ну вообще можно и if_enc конечно всегда поднимать и тупо делить на интерфейсы

Так. Комментарий не помог как сигнальый опкод

(хорошо что вирутальные провайдеры консоль дают, а то попрыгал бы я с отладкой файрволла)

так комментарий нельзя вставить в начало

попробуй что-то вроде ttl 1-255

Кстати, "from ... to any" вставить тоже не дало — сказало что option from неизвестна :-)

sh /usr/share/examples/ipfw/change_rules.sh

ttl не узнало!

наверное ipttl?

ну, бессмысленную опцию короче

самое смешное, что даже перенос протокола в конец не помог

ну ты не можешь начать ни с протокола, ни с from-адреса

ipttl снёс ему крышу окончательно

ваще странно, конечно, оно должно брать из ядра флаг костыля и не пытаться преобразовывать во from на показе

10020 0 0 deny ip4 from table(INTv4) to any ipttl 1-255 not table(VPNCLIENTS)

но это вроде подтверждает, что баг в отображении, а не в компиляции

Ну, даёт такую надежду

не, это баг отображения

еще идея: это связано с таблицей не номером

Ну, если отображения, то хрен с ним пока.

Осталось таки написать правильно этот nat! :-)

И, да, есть опция ipsec которая проверяет наличие ipsec-истории. Это то что нужно

их вроде даже две было...

ваще вот скока не встречаю обсуждений ipsec, каждый раз убеждаюсь, что ipsex

зато быстро

и понимаю людей, которые берут чо угодно, кроме него, хоть даже openvpn

просто никто не понимает в достаточной мере как оно работает

openvpn мой вот домашний рутер — 100 мегабит. IPSec туннель — 800 мегабит. При том что рутер — Celeron J3160, извините

просто никто не понимает в достаточной мере как оно работает

а что почитать годного, кстате? (исходники не предлагать)

исходники норм

просто никто не понимает в достаточной мере как оно работает

Ну, кто-то (не ты ли?) рисовал подробный packet flow chart для случая без IPsec, а теперь нужна такая с IPsec, куда пакеты там внури дяра когда перекладываются и где какие хуки дёргаютмсч

нет, исходники - это точка зрения одной конкретной ОС

рисовал я :)

Ну, если отображения, то хрен с ним пока.

надо в функцию print_ip() добавить код, который будет печатать имя опкода, так же как в print_newports(), это должно пофиксить твою проблему.

нет, исходники - это точка зрения одной конкретной ОС

Ну так и взаимодействие IPsec с файрволлом и прочим — это тоже точка зрения одной конкретной OS. IPsec сам по себе простой. А вот как он в ядро вставлен!

вряд ли мне исходники фревого ipsec помогут для циски или скажем микротика

вставлен просто, я отделил его от ядра и теперь всё прозрачно

Что там слождного-nj — найди в табличке настроек (ассоциаций) контекст по маске пакета, расшифруй/зашийруй, передай дальше. Вопросы возникают — куда ДАЛЬШЕ? Какие хуки вызовутся? Как через данный конкретный стек пакет пойдёт второй раз?

И ответы для циски и микротика могут быть разные.

А IPsec один.

В протоколе же не оговорено как оно в системе видно

мне кажется, "Andrey Elsukov, [26.09.18 17:09] просто никто не понимает в достаточной мере как оно работает" растет ногами из него самого

ну я не про себя говорю, я взял и разобрался :)

так тебе под фрю надо было :)

ваще вот скока не встречаю обсуждений ipsec, каждый раз убеждаюсь, что ipsex

Да нет никакого sex с ним.

так тебе под фрю надо было :)

не понятно что именно тебе надо

хочешь понять как криптография происходит?

ну хочу некий обзор размером покороче, чем пачка RFC

http://book.itep.ru/6/ipsec.htm

там ж их наверняка уже пачка-то

и понимаю людей, которые берут чо угодно, кроме него, хоть даже openvpn

Зря, кстати. Без IKE вообще минимум гемора, всё в ядре.

если хочешь разобраться в IKE, вот тут вот действительно пачка RFC

Да, IKE выглядит кривым, как турецкая сабля

ну хочу некий обзор размером покороче, чем пачка RFC

https://www.opennet.ru/docs/RUS/vpn_ipsec/

Свои презентации уже не найду, наверное, да и там вин-специфично

там ж их наверняка уже пачка-то

Основных 4, ipsec, ah, esp, ike

ну IKE служит цели автоматически менять ключи, как я понимаю

Key exchange, кагбе

Оно как раз вынесено из ядра

Strongswan, racoon и т.п.

Ну, если отображения, то хрен с ним пока.

./ipfw show 00100 0 0 count ip4 from table(INTv4) to any not src-ip table(VPNCLIENTS)

./ipfw show 00100 0 0 count ip4 from table(INTv4) to any not src-ip table(VPNCLIENTS)

А это какая версия? 12? потому что на 11-STABLE вот так deny ip4 from table(INTv4) to any not table(VPNCLIENTS) т.е. потерялось слово src-ip

ну это патченный ipfw

./ipfw show 00100 0 0 count ip4 from table(INTv4) to any not src-ip table(VPNCLIENTS)

или, судя по ./ это ты фиксишь :-)

ну это патченный ipfw

Ага, я уже догадался

ERROR: S client not available

Ну, это выглядит коряво, но при этом семантически верно

Основных 4, ipsec, ah, esp, ike

https://wiki.strongswan.org/projects/strongswan/wiki/IpsecStandards :)

Основных, сказал же

надо им завести https://powerdns.org/dns-camel/

вот бы в /etc/ или /usr/share/examples иметь пример для ipsec

хотя там в основном примеры вообще так-себе

Уфф. Получилось наконец. Последний час я удивлялся почему пакетов в out-ветке не вижу. Ага, а кто рутинг будет разрешать? :-)

Осталось ресолвер поставить что бы не на 8.8.8.8 клиентов отправлять и, может бы, IPv6 добавить хотя, кажется, Android по IKEv1 IPv6 получаеть не хочет.

Надо попробовать. Так-то у меня strongswan на андроиде

@blacklion79 r338947

А что-нибудь менялось в очень свежем 12 с kernel nat? У меня редирект порта перестал работать

Т.е. есть вот такое: nat 1 config ip 94.19.235.70 same_ports redirect_port tcp 192.168.134.2:22 22222

И я НА ВНУТРЕННЕМ инетрфейсе вижу попытки коннекта к 192.168.134.2:22 С ВНЕШНИМ IP

Т.е. без NAT

Брр.

Бред какой-то.

@blacklion79 r338947

Отично! Спасибо!

Блин. Куда-то default gateway продолбалсо, disregard моё про redirect

А никто с pf не заморачивался? Вот у меня есть два интерфейса, есть ntpd, запрос приходит на интерфейс два, а он отвечает на интерфейсе одын. Как его приучить хорошо себя вести?

Как я понимаю весь вопрос в том, что при использовании UDP все ответы идут по default route, пусть даже и адрес указан другой…

всем, кто помогал мне, огромне спасибо

Надо попробовать. Так-то у меня strongswan на андроиде

я там пример кидал, он умеет и strongswan, и родной андроид. в теории, может и ios

всем, кто помогал мне, огромне спасибо

честно, я удивлён количеству боли :(

честно, я удивлён количеству боли :(

Ну, я начал с того, что взял древнюю версию FreeBSD а закончил тем, что роутинг забыл включить :-) Без этого боли было бы гораздо меньше

зато несколько багов исправили :)

зато несколько багов исправили :)

Ну, всё же косметических! :-)

ещё в tcp_input остался KASSERT

ещё в tcp_input остался KASSERT

Это уже когда gif/gre. Я вижу, вы там обсуждаете

Как я понимаю весь вопрос в том, что при использовании UDP все ответы идут по default route, пусть даже и адрес указан другой…

ntpd биндится отдельно на каждый ip поэтому может определить на какой IP пришёл запрос и ответить с того же IP. Если он так не делает, то скорее всего это баг.

ещё в tcp_input остался KASSERT

А вот что делать с падением в туннельном режиме (231659) я не знаю :-(

Делает и забиндился. В исходящих через интерфейс одын пакетах адрес интерфейса два.

А вот что делать с падением в туннельном режиме (231659) я не знаю :-(

а кто у тебя там бпф слушает?