Ipsec with SA established, but NO traffic

Dan Lukes dan at obluda.cz
Wed Oct 3 11:09:54 CEST 2007


Jan Koukal napsal/wrote, On 10/03/07 10:43:
> I try tcpdump on both endpoints.On IpCop is see that my ICMP packets go
> through ipsec0 interface,but on Pfsence I see in tcpdump on external
> interface "Destination host unreachable 50"

> Tcpdump on external interface on command, ping -S 192.168.1.1 192.168.0.1
> 
> 10:13:21.140393 IP 147.20.148.94 > 88.200.30.145:
> ESP(spi=0x0e9927b4,seq=0x98), length 116
> 10:13:21.151791 IP 88.200.30.145 > 147.20.148.94: ICMP 88.200.30.145
> protocol 50 unreachable, length 144

	protocol 50 (= ESP) unreachable by tedy znamenalo, ze neco na tom 
stroji driv ESP umelo a ted neumi.

	Nejsem si uplne jisty - ten 88.200.30.145 je ten, na ktery je i ten 
druhy, funkcni, tunel ?

	Pokud ano, bylo by to opravdu divny - snad jen nejaky lokalni firewall 
(ten by ale mel vracet spis administratively prohibited, pokud je 
administrator slusnak) nebo hruba chyba konfigurace. Tu tam ale na prvni 
pohled nevidim.

	Pokud ne a jde o jediny IPSEC na tomto stroji, pak je nejsnazsi mozna 
vysvetleni ze doslo ke zmene v instalovanych komponentach ci pouzivanych 
knihovnach nebo optionech KERNELu.


						Dan



-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz



More information about the Users-l mailing list