EG>>> Hадо привыкнуть к формату лога, да. Оно излишне многословно и EG>>> бестолково, но нужная информация там есть. VS>> Hе привык пока. Если я тебе лог мылом пришлю, покажешь где там VS>> про протоколы и про pfs_group ?
EG> Пришли, как будет время - гляну.
Я тебе попозже ещё один пришлю, где я включаю natt и всё перестаёт работать.
EG>>> Включи nat_traversal. В моём примере конфига не было лишних EG>>> строк и ты совершенно зря его игнорируешь. Там в комментарии был EG>>> пример для forced-режима, чтобы инкапсуляция была в UDP/4500 EG>>> вместо ESP, так больше шансов пролезть через интернет. VS>> Hа моем хосте публичный адрес, но мысль понял. Попробую вечером. VS>> Если например этот netpoint сам себе esp фильтрует, должна такая VS>> картина быть.
EG> Иногда удаётся проверить фильтрацию ESP таким нехитрым способом:
Способ прикольный, спасибо, может когда пригодится. Но я уже проверил до хоста в vultr в ipsec transport mode (наступив при этом попутно на другие грабли, описанные в соседнем письме), а потом ради интереса еще и через if_ipsec. Всё работает, ничего мой провайдер не режет.
EG> нужно, чтобы по трассе был целевой хост, отвечающий на ping. EG> Запускаем до него трассировку ICMP-пакетами, например: