Re: lug-bg: ipsec kernel 2.6 въпроси
- Subject: Re: lug-bg: ipsec kernel 2.6 въпроси
- From: Ico <ico@xxxxxxxxxx>
- Date: Fri, 03 Sep 2004 12:12:57 +0300
Хм позволи ми да не се съглася.
След като преосмислих tcpdump-а видях, че ESP пакетите, които излизат от
линукса имат същия TTL като енкапсулираните пакети.
След като добавих
iptables -t mangle -A POSTROUTING -d 195.A.B.C -m ttl --ttl-lt 9 -j TTL
--ttl-set 33
(е TTL target-а не е в кърнъла, та се наложи да компилирам)
вече trace-а изглежда така:
tracert -d 192.168.30.3
Tracing route to 192.168.30.3 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.254
2 39 ms 22 ms 27 ms 192.168.30.3
Trace complete.
Може би някой по-знаещ ще каже дали не би трябвало кърнъл-а сам да слага
по-голям TTL на енкапсулираните пакети.
Благодаря за отговора.
Поздрави
Ицо
Yovko Ilchev Yovkov wrote:
Нормално е - някъде из документацията беше описано точно защо. С две думи -
пакета ти е капсулиран и неможе да му се презаписва нищо по него - това е
ipsec.
On Thursday 02 September 2004 16:10, Ico wrote:
Здравейте,
Направих си ipsec tunnel с вградената поддръжката в кърнъл 2.6
(горе-долу както е показано в ipsec-howto.org).
Конфигурацията е
#setkey -DP
192.168.30.0/24[any] 192.168.1.0/24[any] any
in ipsec
esp/tunnel/195.A.B.C-212.D.E.F/require
created: Sep 2 13:07:03 2004 lastused:
lifetime: 0(s) validtime: 0(s)
spid=136 seq=1 pid=14187
refcnt=1
192.168.1.0/24[any] 192.168.30.0/24[any] any
out ipsec
esp/tunnel/212.D.E.F-195.A.B.C/require
created: Sep 2 13:07:03 2004 lastused: Sep 2 13:07:10 2004
lifetime: 0(s) validtime: 0(s)
spid=129 seq=0 pid=14187
refcnt=1
Тунелът си работи (има пинг, tcpdump показва, че има и криптиране).
Когато пробвам traceroute от една от работните станции, да речем
192.168.1.3 се получава следното:
tracert -d 192.168.30.3
Tracing route to 192.168.30.3 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.254
2 * * * Request timed out.
3 * * * Request timed out.
4 * * * Request timed out.
5 * * * Request timed out.
6 * * * Request timed out.
7 * * * Request timed out.
8 * * * Request timed out.
9 46 ms 37 ms 29 ms 192.168.30.3
Trace complete.
Въпросът ми е: Нормално ли е tracert да дава такива резултати ?
Благодаря предварително за отговорите.
Ицо
===========================================================================
= A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara
Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
===========================================================================
=
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|