= Сообщение: 9530 из 10756 ===================================== RU.UNIX.BSD = От : Eugene Grosbein 2:5006/1 19 Dec 19 10:48:31 Кому : Victor Sudakov 19 Dec 19 10:48:31 Тема : Re: l2tp client FGHI : area://RU.UNIX.BSD?msgid=grosbein.net+cb8feaa7 На : area://RU.UNIX.BSD?msgid=2:5005/49+5dfacd2f = Кодировка сообщения определена как: IBM866 ================================= Ответ: area://RU.UNIX.BSD?msgid=2:5005/49+5dfdc888 ============================================================================== 19 дек. 2019, четверг, в 07:57 NOVT, Victor Sudakov написал(а):
EG>> Hадо привыкнуть к формату лога, да. Оно излишне многословно и EG>> бестолково, но нужная информация там есть. VS> Hе привык пока. Если я тебе лог мылом пришлю, покажешь где там про протоколы и VS> про pfs_group ?
Пришли, как будет время - гляну.
EG>> Включи nat_traversal. В моём примере конфига не было лишних строк EG>> и ты совершенно зря его игнорируешь. Там в комментарии был пример EG>> для forced-режима, чтобы инкапсуляция была в UDP/4500 вместо ESP, EG>> так больше шансов пролезть через интернет. VS> Hа моем хосте публичный адрес, но мысль понял. Попробую вечером. Если например VS> этот netpoint сам себе esp фильтрует, должна такая картина быть.
Иногда удаётся проверить фильтрацию ESP таким нехитрым способом: нужно, чтобы по трассе был целевой хост, отвечающий на ping. Запускаем до него трассировку ICMP-пакетами, например:
$ traceroute -M4 -aI mirror.yandex.ru traceroute to mirror.yandex.ru (213.180.204.183), 64 hops max, 48 byte packets �4 [AS12389] 95.190.192.33 (95.190.192.33) 0.443 ms 0.422 ms 0.471 ms �5 [AS12389] 87.226.181.89 (87.226.181.89) 49.254 ms 49.181 ms 49.328 ms �6 [AS12389] 5.143.250.94 (5.143.250.94) 49.013 ms 49.018 ms 49.139 ms �7 [AS13238] mirror.yandex.ru (213.180.204.183) 53.167 ms 53.206 ms 53.546 ms
Тут важно, что предпоследний хоп тоже отвечает, а не "звезды" лишь только на нём. Запускаем повторно трассировку ESP-пакетами и сравниваем:
$ traceroute -M4 -aP ESP mirror.yandex.ru traceroute to mirror.yandex.ru (213.180.204.183), 64 hops max, 40 byte packets �4 [AS12389] 95.190.192.33 (95.190.192.33) 0.622 ms 11.069 ms 0.442 ms �5 [AS12389] 87.226.183.89 (87.226.183.89) 50.712 ms 50.530 ms 50.885 ms �6 [AS12389] 5.143.250.94 (5.143.250.94) 50.552 ms 53.243 ms 50.451 ms �7 [AS13238] myt-c1-ae11.yndx.net (87.250.239.12) 54.142 ms 54.778 ms 54.019 ms �8 * * *
Видно, что ESP-пакеты по трассе никто не фильтрует. Целевой хост на ESP-пакеты трассировки в любом случае не ответит, так что звезды на седьмом хопе или дальше в данном случае - норма. А вот если бы фильтрация исходящих ESP была, то шестой хоп или выше поменялись бы на звёзды.
Для проверки фильтрации входящих ESP надо потрассировать откуда-нибудь снаружи себя.
EG>> Вероятно, remote его неподдерживает, только и всего. Подробней - надо EG>> в логи смотреть. VS> Готов показать, но не публично.
Hу пришли в почту, а что тебя смущает в них? Там открытым текстом ничего секретного быть не может, ну можешь свой IP заменить на X.X.X.X перед выкладыванием в пасту.
