот на сервере отправка трафика
происходит, enc0 интерфейс показывает приём дешифрованного ICMP ответа,
но он не "доходит" дальше никуда, ping команда в ответ ничего не
получает. Потратил часы, но даже примерно так и не смог выяснить и
понять в чём дело и куда девается успешно дешифрованный пакет. И это
ведь полностью одинаковые версии FreeBSD. Разница только в наличии
других сетевых интерфейсов и маршрутах -- как-то они чем-то влияют.
Надеюсь что это просто редкая бага в моей не самой современной FreeBSD.

------------------------------------------------------------------------
оставить комментарий: mailto:comment@blog.stargrave.org?subject=Re:%20%D0%9E%D0%B1%D0%BB%D0%BE%D0%BC%D0%B0%D0%BB%D1%81%D1%8F%20%D1%81%20%D1%82%D1%83%D0%BD%D0%BD%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%BC%20IPsec%20%D1%80%D0%B5%D0%B6%D0%B8%D0%BC%D0%BE%D0%BC%20%28478eef75e239bf6cf9e4e8357524f0fd033a7bb2%29

------------------------------------------------------------------------
Сгенерирован: SGBlog 0.34.0