From: Eugene Grosbein grosbein.net 09 Apr 2020 19:55 +0300
To: Alex Korchmar ddt.demos.su
Subject: if_ipsec(4)
09 апр. 2020, четверг, в 09:21 NOVT, Alex Korchmar написал(а): EG>> на интерфейсах, то можно покрывать обе стороны линка одним префиксом /30 EG>> вместо двух /32. Это становится удобно особенно когда таких линков AK> и потерять четыре адреса вместо двух, что не особенно удобно, когда это public AK> адреса. Для паблик IPv4 неудобно, но контекст тут - туннели, в них обычно приватные адреса, которых не жалко. AK> BTW, а что, freebsd в XXI веке все еще не умеет маску /31 на p2p интерфейсах? Умеет /32 и /30, а /31 я никогда не пробовал, может и его тоже. Вообще самому p2p, как уже было сказано, однохренственно, уверен что /31 можно поставить и будет работать. Eugene -- Чтобы всё как у всех, но чтоб при этом - не так, как они.
From: Alex Korchmar <1187513483@ddt.demos.su> 09 Apr 2020 09:24 +0300
To: Eugene Grosbein grosbein.net
Subject: if_ipsec(4)
From: Alex Korchmar Eugene Grosbein wrote: EG> То есть mtu по трассе через gif-интерфейс будет 1500 и никаких проблем. EG> А "слишком большие" пакеты, которые после инкапсуляции в gif EG> становятс больше 1500 байт, ядро автоматически фрагментирует и а что оно делает с пакетами, на которых стоит df-бит? Очень вот похоже что у клиента с его "очень большими" именно оно. EG> посылает отдельными фрагментами, на на другой стороне собирает обратно EG> и в случае с gif под фрёй это всегда работало безупречно. не у всех рабочие места - "под фрей", а с виндой бывают ньюансы. Особенно когда она не в домене и настраивать ее за пользователя тебе сложно. > Alex
From: Alex Korchmar <1187513482@ddt.demos.su> 09 Apr 2020 09:21 +0300
To: Eugene Grosbein grosbein.net
Subject: if_ipsec(4)
From: Alex Korchmar Eugene Grosbein wrote: EG> на интерфейсах, то можно покрывать обе стороны линка одним префиксом /30 EG> вместо двух /32. Это становится удобно особенно когда таких линков и потерять четыре адреса вместо двух, что не особенно удобно, когда это public адреса. BTW, а что, freebsd в XXI веке все еще не умеет маску /31 на p2p интерфейсах? > Alex
From: Andrey Ostanovsky 2:5030/1957 07 Apr 2020 16:27 +0300
To: Eugene Grosbein grosbein.net
Subject: if_ipsec(4)
Hello Eugene! 04 Apr 20 10:58, you wrote to me: EG> Опция link2 необходима, если от удаленной сети есть два разных EG> пути к нам - например, через два отдельных gif-туннеля, EG> проброшенных через разные аплинки, для резервирования. EG> Без link2 в случае асимметричного роутинга (даже кратковременного) EG> gif в таком случае может дропать входящие пакеты. Это описано в man EG> gif. Спасибо. Вот с link2 не пробовал, а маршрутов - да, обычно больше одного: для этого там quagga запущена... Andrey
From: Eugene Grosbein grosbein.net 04 Apr 2020 13:15 +0300
To: Eugene Grosbein grosbein.net
Subject: if_ipsec(4)
04 апр. 2020, суббота, в 10:58 NOVT, Eugene Grosbein написал(а): EG> Похоже на проблему с MTU и неадекватным фильтром. EG> Я всегда предпочитал дополнительно делать так: EG> ifconfig gif0 inet 192.168.0.1 192.168.0.2 netmask 255.255.255.255 mtu 1500 link2 Очепятка, netmask 255.255.255.252 Хотя собственно для p2p-интерфейсов типа gif никакой разницы между /32 и /30 нету, она есть для пакетных фильтров и для динамической маршрутизации и фильтрации префиксов в ней: если использовать /30 на интерфейсах, то можно покрывать обе стороны линка одним префиксом /30 вместо двух /32. Это становится удобно особенно когда таких линков много - двое более компактные списки доступа получаются. Eugene
From: Eugene Grosbein grosbein.net 04 Apr 2020 09:58 +0300
To: Andrey Ostanovsky 2:5030/1957
Subject: if_ipsec(4)
03 апр. 2020, пятница, в 12:46 NOVT, Andrey Ostanovsky написал(а): EG>> Уж gif-туннель под фряхой всегда был самый беспроблемный: AO> (пользуясь первоапрельской шуткой пожалуюсь) Да сам-то туннель поднять - AO> получается, и коннекты типа ssh по ним работают нормально. Hо вот потребовалось AO> разработчикам какие-то длинные M$-SQL скрипты удаленно запускать, и соединение AO> почему-то рвется с ресетом через некоторый промежуток времени. Перешли на AO> openvpn - стало полегче... Работать локально - они не умеют.:( Похоже на проблему с MTU и неадекватным фильтром. Я всегда предпочитал дополнительно делать так: ifconfig gif0 inet 192.168.0.1 192.168.0.2 netmask 255.255.255.255 mtu 1500 link2 То есть mtu по трассе через gif-интерфейс будет 1500 и никаких проблем. А "слишком большие" пакеты, которые после инкапсуляции в gif становятс больше 1500 байт, ядро автоматически фрагментирует и посылает отдельными фрагментами, на на другой стороне собирает обратно и в случае с gif под фрёй это всегда работало безупречно. Опция link2 необходима, если от удаленной сети есть два разных пути к нам - например, через два отдельных gif-туннеля, проброшенных через разные аплинки, для резервирования. Без link2 в случае асимметричного роутинга (даже кратковременного) gif в таком случае может дропать входящие пакеты. Это описано в man gif. Eugene -- Поэты - страшные люди. У них все святое.
From: Andrey Ostanovsky 2:5030/1957 03 Apr 2020 12:46 +0300
To: Eugene Grosbein grosbein.net
Subject: if_ipsec(4)
Hello Eugene! 01 Apr 20 15:58, you wrote to me: EG> Уж gif-туннель под фряхой всегда был самый беспроблемный: (пользуясь первоапрельской шуткой пожалуюсь) Да сам-то туннель поднять - получается, и коннекты типа ssh по ним работают нормально. Но вот потребовалось разработчикам какие-то длинные M$-SQL скрипты удаленно запускать, и соединение почему-то рвется с ресетом через некоторый промежуток времени. Перешли на openvpn - стало полегче... Работать локально - они не умеют.:( Andrey
From: Andrey Ostanovsky 2:5030/1957 01 Apr 2020 11:18 +0300
To: Victor Sudakov 2:5005/49
Subject: if_ipsec(4)
Hello Victor! 27 Mar 20 19:28, you wrote to Andrew Kant: VS> Как раз в эхотаге туннелирование L2 делается через gif, а не через VS> gre. Может можно и через gre, но пример в bridge(4) именно с gif. Вот как раз начитавшись манов я, в свое время, пытался поднять gif-туннель. Но что-то пошло не так: то-ли руки кривые, то-ли одно из двух. Andrey
From: Sergey Zabolotny 2:469/122.2 29 Mar 2020 22:32 +0300
To: Alex Korchmar <1187513428@ddt.demos.su>
Subject: cisco ipsec
Hello *Alex.* Thursday 26 March 2020 09:02, Alex Korchmar wrote to Sergey Zabolotny: SZ>> тогда мне совсем непонятно к чему мне дали второй кусок конфига от SZ>> другой софтины AK> чтоб ты мог настроить любую по выбору. AK> Это для тебя конфиги, не для их сервера. теперь то уже понятно. изначально я подумал, что сервер поднят на софте, конфиги которого мне дали.
From: Dmitry Ivanov 2:5023/24.3209 28 Mar 2020 16:30 +0200
To: Victor Sudakov 2:5005/49
Subject: if_ipsec(4)
Здравствуйте, Victor. Вы писали 28 марта 2020 г., 21:10:00: DI>> GRE на моей памяти резал какой-о бекбон московский. Причем совершенно DI>> официально. > Они же этим PPTP людям ломали, а это был ещё лет 10 назад очень > распространённый протокол VPN у пользователей винды. И все терпели такое безобразие? Hазвание его ек припомню уже. Он обслуживал каку-то научную сеть из универов и институтов и там в договоре прямо было сказано про это. Что-то вроде "трафик мы вам бесплатно дадим, но GRE низя". Как-так.. -- С уважением, Dmitry