@F.R.: Vezmu odzadu. Dospěl jsme k názoru, že v některých routerech IPsec pass fakticky jen nastavuje firewall, zda daný protokol propouštět. Tam, kde hovoří o helperu asi je něco, co se snaží do toho protokolu hrabat, aby prošel přes NAT (např. u PPTP je to nutnost). V případě IPsec asi to mohlo pomoci, pokud strany neuměly NAT-T a používal se IPsec tunel s IKEv1. Když se používá IPsec transport (což je případ i L2TP/IPsec), tak to ten helper spíše rozbije a dneska už snad vše NAT-T umí.
Add ten vtípek s MTU - tak rychle jsem viděl, že pokud zkusí se spojit z domu, tak dojde na VPN bránu první krátký zdvořilostní IKEv1 paket-dva a dál ani ň. Klasický pokus s jeho routerem doma - odnesen jinam, připojen a ověřeno, že přes něj to prochází. Nafasoval i náš router domů, který byl ověřen, žádná změna. Reklamace u ISP - klasická odezva, nám vše funguje, nikdo si nestěžuje. Dobře, vyrobena ukázkový přístup na L2TP/IPSec a předán ISPíkovi, ať si to zkusí. Fatální chyba, v rámci zjednodušení jsem to udělal se sdíleným heslem na IPSec vrstvě, takže posměšný škleb ISPíka, že tohle funguje u něj v síti všude a i od kolegy doma, protože toto se do MTU1500 vejde. Náprava v konfiguraci s certikikáty na IPsec vrstvě, škleb ustal, nefunguje a absolutně netuší proč...
Tak nastoupil obyčejný ping příkaz a pokus, že od kolegy jde normálně pingnout všechny uzly v síti ISP až po první hop uplinku u carriera. Od firmy evidentně pingnout šel také předávácí uzel u carriera i hlavní bod ISP. Pokus opakotán, pingu nastaven 3000 bajtů pyaload a povolenou fragmentací... Od kolegy z domu ping šel až po hlávní bránu ISPíka, uplink už neodpovídal, z vnějšku ping na uplink šel, na bránu ISPíku už ne. Vyslovena hypotéza, že se mi to jeví, jak kdyby měli bordel v MTU na předávací lince. Nastupuje osobní kouzlo kolegy (uranové doly, servis stíhaček, profesionální potápěč, 200 kg živé váhy) a ISP to začal řešit, protože nabídka na společné potápění v nejbližším lomu se nedala odmítnout. :-) Pak přiznal, jak to měl nastaveno.
Asi na to předtím nikdo nenarazil, protože fragmentaci se každý protokol snaží nějak vyhýbat, tak se to nemuselo hodně dlouho nikde projevit. Až na tom IKEv1, které to fragmentovat chce.
S tou fragmentací jsem měl srandu i jinde, ještě o pár let dříve. Také L2TP/IPSec přístup, zde jako koncový ADSL/router byl Draytek. Po něco pokusech zjištěna zrada spočívající v tom, že Draytek neuměl zpracovat fragmentované pakety, pokud přišly v opačném pořadí. A ten nadřazený DSLAM to tak fragmentoval. Zkrátka došel paket s plným MTU1500 a DSLAMu, do PPPoE šlo dostat méně (možná to tenkrát ještě bylo PPPoA nebo PPPoE/A), tak to prvně poslalo ten koncový fragment pár bajtů a pak začátek paketu a Draytek to zahodil. To byla také kouzelná chybička (řešeno tenkrát tak, že se MTU uměle už snížil na straně odesílajícícho serveru, aby to odcházelo fragmentovaná pod 1480 v správním pořadí už celou trasu)....
8 Odpovědí
1790 Zhlédnutí