hledani problemu s IPSec / ICMP ping

Miroslav Lachman 000.fbsd at quip.cz
Thu Jun 1 13:31:49 CEST 2017


Miroslav Lachman wrote on 2017/05/31 17:34:

> ... takze nez jsem stihnul dopsat tenhle e-mail, prisel mi od klienta
> preposlany e-mail z Vodafone - na jejich strane meli preklep v "nasi" IP
> adrese v konfiguraci. Takze kdyz si to u sebe Vodafone opravil, hned to
> zacalo fungovat :)
>
> Diky za pozornost i za tipy a rady (netcat na UDP port 500 uz funguje)

Tak nakonec tu mam jeste jeden dotaz.

Z VF pisou, ze jim nejde monitoring (pravdepodobne ICMP ping) na ten 
"nas" stroj:

citace:

Jde o tato spojen:
1) Monitoring uvnitř VPN tunelu: ICMP mezi VF XX.YY.162.71 a AA.BB.CC.152
2) Monitoring vně VPN tunelu: ICMP mezi VF XX.YY.161.17 a AA.BB.CC.152

Na tom stroji je PF, kde je globalne povoleno ICMP ping-reply na externi NIC

## Allow pings and replies while keeping state
pass out quick on $ping_if inet proto icmp icmp-type 8 code 0
pass in quick on $ping_if inet proto icmp icmp-type 8 code 0

Musi se pridat dalsi (jake?) pravidlo pro povoleni pingu uvnitr tunelu, 
nebo se na to pouzije i tohle pravidlo?

Nejak se moc nevyznam v tom, jestli se nejdriv packet desifruje a pak 
projde timhle pravidlem, nebo se desifruje az po tom, co ho zpracuje PF.

Mirek



More information about the Users-l mailing list