Comments | hvostat_hvostat: "IPsec для любознательных, ч.2 ответы на вопросы"

hvostat_hvostat

"IPsec для любознательных, ч.2 ответы на вопросы"

Apr 13, 2020 15:11

Ровно неделю назад написал вот этот псто.

Большое спасибо всем за ответы! Много очень толковых мыслей. Я прям очень-очень рад, что читатели такие умнички!
Отдельное огромное спасибо уважаемым klink0v и vovin.

Так вот, по завершению дебага, выяснилось, что ларчик открывался крайне хитрожопо и весьма неожиданно.

( И как же открывался ларчик? )

дебаг, ipsec, делюсь опытом, безопасность, сеть, juniper

Comments 24

her_shadow April 13 2020, 12:26:10 UTC

Учёно!

hvostat_hvostat April 13 2020, 15:51:03 UTC

А то!

ext_5102857 April 13 2020, 12:55:46 UTC

У вас недюжинное терпение!

В тот момент, когда я увидел, что дело связано с фрагментацией IKE пакетов, я бы просто подрезал MTU на внешнем интерфейсе.

hvostat_hvostat April 13 2020, 12:56:47 UTC

>У вас недюжинное терпение!

У меня аутизм в лёгкой степени, нерешенные задачи оставляют у меня ощущения шила в заднице.

>я бы просто подрезал MTU на внешнем интерфейсе

... и это бы не помогло.

ext_5102857 April 13 2020, 14:36:35 UTC

Логично. Размер запроса IKE не уменьшится от урезания MTU.

Но провайдер, у которого инженеры способны на подобное вызывает у меня сильнейшее желание его поменять.

hvostat_hvostat April 13 2020, 14:38:38 UTC

Ну вот такой вот веселый аплинк.

Могу процитировать слова, которые мне инженер провайдера сообщил:
"ну этот аплинк активно борется с дос атаками.. видимо что-то экспериментирваоли"

Thread 5

termsl April 13 2020, 13:16:49 UTC

Ну как бы эта прописная истина- настроить мту в тоннельном интерфесе через ван так, чтобы не было фрагментации, иначе в большинстве случаев тоннель не поднимется.

hvostat_hvostat April 13 2020, 13:22:30 UTC

Перечитай еще раз плиз внимательно.

МТУ в тоннельном интерфейсе тут СОВЕРШЕННО непричём.

termsl April 13 2020, 15:18:18 UTC

Не в тоннельном, а в WAN, притом этот MTU должен быть меньше обычного на величину навесок ipsec, минус 28 что ли байт, особенно это у сотовых операторов заметно.

klink0v April 13 2020, 18:09:02 UTC

Не поможет. Пакеты по 1500 байт там бегают без фрагментации в обе стороны. Мы это в первую очередь проверили.

Thread 9

masterspammer April 13 2020, 13:25:28 UTC

Максимум влипал в фильтр по MTU, правда, осложнявшийся ещё и тем, что не удавалось продуктивно пользоваться поиском (решил обзвоном народа, благо суббота была).

hvostat_hvostat April 13 2020, 13:34:51 UTC

MTU не равный 1500 - это аккордеон.

А тут прям новшество.

masterspammer April 13 2020, 14:05:17 UTC

(Так это и не вчера было).

Новшество вредное, да.

klink0v April 13 2020, 18:10:11 UTC

"Новшество?" Два раза в это "влетал".

Thread 5

kvazimoda24 April 13 2020, 21:41:30 UTC

Блин, но те, кто такие фильтры ставит, пидарасы.

hvostat_hvostat April 13 2020, 21:57:13 UTC

Можно даже сказать "грязные пидоры" и не ошибиться!