Gateway monitoring

gmn

Доброго времени суток.

Не знаю, это фича, или баг …
В общем, имеем FreeBSD 10.1 и pfsense 2.2.4 amd64
Между ними поднят gif-туннель.
Со стороны pfsense отключил мониторинг шлюза на стороне FreeBSD (т.е. на другом конце туннеля).
И буквально через минуту при отсутствии активности в туннеле доступ со стороны FreeBSD к pfsense по туннелю пропадает.
Если пингануть с pfsense IP FreeBSD на другом конце туннеля - канал поднимается.
В логах ничего об этом.

Такой же канал между двумя FreeBSD ведет себя нормально.
На что влияет в pfsense отключение мониторинга доступности шлюза?

werter

А зачем откл. мониторинг ? С чем это связано?

gmn

@werter:

А зачем откл. мониторинг ? С чем это связано?

Это все тесты … :)
И когда смотрю трафик на интерфейсе icmp мешает ...
Или, скажем, не нужен он.

И второе. Экспериментально выяснил, если на pfsense отключить pf (pfctrl -d), то пакеты со стороны FreeBSD доходят.

misant

Ну вообще ipsec туннель существует пока там есть траффик, это нормальное поведение для данной технологии. Нет трафика - нет туннеля. Пошел трафик - поднимается туннель.

gmn

@misant:

Ну вообще ipsec туннель существует пока там есть траффик, это нормальное поведение для данной технологии. Нет трафика - нет туннеля. Пошел трафик - поднимается туннель.

Где я писал об ipsec? :)
Только gif, чистый gif.

misant

@gmn:

Только gif, чистый gif.

Ну вот почитал утром форум с умным видно. Глаза видимо ещё не протер толком.

gmn

Выяснил.
Проблема в блокировке ipencap.
Если открыть any между хостами - все работает.
Как в pfsense открыть ipencap не открывая any?

werter

Есть такое - http://www.qsl.net/kb9mwr/wapr/tcpip/pfsense.html, http://www.lissyara.su/archive/ipsec_old/
Попробуйте описать эту проблему на англоветке. Если это баг, то возможно, что и пофиксят.