Re: [freebsd] l2tp за NAT'ом (без IPSEC)

[Vladislav V. Prodan]

12 апреля 2017 г., 3:38 пользователь Irina Liakh  написал:

> Добрый день всем!
>
> Помогите, пожалуйста, разобраться, или подскажите, если это всем давно
> известно)
>

Смотреть с каким MTU поднялся туннель на обоих концах.
Подбирая пингом размер пакетов, вычисляем  MTU.

На клиенте и на сервере, в конфиге mpd,  не забываем ставить опцию
set iface enable tcpmssfix

На сервере в конфиге mpd, в особо тяжелом случае придется ручками
выставлять что-то подобное:
set link mtu 1464
set link mru 1464





-- 
 Vladislav V. Prodan
 System & Network Administrator
 support.od.ua
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd

[freebsd] l2tp за NAT'ом (без IPSEC)

[Irina Liakh]

Добрый день всем!

Помогите, пожалуйста, разобраться, или подскажите, если это всем давно
известно)

Есть mpd, настроен как клиент, тип линка - l2tp. IPSEC не задействован.
Машина находится в LAN и NAT'ится ближайшим хопом - сервером, имеющим выход
к VPN-серверу.
Туннель поднимается, в логах все ок. Но по туннелю не ходят TCP и UDP
(пинги ходят).  При попытке установить TCP-соединение с этой машины,
tcpdump показывает исходящий SYN, входящий SYN ACK, но исходящего ACK нету,
как будто не воспринимается SYN ACK. Через время повторно уходит SYN и т.д.
С UDP похожая ситуация. Например, если запустить команду "host ...",
tcpdump показывает исходящие DNS-запросы, приходящие DNS-ответы,
но команда выдает:

# host google.com 8.8.8.8
;; connection timed out; no servers could be reached

В качестве NAT'а пробовались pf и ipfw, результат одинаковый.
Если подключить машину не через NAT, то все работает.
Система FreeBSD 10.3-RELEASE-p11 (пробовалась и 11.0), на сервере с NAT'ом -
FreeBSD 11.0.

Почему туннель не работает через NAT?
___
freebsd mailing list
freebsd@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd