enc0을 통한 PING 오류: 조각이 필요하고 DF가 설정되었습니다(mtu = 0).

tag-icon tag-icon openbsd ping nat ipsec
enc0을 통한 PING 오류: 조각이 필요하고 DF가 설정되었습니다(mtu = 0).

원격 호스트에 연결하기 위해 ipsec VPN 클라이언트를 사용하고 있습니다. 원격 호스트는 하나의 IP 주소만 허용하므로 로컬 네트워크에 대해 enc0에 nat를 설정했습니다. IPsec 호스트에서 Ping이 제대로 작동합니다.

PING 172.20.162.150 (172.20.162.150): 56 data bytes
64 bytes from 172.20.162.150: icmp_seq=0 ttl=252 time=2.597 ms

그러나 로컬 네트워크에서의 ping은 실패합니다.

PING 172.20.162.150 (172.20.162.150) 56(84) bytes of data.
From 192.168.1.5 icmp_seq=1 Frag needed and DF set (mtu = 0)

enc0의 MTU = 0이며 변경할 수 없습니다.

netstat -i
Name    Mtu   Network     Address              Ipkts Ierrs    Opkts Oerrs Colls
enc0    0     <Link>                              29     0       29     0     0
enc0    0     172.25.41.1 172.25.41.10            29     0       29     0     0

pf.conf에서 matte를 사용해 보았지만 도움이 되지 않았습니다.

match in on enc0 scrub (no-df max-mss 1300) 
or match in all scrub (no-df max-mss 1300)

sudo ifconfig enc0 mtu 1452는 다음을 반환합니다.

SIOCSIFMTU: Inappropriate ioctl for device

불행히도 솔루션 옵션이 없습니다 (((

이해에 도움이 될 수 있는 기타 설정:

172.20.162.150 - remote host
172.25.41.10 - local ip for enc0 (only this ip accepted by 172.20.162.150)
192.168.1.0/24 local net and 192.168.1.5 ip of my host for local net

/etc/hostname.enc0
inet 172.25.41.10 255.255.255.255
up
!/sbin/route add -host 172.20.162.150 172.25.41.10

/etc/ipsec.conf
ike esp from 172.25.41.10/32 to 172.20.162.150/32 peer 80.*.*.132 \
    main auth hmac-sha1 enc aes-256 group modp1024 lifetime 86400 \
    quick auth hmac-sha1 enc aes-256 group modp1024 lifetime 3600 \
    psk ***********

/etc/pf.conf
pass from 172.20.162.150 to any
pass out quick on enc0 from <localnet> to 172.20.162.150 nat-to enc0 keep state (if-bound)

tcpdump for ping from local net for internal net if
192.168.1.13 > 172.20.162.150: icmp: echo request (id:777a seq:5) [icmp cksum ok] (DF) (ttl 64, id 30758, len 84)
192.168.1.5 > 192.168.1.13: icmp: 172.20.162.150 unreachable - need to frag [icmp cksum ok] (ttl 255, id 44410, len 56, bad ip cksum 0! -> 8ae7)

tcpdump for enc0 is empty.

Statistic for nat from pfctl:
sudo pfctl -s state | grep 172.20.162.150
all icmp 172.20.162.150:8 <- 192.168.1.13:30586       0:0
enc0 icmp 172.25.41.10:61751 (192.168.1.13:30586) -> 172.20.162.150:8       0:0

비슷한 문제를 겪은 사람이 있고 제 시간에 해결할 수 있습니까?

관련 정보