ESP или AH

idelta

Схема Site2Site + важный момент : LAN+WAN на RemoteBOX-е = bridge0 :

SmallOfficeLan <-> LAN-RemotePFBOX-WAN <-…-> WAN-MainPFBOX-LAN <-> MainOfficeLan

Поднимаю IPSEC (ESP) между WAN-WAN : всx работает.
"Видно" по скорости, что часть мощностей тратится на (де)шифрацию.
Меняю ESP на AH (скорость очень нужна) - не работает.

Status -> IPSEC : туннель есть.
Status -> System Logs -> IPSEC VPN : всx нормально.
Diagnostic -> Ping (с обеих PFBOX-ов from WAN интерфейс) -> ...хосты в "удалxнном" офисе.
Все ping-и проходят нормально. Связи LAN2LAN нет.

Делаю Firewall ->Rules -> ...Pass , any, any + log.
tcpdump-ом вижу ICMP-request-ы (с AH), но нет reply.

То есть "внутри" PFBOX-ов пакеты вижу, но на LAN-интерфейсах (на "выходе") их нет.

Меняю AH на ESP - всx ОК.

Подскажите...

zar0ku1

эм, разберись чего у тебя с кодировкой… я ее даже перевести не смог

deutsche

это еще 1 IE-юзер cp1251

zar0ku1

@deutsche:

это еще 1 IE-юзер cp1251

странно у меня не перекодировалась

idelta

Схема Site2Site + важный момент : LAN+WAN на RemoteBOX-е = bridge0 :

SmallOfficeLan <-> LAN-RemotePFBOX-WAN <-…-> WAN-MainPFBOX-LAN <-> MainOfficeLan

Поднимаю IPSEC (ESP) между WAN-WAN : всx работает.
"Видно" по скорости, что часть мощностей тратится на (де)шифрацию.
Меняю ESP на AH (скорость очень нужна) - не работает.

Status -> IPSEC : туннель есть.
Status -> System Logs -> IPSEC VPN : всx нормально.
Diagnostic -> Ping (с обеих PFBOX-ов from WAN интерфейс) -> ...хосты в "удалxнном" офисе.
Все ping-и проходят нормально. Связи LAN2LAN нет.

Делаю Firewall ->Rules -> ...Pass , any, any + log.
tcpdump-ом вижу ICMP-request-ы (с AH), но нет reply.

То есть "внутри" PFBOX-ов пакеты вижу, но на LAN-интерфейсах (на "выходе") их нет.

Меняю AH на ESP - всx ОК.

Подскажите...

zar0ku1

все равно убитая кодировка

idelta

Схема Site2Site + важный момент : LAN+WAN на RemoteBOX-е = bridge0 :

SmallOfficeLan <-> LAN-RemotePFBOX-WAN <-…-> WAN-MainPFBOX-LAN <-> MainOfficeLan

Поднимаю IPSEC (ESP) между WAN-WAN : всx работает.
"Видно" по скорости, что часть мощностей тратится на (де)шифрацию.
Меняю ESP на AH (скорость очень нужна) - не работает.

Status -> IPSEC : туннель есть.
Status -> System Logs -> IPSEC VPN : всx нормально.
Diagnostic -> Ping (с обеих PFBOX-ов from WAN интерфейс) -> ...хосты в "удалxнном" офисе.
Все ping-и проходят нормально. Связи LAN2LAN нет.

Делаю Firewall ->Rules -> ...Pass , any, any + log.
tcpdump-ом вижу ICMP-request-ы (с AH), но нет reply.

То есть "внутри" PFBOX-ов пакеты вижу, но на LAN-интерфейсах (на "выходе") их нет.

Меняю AH на ESP - всx ОК.

Подскажите...

obormotoff

@idelta:

Схема Site2Site + важный момент : LAN+WAN на RemoteBOX-е = bridge0 :

SmallOfficeLan <-> LAN-RemotePFBOX-WAN <-…-> WAN-MainPFBOX-LAN <-> MainOfficeLan
.................................
То есть "внутри" PFBOX-ов пакеты вижу, но на LAN-интерфейсах (на "выходе") их нет.
Меняю AH на ESP - всx ОК.
Подскажите...

AH  не работает при НАТе из-за попыток обработки заголовков пакетов с адресами вне конверта