Страница 1 из 1
traceroute и ipsec туннель
Добавлено: 2008-09-07 18:30:01
uderik
Привет всем.
Есть ipsec туннель:
Код: Выделить всё
gif3: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
tunnel inet 10.0.254.2 --> 10.0.254.12
inet 10.0.112.1 --> 10.0.112.2 netmask 0xfffffffc
между сетями 192.168.1.0/24 (10.0.112.1 сторона) и 192.168.2.0/24 (10.0.112.2 сторона)
Код: Выделить всё
1 <1 ms <1 ms <1 ms 192.168.2.1
2 * * * Превышен интервал ожидания для запроса.
3 18 ms 13 ms 14 ms 192.168.1.11
Почему не видно 2го хопа ?
Re: traceroute и ipsec туннель
Добавлено: 2008-09-07 21:57:52
zingel
TTL покажите
Re: traceroute и ipsec туннель
Добавлено: 2008-09-07 23:16:57
uderik
zingel писал(а):TTL покажите
TTL в каком месте? Он тут точно не причем.
Re: traceroute и ipsec туннель
Добавлено: 2008-09-08 9:17:58
zingel
поверь, в том, что я отвечаю, я разбираюсь, это первое, второе - "превышен интервал ожидания для запроса", в этом случае может быть равно no route to host. Давай вывод
нормальный, flow-вывод и:
Re: traceroute и ipsec туннель
Добавлено: 2008-09-08 11:43:31
uderik
zingel писал(а):поверь, в том, что я отвечаю, я разбираюсь, это первое, второе - "превышен интервал ожидания для запроса", в этом случае может быть равно no route to host. Давай вывод
нормальный, flow-вывод и:
тоже самое только из другой сети, на 192.168.0/16 нету там фри
Код: Выделить всё
traceroute to 10.25.0.10 (10.25.0.10), 64 hops max, 60 byte packets
1 10.45.0.40 36 bytes to 10.45.0.111 0.555 ms 0.711 ms 0.490 ms (0% loss)
2 * * * (100% loss)
3 10.25.0.10 40 bytes to 10.45.0.111 66.321 ms 65.279 ms 65.327 ms (0% loss)
Код: Выделить всё
PING 10.0.112.1 (10.0.112.1): 56 data bytes
64 bytes from 10.0.112.1: icmp_seq=0 ttl=63 time=63.580 ms
64 bytes from 10.0.112.1: icmp_seq=1 ttl=63 time=63.586 ms
64 bytes from 10.0.112.1: icmp_seq=2 ttl=63 time=63.102 ms
^C
--- 10.0.112.1 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 63.102/63.423/63.586/0.227 ms
Код: Выделить всё
PING 10.0.112.2 (10.0.112.2): 56 data bytes
64 bytes from 10.0.112.2: icmp_seq=0 ttl=62 time=65.509 ms
64 bytes from 10.0.112.2: icmp_seq=1 ttl=62 time=65.807 ms
^C
--- 10.0.112.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 65.509/65.658/65.807/0.149 ms
Так что no route to host тут не причем
это было бы слишком просто
Re: traceroute и ipsec туннель
Добавлено: 2008-09-08 11:50:23
zingel
чтот я сегодня приболел...
Вопрос: зачем Вам второй хоп?
Re: traceroute и ipsec туннель
Добавлено: 2008-09-08 12:11:43
schizoid
не режется фаером ниде?
Re: traceroute и ipsec туннель
Добавлено: 2008-09-08 12:15:27
uderik
Вопрос: зачем Вам второй хоп?
Хочу видеть через какой туннель идет маршрут, поднята динамическая маршрутизация. хочется чтобы показывала всетаки или понять почему этого не будет
вот что откопал, схожая проблема:
http://groups.google.com/group/mailing. ... 8abc6d7de9
Re: traceroute и ipsec туннель
Добавлено: 2008-09-08 12:19:10
uderik
schizoid писал(а):не режется фаером ниде?
нет не режится, все вырубил специально. Проблема именно на gif интерфейсах, тут вот еще одна особенность вылезла, трафик который приходит с gif интерфейсов, не попадает в правило на файрволе rdr from 192.168.2.0/24 to (внешний адрес) port https -> (внутренний адрес), с tun интерфейсами через openvpn таких проблем нет. Но это уже другая история, хочется пока icmp
Re: traceroute и ipsec туннель
Добавлено: 2008-09-08 12:28:23
zingel
не говорит ли
чего либо подозрительного?
Re: traceroute и ipsec туннель
Добавлено: 2008-09-08 12:29:40
schizoid
попробуй не ipnat, а divert. у мну вроде тож траблы были с ipnat'ом на гифе
Re: traceroute и ipsec туннель
Добавлено: 2008-09-08 12:37:50
uderik
schizoid писал(а):попробуй не ipnat, а divert. у мну вроде тож траблы были с ipnat'ом на гифе
у меня не ipnat, pf, ipfw я давно разлюбил
Re: traceroute и ipsec туннель
Добавлено: 2008-09-08 12:38:51
uderik
zingel писал(а):не говорит ли
чего либо подозрительного?
ничего, пакеты icmp приходят, ответа нет на 2 хопе, на 3м приходят и уходят.
Re: traceroute и ipsec туннель
Добавлено: 2008-09-08 12:47:03
zingel
давайте тогда будем смотреть, как создается gif3
Re: traceroute и ipsec туннель
Добавлено: 2008-09-08 13:01:31
uderik
zingel писал(а):давайте тогда будем смотреть, как создается gif3
Код: Выделить всё
gif3: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
tunnel inet 10.0.254.2 --> 10.0.254.12
inet 10.0.112.1 --> 10.0.112.2 netmask 0xfffffffc
rc.conf:
gifconfig_gif3="10.0.254.2 10.0.254.12"
ifconfig_gif3="inet 10.0.112.1 10.0.112.2 netmask 0xfffffffc mtu 1500"
ipsec.conf:
spdadd 10.0.254.12/32 10.0.254.2/32 any -P in ipsec
esp/transport/10.0.254.12-10.0.254.2/require;
spdadd 10.0.254.2/32 10.0.254.12/32 any -P out ipsec
esp/transport/10.0.254.2-10.0.254.12/require;
Re: traceroute и ipsec туннель
Добавлено: 2008-09-09 1:02:00
uderik
schizoid писал(а):попробуй не ipnat, а divert. у мну вроде тож траблы были с ipnat'ом на гифе
не работающий rdr в pf, ipnat лечится options IPSEC_FILTERTUNNEL в 7.0 (в 6.3 вроде тоже) и ее вариациями в старых фрюхах.
Re: traceroute и ipsec туннель
Добавлено: 2008-09-09 19:46:51
zingel
нужно куда-то записать это, а то (себе)
Re: traceroute и ipsec туннель
Добавлено: 2008-09-10 9:09:31
uderik
Есть еще у когонить какие идеи ? весь мозг себе сломал, люди пишут, что в данном случае traceroute на участке туннеля (gif3) идет не между 10.0.112.1 и 10.0.112.2, а между теннельными адресами (tunnel inet 10.0.254.2 --> 10.0.254.12), но я вообще ничего не вижу, только на стороне клиента в tcpdump'e (ICMP time exceeded in-transit, length 36)
Re: traceroute и ipsec туннель
Добавлено: 2008-09-10 9:48:52
paradox
тунели точка--точка на моей памяти вроде трассероут никада и неотдавал