----------
> From: Victor L. Belov <scream@zenon.net>
>
> > Есть такой проблем : приложение a-la VPN, клиентская часть на
> > Win95 dialup-e в Зенон или ROL - без разницы. Сервер - у другого
> > провайдера. UDP, TCP между ними ходит без проблем. Проблема
> > возникает когда сервер шлет клиенту пакет с протоколом IPIP.
> > Один из роутеров провайдера возвращает серверу ICMP net
> > unreachable. При просмотре IPIP пакета внешние заголовки
> > совершенно нормальные, никаких опций. Во внутреннием IP пакете
> > src адрес действительно не очень хороший. Подозрение на
> > тот роутер - зачем ему смотреть что внутри пакета ? Роутер -
> > Cisco 3640 IOS 11.2.17p ip-only. Известно что это приложение
> > не работает когда посредине туннель. Насколько я распросил -
> > конфигурация без всяких наворотов.
>
> Только из этого нифига не понятно кто присылает unreach.
> Скорее всего где нибудь по пути (но не у нас) стоит acl в котором
> не permit ip а что то более конкретное.
Это понятно из того, что показывает снифер. ICMP шлет
имеено роутер их провадера - не ваш.
> > Есть ли такие проблемы и как можно решить без смены
> > провайдера ? Может баг какой в IOS или командочка есть,
> > отшибающая все попытки смотреть внутрь IPIP ?
>
> Я сомневаюсь вообще что он туда смотрит.
Тем не менее когда я попросил спросить роутер куда бы
он послал пакет с вашим адресом, ответ был верный, а когда
его спросили что такое 128.0.0.x (src адрес encapsulated пакета)
он сказал что не знает. Я больше никак не могу объяснить
прохождение UDP и запор на IPIP. Разве что фильтром
типа permit ip, udp. Но imho в этом случае был бы не net unreach,
а что-то более другое.
Видимо пока я не стребую посмотреть (если дадут) конфиг,
ничего не станет ясно.
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
