Re: ADSL + brandvägg nätdesign
Håkan Olsson
ho at rfc.se
Tue Nov 28 10:36:14 CET 2006
On 27 nov 2006, at 20.42, Johan Allard wrote:
> Jag har kört med
>
> pf in all fragment-reassemble
> pf out on pppoe0 max-mss 1300 # har labbat med lite olika värden här
> pf out on sis1 max-mss 1300 # min interna nät
>
> men det kanske är no-df som jag skulle använda istället. Det enda som
> skall gå på utsidan (sis0 i mitt fall) är ju ppp paketen så jag
> undrar om jag skulle sätta något pf trix där också.
Jag hjälpte för en tid sedan en kund med ett aningen enklare problem;
att koppla ihop två byggnader på nivå två, dvs ett transparent
"bryggat" IPsec-VPN över egen fiber.
Saker som märktes snabbt var bl.a inloggningsproblem (M$ fattar
fortfarande inte fragmenterade "inloggningspaket" -- nätprotokoll är
visst svårt...).
Lösningen var att använda fragment-reassemble och no-df:
scrub in on gif0 all fragment reassemble
scrub in on fxp0 all no-df
pass all
fxp0 var bryggans koppling mot "byggnaden", gif0 (bryggat med fxp0)
användes för tunneln, som gick över ett andra fysiskt interface.
IPSec kördes sedan ovanpå gif-tunneln. Det visade sig nödvändigt att
blanda in gif här för att hela konstruktionen skulle bli helt
transparent i nätet...
Efter detta var det inga problem, inget kladd med MTU/MSS etc. Stora
paket gick fragmenterade genom tunneln, men sattes ihop igen ut på
andra sidan.
/H
More information about the BUS
mailing list