Comments | dil: Опять загадочные грабли

dil

Опять загадочные грабли

Aug 24, 2016 20:20

Сегодня пытался запустить очередной IPsec’овый туннель. Не работает. Связался с клиентом, проверили настройки, вроде всё с обеих сторон одинаково, должно работать, ан нет. Запустил на роутере tcpdump, и офигел.. Phase1 успешно проходит, а на пакеты от Phase2 с той стороны вместо ответа приходят ICMP destination port unreachable, хотя порт тот же ( Read more... )

ирландия, грабли, рабочее, дублин, ipsec

Comments 9

cybernatic_cat August 24 2016, 20:09:48 UTC

Криво настроенный packet inspection у клиента?
По нашей конторской статистике - эта херня является причиной примерно в 90% подобных случаев.

dil August 24 2016, 20:58:51 UTC

В смысле, в файрволе? Но там же обычный iptables, к которому приделывать глубокий анализ пакетов нетривиально, и вряд ли там кто-то это мог сделать.

cybernatic_cat August 24 2016, 21:05:02 UTC

Перед самим серваком не стоит какого-нить цисковского говна типа ASA?

dil August 25 2016, 11:06:55 UTC

С моей стороны точно нет, а с той - амазон.

Thread 5

bond_jimme August 25 2016, 05:08:21 UTC

IPSec использует 50-ый и 51-ый протоколы, которые скорее всего не разрешены в iptables ( разрешен только обычный ip/udp )
Как заметил cybernatic_cat, это наиболее частая недонастроенность файерволов: сначала требовался только "классический" трафик ip/tcp-udp, а потом неожиданно захотелось vpn-ов.

3apa3a_b_ta3e August 25 2016, 10:34:57 UTC

Сам на подобное недавно наступил, двачую.

dil August 26 2016, 16:05:34 UTC

А теперь... см. апдейт.

dil August 25 2016, 11:09:29 UTC

Но тут дело до этих протоколов даже не доходит, phase2 отваливается:

10:49:04.075530 IP мой.ip.500 > тот.ip.500: isakmp: phase 2/others R inf[E]
10:49:04.334913 IP тот.ip > мой ip: ICMP тот.ip udp port 500 unreachable, length 128