"IPsec для любознательных, ч.2 ответы на вопросы"

[hvostat_hvostat]

Ровно неделю назад написал вот этот псто.

Большое спасибо всем за ответы! Много очень толковых мыслей. Я прям очень-очень рад, что читатели такие умнички!
Отдельное огромное спасибо уважаемым klink0v и vovin.

Так вот, по завершению дебага, выяснилось, что ларчик открывался крайне хитрожопо и весьма неожиданно.

Comments

[termsl]

Ну как бы эта прописная истина- настроить мту в тоннельном интерфесе через ван так, чтобы не было фрагментации, иначе в большинстве случаев тоннель не поднимется.

[hvostat_hvostat]

Перечитай еще раз плиз внимательно.

МТУ в тоннельном интерфейсе тут СОВЕРШЕННО непричём.

[termsl]

Не в тоннельном, а в WAN, притом этот MTU должен быть меньше обычного на величину навесок ipsec, минус 28 что ли байт, особенно это у сотовых операторов заметно.

[klink0v]

Не поможет. Пакеты по 1500 байт там бегают без фрагментации в обе стороны. Мы это в первую очередь проверили.

[termsl]

после того, как пакет обернется в ipsec, он несколько разбухнет же?

[klink0v]

При чём тут это? Там "валится" IKE, до Payload дело даже не доходит.

[termsl]

Хм, значит у меня валилось пожже, но тоже именно из-за фрагментации пакетов.

[getinaks]

Я с цисками и джуниперами особо не дружу, но можете поискать интереса ради "Windows IKEv2 EAP-TLS NAT", и наткнётесь на такую-же проблему - до какой-то там сборки десятки эта конфигурация практически была невозможна, т.к. винда на фазе IKE не умела вообще слать фрагментированные пакеты (А PSK вполне проходил, т.к. укладывался в MTU, когда сертификат никак не влезал).

[termsl]

У меня было именно между цисками.