VS>> В линухах оно как, кто скажет если знает или может проверить? Тоже DF флаг AK> 12:42:28.403061 IP (tos 0x0, ttl 63, id 37064, offset 0, flags [DF], proto ESP AK> (50), length 76) AK> sysctl net.ipv4.ip_no_pmtu_disc=1 AK> 12:43:36.651914 IP (tos 0x10, ttl 63, id 40587, offset 0, flags [none], proto AK> ESP (50), length 84) VS>> принудительно ставится на ESP? AK> не ставится, а копируется с неинкапсулированного пакета - показанный transport AK> совсем не между теми хостами, между которыми tcp сессия.
Это ты с прямым углом спутал, то есть с tunnel mode, где добавляется внешний заголовок IP "совсем не между теми хостами, между которыми tcp сессия".
Для этого режима обработка DF явным образом расписана в RFC и сказано, что система обязана иметь какой-то эквивалент фрёвого sysctl net.inet.ipsec.dfbit для возможности локальной настройки: копировать DF с неинкапсулированного пакета или принудительно снимать, или принудительно взводить.
К сожалению, RFC 2401 расписывает это только для туннельного режима.
Хотя, Appendix B нём (https://tools.ietf.org/html/rfc2401#page-1-48) утверждает, что пакеты транспортного режима должны быть "фрагментируемы", что неявно предполагает отсутствие DF на них, IMHO.
Eugene -- Смотри, но не смей трогать --- slrn/1.0.3 (FreeBSD) * Origin: RDTC JSC (2:5006/1@fidonet)
