> Skoda jen, ze nerikas, jestli ten ping taky dopadne uspesne prijatou > odpovedi. > A celkove mi nejak uniklo, co presne ti vlastne nefunguje (pokud ten > ping prochazi).
Omlouvam se, situace se ma tak. Z klienta odchazi echo paket, tento paket je videt na internim interface routeru spravne jako prichozi. Na enc0 neni videt zadny paket. Na externim interface jsou videt esp pakety jak chodi sem a tam, tedy mezi externim interface FreeBSD a tim druhym vzdalenym koncem. Ale na internim interface se jiz odpoved na vysilane echo pakety neobjevi. Stejne tak, vysilane echo pakety na externim rozhrani videt nejsou, co znamena ze bud se jim podari nejak dostat do toho tunelu, nebo ze se ztrati jeste nekde na BSD routeru. Nic mene zpet ke klientovi se nevrati vubec zadny paket, tedy ani hlaseni o chybe. > Abych rekl pravdu, IPSECu jsem nikdy neprisel moc na chut' Ano, to ja take ne, ale problem je v tom, ze druha strana lezi v zahranici a ja nemam moznost na druhe strane postavit tunel jinak. :-\ Druha strana je pro mne blackbox, nevim co tam maji za zarizeni. Informace ktere mam k dispozici je stavajici funkcni nastaveni na tom ISA serveru, ktery se pokousim nahradit. > a co je maly problem u statickych zaznamu > (ty proste staticky zapisu jinam, do konfigurace toho IPSEC tunelu), to > je velky problem v pripade dynamickych routovacich daemonu, ktere mi na > nejake IPSEC kaslou a routovat do jednotlivych IPSEC tunelu takhle nejde. V mem pripade staci routovat staticky. Site na druhem konci tunelu znam (dohromady je tam cca 20 ruznych rozsahu). A mozna ze problem bude prave v routovani - mohu se prosim zeptat jake staticke konfigurace pro routovani do IPSEC tunelu mas na mysli? Jak je vyrobit? Treba mi chybi prave tohle... > Takze, kdyz uz jsem nahodou nekde donucen IPSEC pouzivat (jako, ze se > tomu vyhybam) tak zasadne v konfiguraci IP over IP-IP (tj. GIF) over > IPSEC/ESP GIF by byl urcite lepsi, ale protoze neznam IP adresy interniho rozhrani toho blackboxu na druhe strane a v konfiguraci stavajiciho ISA serveru nikde tyto IP napsany nejsou vyplyvami z toho, ze GIF pouzit nemuzu. (ty zpropadene windows to zda se interne resi bez pouziti neceho podobneho jako je GIF) Jeste jednou diky, Pepa. -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
