vpn "prawie" dzialajacy...

[Paweł Sikora]

On Monday 05 October 2009 13:06:07 Paweł Sikora wrote:
> Dnia 05-10-2009 o 13:01:35 Maciej Świniarski <maciej w task.gda.pl>
> 
> napisał(a):
> > Dnia Mon, 05 Oct 2009 12:00:24 +0200
> >
> > Paweł Sikora <pluto w agmk.net> napisał(a):
> >> chetnie wyslucham porad, co jeszcze moglbym sprawdzic i przetestowac
> >> z poziomu laptop, lub pld, aby dotrzec do sedna problemu.
> >
> > tcpdump i sprawdzaj na obu interfejsach co przechodzi a co nie ..do
> > tego jesli masz policy DROP to powinienes dodac -p esp -j ACCEPT
> > -p ah -j ACCEPT na forwardzie
> 
> tak, mam drop na forwardzie i przepuszczanie establiszed/new w odpowiednich
> kierunkach i tak to przedtem dzialalo. z tego co patrzylem iptstate-m
> to na bramce jest tylko zestawione polaczenie do firmy na port ipsec-a.
> byc moze zrobili jakis "upgrejd" i moj firewall jest problemem.
> sprawdze to -p esp/ah wieczorem.

za wiele tcpdump mi nie powiedzial. na interfejsie bramki do ktorego
jest przypiety laptop beigaja pakiety UDP-encap z roznymi SPI pomiedzy
ip 192.168.0.2 laptopa, a punktem dostepowym firmy firma.domena.nat-t.
na firewallu w forwardzie nic sie nie lapie na esp/ah. zresetowalem
sobie nawet liczniki i nic nie wpadlo do statystyk dropa, wiec pewnie
nie o przyciete pakiety tu chodzi.