Tous, et surtout les MK-fans, J’expose ce problème car c’est intéressant techniquement (=j’ai « perdu » 3h dessus), mais je n’espère pas avoir de réponse claire :)
Contexte: CPE Mikrotik avec un FTTH en PPPoE, qui fait le NAT Un firewall Sophos sur le LAN Problème: le Sophos n’arrive à monter un tunnel IPSec (initialisation en UDP 500) Observations: -si je regarde la table conntrack du MK, je vois bien l’UDP 500 venant du Sophos vers l’endpoint du Tunnel, mais pas de réponse au paquet -si je prends une trace sur le PPP, je ne vois pas l’UDP 500 envoyé par le Sophos! -donc je me dis: ok le MK filtre, je prends la trace sur le port LAN, et là non plus, je ne vois pas l’UDP 500 envoyé par le Sophos…. Après beaucoup de temps et une coïncidence heureuse (pour une fois), j’en viens à me demander si j’ai pas un problème de MTU sur le PPPoE. MTU négocié à 1480 alors 1460 est le max, j’ai donc une plage possible de quelques paquets qui seront droppés sans être frag. Je modifie le MTU à 1460 et là: -le tunnel monte -je vois les paquets entrants sur le LAN sur mon tcpdump Donc il semble y avoir une situation qui fait que le sniffer intégré d’un MK ne va pas montrer des paquets ingress parce qu’ils sont droppés en egress. De la pure folie :) Après, je ne sais pas exactement où le sniffer Mikrotik fait son tapping, mais c’est clairement pas tout à fait au niveau du port ethernet ou du bridge…. Si quelqu’un a un début d’explication, soit du problème, soit de ma sénilité, je suis preneur! David --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
