BSDPORTAL.RU

Всем привет

При перенесении стандартного по Handbook IPSec соединения через gif-интерфейсы с 6.4 на 7.2 появилась следующая проблема:

IPSec FreeBSD 6.2 <-> FreeBSD 7.2

На gif интерфейс на стороне 7.2 после прохождения ipsec приходит ipencap трафик.

Т.е.

gif17: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
tunnel inet XXX.194.193.220 --> YYY.62.48.8
inet 10.255.255.35 --> 10.255.255.34 netmask 0xfffffffe


#setkey -DP
YYY.62.48.8[any] XXX.194.193.220[any] ip4
in ipsec
esp/tunnel/YYY.62.48.8-XXX.194.193.220/require
spid=12 seq=7 pid=4275
refcnt=1

XXX.194.193.220[any] YYY.62.48.8[any] ip4
out ipsec
esp/tunnel/XXX.194.193.220-YYY.62.48.8/require
spid=11 seq=3 pid=4275
refcnt=1


на gif интерфейсе следующая картина:

#tcpdump -pni gif17
01:24:43.105696 IP YYY.62.48.8 > XXX.194.193.220: IP 10.255.255.34 > 10.255.255.35: ICMP echo request, id 1294, seq 61, length 64 (ipip-proto-4)
01:24:43.105705 IP 10.255.255.35 > 10.255.255.34: ICMP echo reply, id 1294, seq 61, length 64
01:24:44.106440 IP YYY.62.48.8 > XXX.194.193.220: IP 10.255.255.34 > 10.255.255.35: ICMP echo request, id 1294, seq 62, length 64 (ipip-proto-4)
01:24:44.106449 IP 10.255.255.35 > 10.255.255.34: ICMP echo reply, id 1294, seq 62, length 64
01:24:44.345257 IP YYY.62.48.8 > XXX.194.193.220: IP 10.255.255.34 > 224.0.0.5: OSPFv2, Hello, length: 44 (ipip-proto-4)

То есть на gif интерфейс приходит не развёрнутый ipencap трафик.
И если ping в этом случае проходит нормально, то ospf между gif интерфесами при таком раскладе уже не завязывается. И любой другой трафик сквозь gif тоже не проходит.

А вот другой трафик (не ipencap) через этот же IPSec проходит нормально.

Или, если этот же ipencap трафик не заворачивать в IPSec - тоже всё проходит нормально.

Ядро сконфигурировано с опциями.

device crypto
options IPSEC
options IPSEC_DEBUG
options IPSEC_FILTERTUNNEL

На стороне 6.2 - всё идеально

#tcpdump -pni gif17
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on gif17, link-type NULL (BSD loopback), capture size 96 bytes
09:39:39.040561 IP 10.255.255.34 > 224.0.0.5: OSPFv2, Hello, length: 44
09:39:43.557829 IP 10.255.255.35 > 224.0.0.5: OSPFv2, Hello, length: 48
09:39:49.042270 IP 10.255.255.34 > 224.0.0.5: OSPFv2, Hello, length: 44
09:39:50.571320 IP 10.255.255.34 > 10.255.255.35: ICMP echo request, id 54544, seq 0, length 64
09:39:50.598806 IP 10.255.255.35 > 10.255.255.34: ICMP echo reply, id 54544, seq 0, length 64
09:39:51.571826 IP 10.255.255.34 > 10.255.255.35: ICMP echo request, id 54544, seq 1, length 64
09:39:51.598084 IP 10.255.255.35 > 10.255.255.34: ICMP echo reply, id 54544, seq 1, length 64


Точно такая же схема до 7 ветки прекрасно работала.