hledani problemu s IPSec / ICMP ping
Miroslav Lachman
000.fbsd at quip.cz
Thu Jun 1 13:31:49 CEST 2017
Miroslav Lachman wrote on 2017/05/31 17:34:
> ... takze nez jsem stihnul dopsat tenhle e-mail, prisel mi od klienta
> preposlany e-mail z Vodafone - na jejich strane meli preklep v "nasi" IP
> adrese v konfiguraci. Takze kdyz si to u sebe Vodafone opravil, hned to
> zacalo fungovat :)
>
> Diky za pozornost i za tipy a rady (netcat na UDP port 500 uz funguje)
Tak nakonec tu mam jeste jeden dotaz.
Z VF pisou, ze jim nejde monitoring (pravdepodobne ICMP ping) na ten
"nas" stroj:
citace:
Jde o tato spojen:
1) Monitoring uvnitř VPN tunelu: ICMP mezi VF XX.YY.162.71 a AA.BB.CC.152
2) Monitoring vně VPN tunelu: ICMP mezi VF XX.YY.161.17 a AA.BB.CC.152
Na tom stroji je PF, kde je globalne povoleno ICMP ping-reply na externi NIC
## Allow pings and replies while keeping state
pass out quick on $ping_if inet proto icmp icmp-type 8 code 0
pass in quick on $ping_if inet proto icmp icmp-type 8 code 0
Musi se pridat dalsi (jake?) pravidlo pro povoleni pingu uvnitr tunelu,
nebo se na to pouzije i tohle pravidlo?
Nejak se moc nevyznam v tom, jestli se nejdriv packet desifruje a pak
projde timhle pravidlem, nebo se desifruje az po tom, co ho zpracuje PF.
Mirek
More information about the Users-l
mailing list