RK
Сначала приходит пакет у него в заголовке ip роутера - и трафик попадает а input
Size: a a a
2020 February 19
E
..а вот сейчас будет интересно :)
RK
Перед local process есть проверка на наличие IPSec
RK
Policy
B
Прероутрнг
B
Этому ли роутеру )
B
Инпут айписек ли это
RK
Если попадаем под политику - далее уже счищаем заголовки IPSec и идём по кругу
B
И в прероутинг после декриптв
RK
Уже с исходными заголовками
RK
В целом вот норм картинка)
VP
Сначала приходит пакет у него в заголовке ip роутера - и трафик попадает а input
Для простоты давайте возьмем пинг с самого роутера с соурсом 10.10.10.1 т.е. попадающий в политику. Правильно ли я понимаю схему, по которой в аутпуте можно будет увидеть пакет с аутинтерфессом ether1(интернет)?
VB
@Prislonsky , вы уже рассказывали про ту непонятку с нормальным хождением при наличии ната?
B
Только после принятия решения о маршрутизации роутер будет знать аут интерфейс
B
До route adjustment не знает
B
После знает
VP
@Prislonsky , вы уже рассказывали про ту непонятку с нормальным хождением при наличии ната?
Да, но Князев пока ответ не дал. Потому выношу на обсуждение сюда. НАТ работает ншатно. Вопрос в месте маршрутизации.
RK
Ты попадаешь под политику, далее идёт добавление нового ip - те которые в политике. Главный шаг в output указать src-ip или фейковый маршрут
VB
но out интерфейс для инкапсулируемого трафика не важен