April 30th, 2011

A-A-A

FreeBSD: IPv6, gif0 (tunnel) и неработа после перезагрузки.

Есть раутер на FreeBSD 8.2 с подключением к IPv6 через туннель всё к тому же HE. Всё настроено как обычно:

ipv6_enable="YES"
gif_interfaces="gif0"
gifconfig_gif0="<my-ipv4> 216.66.80.26"
ipv6_ifconfig_gif0="2001:470:1f08:<hidden>::2 2001:470:1f08:<hidden>::1 prefixlen 128"
ipv6_defaultrouter="2001:470:1f08:<hidden>::2"

Всё работает, пингуется, проблем нет. Перезагружаем раутер, судя по консоли все настройки прописываются нормально. Но IPv6 “наружу” не работает. Даже СВОЙ конец туннеля не пингуется. Внутренняя сеть, однако, работает. А наружу — никак. Тишина. Причём не No route to host а именно тишина — таймауты. Если подождать ничего не делая (!) минут 15-20 — всё начинает работать и работает до следующей перезагрузки. При этом, по IPv4 HE'шный конец туннеля пингуется сразу, конечно.

Я бы грешил на туннель от HE, если бы пинговался хотя бы локальный конец туннеля. Но не пингуется даже он. Вообще.

Я пробовал ставить deafult route не на адрес а на интерфейс. Картина та же самая.

В чём может быть дело? Я себе уже весь мозг сломал :(

  • dil

Неведомая фигня SSLная

Имеется корпоративная локальная сеть с приватными IP за натом. Где-то в районе соединения её с внешним интернетом стоит неизвестного типа файрвол с неизвестными настройками (в том смысле, что мне пока не удалось узнать подробности), но похоже, что он осуществляет какую-то высокоинтеллектуальную фильтрацию по содержимому сессий или отдельных пакетов.

В целом этот файрвол пропускает наружу соединения на 443 и 22 порты, и обычно они работают.

Но однажды обнаружилось, что соединения по https/ssh/scp с одной машины (CentOS 5.5) иногда устанавливаются очень не с первого раза. Причём TCP-соединение устанавливается нормально, а SSL поверх него - отваливается по таймауту. И этот эффект как-то зависит от серверов: с некоторыми серверами всегда всё нормально, с некоторыми получается со второй-третьей попытки, с некоторыми всегда стабильно виснет.

А с другой машины (ubuntu 10.10) на точно те же сервера через тот же NAT и файрвол всё работало. Пока её не проапгрейдили до до 11.04, после чего ssh с внешними серверами работать вообще практически перестал (с внутренними всё прекрасно, так что дело, очевидно в файрволе). Выглядит это так: Collapse )

tcpdump, запущенный с обеих сторон, показывает, что начиная с некоторого момента пакеты между клиентом и сервером начинают исчезать в никуда.
Но примерно одна из двадцати попыток оказывается удачной, соединение устанавливается, хотя потом довольно быстро виснет. Прямо как тут.

Вопрос: чтО в ssl/ssh-клиенте может так загадочно влиять на файрвол? Может, это в новой версии клиента добавились какие-нибудь алгоритмы шифрования/хэширования? Тогда можно ли их поштучно отключать какими-нибудь параметрами?