у кого-нибудь есть идеи по такой ситуации:
машинкаСерая(тостер от зухеля, серый внешний динамический ipv4) соединена по ipsec с машинкойБелой(миникомп, белая внешняя динамика ipv4 и ipv6). хотя на серой машинке снаружи серая динамика, но внутри- вполне себе серая статика, так её и видит машинка белая, а следовательно(в теории) серой машинке(и локали за ней) можно отдать ipv6-адрес из ipv6-сети белой машинки. но как это сделать? фейс enc0 не имеет адреса, он не желает залазить в бридж с локалью, на нём не желает работать rad, так как тогда туда отправить RA?
если загнать только фейс локали в бридж, и выставить link2- в надежде, что всё с локали посыпится на ipsec(хотя в мане указан isakmpd, а у меня iked, но врядли это принципиально), то tcpdump на enc0 показывает, что ничего не сыпется :\ и дабы два раза не вставать: kern.ipc.maxsockbuf, на который ссылается ман unbound- это нынче net.bpf.maxbufsize? а то у меня unbound заикается(или из-за него и tor'а заикается всё в целом) под нагрузкой, причём увеличение лимита файлов не помогает(и для tor, и для unbound. но хотя бы перестали сыпаться явные сообщения о нехватке дескрипторов), в статистике по udp всё равно вот такая гадость:
201058 dropped due to no socket
335376 broadcast/multicast datagrams dropped due to no socket
по tcp тоже дропа прилично, но это, опять-таки, может быть unbound(тотально юзается DoT, а он по tcp) с tor'ом. прежде не приходилось глубоко копать, потому не знаю на что смотреть и куда крутить
|
