[freebsd] l2tp за NAT'ом (без IPSEC)

Oleg V. Nauman oleg at opentransfer.com
Wed Apr 12 16:04:35 EEST 2017 

On Wednesday 12 April 2017 16:17:52 Irina Liakh wrote:
> On Wed, Apr 12, 2017 at 01:10:56PM +0300, Oleg V. Nauman wrote:
> >  Неплохо бы увидеть вывод tcpdump -nvv на обоих сторонах туннеля в это
> >  момент.
> Серверная сторона туннеля мне не доступна. Доступны только клиентская
> и сервер-роутер, который маскарадит клиентскую машину и роутит ее к
> VPN-серверу. Да и смысл смотреть на серверной?

 Для очистки совести.

> К клиенту приходит валидный вроде) пакет, клиентская машина почему-то
> не отвечает.
> 
> Кусочек tcpdump-а (на клиенте) с UDP уже приводила:
> 
> 13:44:39.059956 IP (tos 0x0, ttl 64, id 18546, offset 0, flags [none], proto
> UDP (17), length 56) 10.1.10.35.44223 > 8.8.8.8.53: [udp sum ok] 55910+ A?
> google.com. (28) 13:44:39.122582 IP (tos 0x0, ttl 47, id 31302, offset 0,
> flags [none], proto UDP (17), length 72) 8.8.8.8.53 > 10.1.10.35.44223:
> [udp sum ok] 55910 q: A? google.com. 1/0/0 google.com. A 172.217.20.174
> (44)
> 
> (и так два раза с промежутком в 5 секунд)
> 
> > В принципе даже лучше вместо host использовать telnet 8.8.8.8 53 на
> > клиенте.
> Вот (это на клиенте):
> 
> 13:39:02.631811 IP (tos 0x10, ttl 64, id 17539, offset 0, flags [DF], proto
> TCP (6), length 60) 10.1.10.35.45856 > 8.8.8.8.53: Flags [S], cksum 0xce30
> (correct), seq 3572634596, win 65535, options [mss 1356,nop,wscale
> 6,sackOK,TS val 10769972 ecr 0], length 0 13:39:02.693085 IP (tos 0x0, ttl
> 47, id 61491, offset 0, flags [none], proto TCP (6), length 60) 8.8.8.8.53
> > 10.1.10.35.45856: Flags [S.], cksum 0x6b98 (correct), seq 2114486942, ack
> 3572634597, win 42408, options [mss 1356,sackOK,TS val 660903122 ecr
> 10769972,nop,wscale 7], length 0 13:39:02.993795 IP (tos 0x0, ttl 47, id
> 61713, offset 0, flags [none], proto TCP (6), length 60) 8.8.8.8.53 >
> 10.1.10.35.45856: Flags [S.], cksum 0x6a6c (correct), seq 2114486942, ack
> 3572634597, win 42408, options [mss 1356,sackOK,TS val 660903422 ecr
> 10769972,nop,wscale 7], length 0 13:39:04.992800 IP (tos 0x0, ttl 47, id
> 62832, offset 0, flags [none], proto TCP (6), length 60) 8.8.8.8.53 >
> 10.1.10.35.45856: Flags [S.], cksum 0x629c (correct), seq 2114486942, ack
> 3572634597, win 42408, options [mss 1356,sackOK,TS val 660905422 ecr
> 10769972,nop,wscale 7], length 0
> 
> (и так сэм раз, ну или сколько там у telnet ретраев). Гугль, оказывается, аж
> три SYN ACK подряд шлет, другие опробованные серверы - один.

 SYN+ACK похож на правду, значит еще один вариант - смотреть а не уходит ли 
ACK мимо туннеля или вообще через "левый" интерфейс.

More information about the freebsd mailing list