classic.ISPforum.cz

Zdravím, mám problém s IPSEC tunelem. Mám vytvořený tunel MT-MT. Tunel jsem vytvořil dle návodu. Tunel se vytvoří a vše se tváří že je ok.
Na všechny prvky ve vzdálené site vidím - pingnu si na ně. Ale už se na ně nedostanu. Např. RDP nebo nějaká webová služba. Ale není to obecný problém. Na některé PC se dostanu a na některé nikoli (ale pingám na ně).

Čím to může být?

firewall?

To by mi ale nefungovalo ale žádné připojení. Respektive, na PC1 se připojím, ale na PC2 už ne.

Co firewall na PC2 ? atd...

Tady jsem občas mýval problém s velikostí MTU - potom třeba ping projde, ale větší pakety nikoliv. Občas to bývá podpořené fragmentací paketů.

pokud neprojde plná velikost MTU, tak je špatně něco v sítový cestě a tedy chyba.

Každopádně jestli se na jedno PC dostaneš a na druhý ne, tak to někde něco blokuje na 99% je to něco ve windowsech tak jak to tradičně bejvá. Taky to bejvá někdy nějakej antivirák. Typicky nový AVG po instalalci na PC ve většina přepadech zablokovalo dokonce i přístup samotnýho PC do netu což nechápu.

Problém bude spíš s přenosy velkých paketů. Na co se mám podívat, respektive, kde může být chyba ?

a jak si na to přišel? Ten počítač může normálně lítat po netu?

Ano, uvnitř sítě není problém.
Zvláštní je to, že tunel je spojen. S tím není problém. Někdy funguje vše jak má a někdy funguje maximálně ping na PC (nepřipojím se RDP na stanice, servery, intranetové webové aplikace jsou nedostupné, atd ).

U tunelu v Mikrotiku je vetsinou potreba na spravnem interfacu zvolit volbu arp-proxy. Nevim jest-li je to neni potreba i pro IPSEC.

Toto u IPSEC není třeba. Ale i to jsem zkoušel.

No já mám udělaných pár tunelů, a aby to fungovalo, tak vše co jde do tunelu jsem musel maškarádovat, pak to fungovalo. Případně si zmenši MTU co jde do tunelu. chain=forward action=change-mss new-mss=1360 tcp-flags=syn protocol=tcp
out-interface="Jméno tvého tunelu" tcp-mss=1361-65535