FreeBSD + pf + IPsec

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
romzes
мл. сержант
Сообщения: 85
Зарегистрирован: 2007-09-05 22:17:34
Откуда: Київ
Контактная информация:

FreeBSD + pf + IPsec

Непрочитанное сообщение romzes » 2008-04-16 13:17:33

привет, товарисчи.
есть две локалки соединенные через IPsec, как в мануале :
http://www.freebsd.org/doc/en_US.ISO885 ... ipsec.html
схема сети:
192.168.0.0/24 <---> [192.168.0.12=шлюз2=2.2.2.2] <--inet--> [1.1.1.1=шлюз1=10.31.0.5] <---->10.31.0.5/26
на обоих точках 6.2. пакетный фильтр - pf.
после обновления до 7.0 впн не работает:
0) пинги ходят нормально между сетями;
0) tcp пакеты ходят тоже но с дикими флагами:
с одного шлюза иду в противоположную локалку ssh 10.31.0.42, на второй консоли наблюдаю:
mail# tcpdump -ni gif0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on gif0, link-type NULL (BSD loopback), capture size 68 bytes
10:49:43.912469 IP 192.168.0.12.63996 > 10.31.0.42.22: S 1756351354:1756351354(0) win 65535 <mss 1240,nop,wscale 3,sackOK,timestamp 51087105 0>
10:49:43.936245 IP 1.1.1.1 > 2.2.2.2: IP 10.31.0.42.22 > 192.168.0.12.63996: S 4244314344:4244314344(0) ack 1756351355 win 65535 <mss 1460,[|tcp]> (ipip-proto-4)
10:49:43.936360 IP 192.168.0.12.63996 > 10.31.0.42.22: R 1318200353:1318200353(0) win 0

0) добавляю первое правило: pass quick all на обоих шлюзах; - без изменений;
0) отключаю pf: наблюдаю такую вещь: из локалки, в которой pf отключен - ВСЕ ходит нормально.


p.s. думал связано с IPsec - менял на vpnd - тоже самое.

идеи есть?
TMTOWTDI

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Re: FreeBSD + pf + IPsec

Непрочитанное сообщение Dog » 2008-04-18 11:39:08

Конфиг pf'а глянуть можно?
Oh my God, they killed init! Bastards!