On 24.04.2015 08:09, Golub Mikhail wrote: >>> В pfsense есть два параметра: >>> net.inet.ip.pfil.inbound: pf >>> net.inet.ip.pfil.outbound: pf >>> >>> На 10.1, 9.3, 8.4, 7* - таких oid-ов нет. >> >> Судя по названию, эти оиды регулируют порядок или необходимость >> запуска pfil хуков на input/output. Т.е. к сути дела не имеют. > > Экспериментально проверил, что имеют (могу ошибаться). > Когда выполнил команду - пакеты в ipsec-туннель перестали заворачиваться. > sysctl net.inet.ip.pfil.inbound=""
Могу предположить, что таким образом вы убрали пакетный фильтр с обработки входящих пакетов. Пару лет назад andre@ кажется предлагал подобные патчи, где можно было через sysctl выбирать порядок в котором будут вызываться фильтры. Но тогда они не нашли сторонников, или реализация была неочень. В pfsense видимо нашли. >> А есть у вас возможность попробовать head/? > > Скачал вчера, пробую. > >> По сути вам нужно включить filtertunnel, настроить filter_mask так, >> чтобы исходящий пакет отправлялся в NAT до инкапсуляции, а входящий >> после отрезания внешнего заголовка (см. if_enc(4)). > > В pfsense net.inet.ipsec.filtertunnel=0 У них там и реализация AES-GCM есть в ipsec, и strongswan патченный для этого. Ещё и ipsec можно включать через sysctl. eri@ ещё полгода назад хотел это всё в базу внедрить. Даже от FF был грант прошлой осенью про IPSec. Но что-то не задалось у него... -- WBR, Andrey V. Elsukov
