hledani problemu s IPSec / ICMP ping

Miroslav Lachman 000.fbsd at quip.cz
Thu Jun 1 13:31:49 CEST 2017

Previous message (by thread): hledani problemu s IPSec
Next message (by thread): Problem se svnup po updatu na 10.3
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Miroslav Lachman wrote on 2017/05/31 17:34:

> ... takze nez jsem stihnul dopsat tenhle e-mail, prisel mi od klienta
> preposlany e-mail z Vodafone - na jejich strane meli preklep v "nasi" IP
> adrese v konfiguraci. Takze kdyz si to u sebe Vodafone opravil, hned to
> zacalo fungovat :)
>
> Diky za pozornost i za tipy a rady (netcat na UDP port 500 uz funguje)

Tak nakonec tu mam jeste jeden dotaz.

Z VF pisou, ze jim nejde monitoring (pravdepodobne ICMP ping) na ten 
"nas" stroj:

citace:

Jde o tato spojen:
1) Monitoring uvnitř VPN tunelu: ICMP mezi VF XX.YY.162.71 a AA.BB.CC.152
2) Monitoring vně VPN tunelu: ICMP mezi VF XX.YY.161.17 a AA.BB.CC.152

Na tom stroji je PF, kde je globalne povoleno ICMP ping-reply na externi NIC

## Allow pings and replies while keeping state
pass out quick on $ping_if inet proto icmp icmp-type 8 code 0
pass in quick on $ping_if inet proto icmp icmp-type 8 code 0

Musi se pridat dalsi (jake?) pravidlo pro povoleni pingu uvnitr tunelu, 
nebo se na to pouzije i tohle pravidlo?

Nejak se moc nevyznam v tom, jestli se nejdriv packet desifruje a pak 
projde timhle pravidlem, nebo se desifruje az po tom, co ho zpracuje PF.

Mirek

Previous message (by thread): hledani problemu s IPSec
Next message (by thread): Problem se svnup po updatu na 10.3
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list