Help!! [bad hdr length 4 - too short, < 20] en ipsec



  • sres. muy buenas tardes, quisiera pedirles una ayudita, tengo la siguiente configuracion

    Pfsense 1.2.3
    Lan 10.10.10.X/24
    Wan 172.16.40.X/24

    Vpn Ipsec hacia un dlink dfl210
    Red 192.168.1.X/24

    hago ping y llego al router, pero al tratar de ver un recurso compartido y/o una web bajo el firewall dlink, no conecta, cuando el paquete viene de vuelta me dice "[bad hdr length 4 - too short, < 20]"

    alguien a visto este problema??



  • Googleando por:

    bad hdr length 4 - too short, < 20 site:forum.pfsense.org

    tienes un buen montón de intervenciones. Alguna de ellas relacionadas con IPSEC.

    ¡Suerte!

    Josep Pujadas



  • Gracias Josep, pero he revisado una a una y no he dado con la solucion, active "Disable all packet filtering." y todo funciona de maravillas, ¿alguna idea?



  • ¡Hola!

    Probemos al revés… Si has deshabilitado todas las reglas activa una única regla que permita todo y a ver qué pasa.

    A ver si simplemente es el hecho de tener a PF (Packet Filter) funcionando o es que te faltan reglas/ajustes para el tráfico de tu VPN.

    Saludos,

    Josep Pujadas



  • habilite las siguientes reglas sin resultado positivo

    Firewall: Rules: Lan
    Lannet -> Any (todo permitido)
    Any -> Lannet (todo permitido)

    Firewall: Rules: Ipsec
    any -> lannet (todo permitido)
    probe tambien any -> any



  • ¡Hola!

    Parece que el problema está ligado a algún rdr incorrecto en PF (Packet Filter). Ida y vuelta de paquetes incorrecta…

    Deberías revisar bien los rdr (estado de FTP Proxy Helper en las interfases, si tienes un squid transparente activo) así como la configuración de tu IPSEC y de tu NAT saliente.

    He buscado en Google por bad hdr length 4 - too short, < 20 freebsd y ese parece el motivo… Hay que hacer un diagnóstico con tcpdump y no es simple...

    En el libro de pfSense se recomienda también reducir MTU a 1300 en la WAN e ir incrementándolo, cuando se trata de conexiones IPSEC. Aunque esto es aplicable a si hay cortes en la conexión y no parece este tu problema.

    ¡Suerte!

    Josep Pujadas


Locked