ipsec pres GPRS
David Rohleder
davro na ics.muni.cz
Pondělí Říjen 14 15:11:20 CEST 2002
daemon na nospam.exe (Petr Vejsada) writes:
> Hello AB!
>
> Monday October 14 2002 13:37, you wrote to me:
>
> A> No ja bych videl problem v tom, ze tam spis nebude povoleny ESP
> A> nebo
> A> AH protokol jako takovy, takze to nejakym fixlovanim s flagy asi
> A> neklapne. Nicmene treba Cisco VPN client (mel by byt i pro linux)
>
> Je pravda, ze to nemohu vyloucit (Eurotel poskytuje sluzbu VPN za
> penize), nicmene ESP pakety z mobilni stanice na security gateway
> dorazi, obracene uz ne (stejne jako vsechny ostatni pakety se SYN
> flagem a bez FIN flagu, ktere navazuji nove spojeni). Neni mi presne
> jasne, jak je to s temi ESP pakety, tcpdump vypisuje jen ze ESP paket,
> SPI= a sequence=; zadne flagy. Domnivam se, ze i ESP pakety maji flagy
> jako SYN,ACK,FIN a ze kazdy ESP paket se tvari jako nove spojeni
> (SYN=1,FIN=0), pak by tedy mohlo stacit toto zmenit a pres firewal by
> to mohlo prolezt.
A ta domnenka jse zalozena na jakych predpokladech? SYN,ACK a FIN jsou
priznaky pro TCP. V ESP nic takoveho IMHO neni.
> Na obou stranach je Freeswan 1.97. Nicmene stejne
> nevim jak to udelat, takze pokud se nenajde dobra duse ktera by me k
> tomu navedla, asi zustanu u ssh a pri potrebe tunelu holt vytocim
> spojeni jako dialupem.
Co zkusit to protahnout ipip tunelem?
>
> A> proti Cisco VPN concentratoru umi tunelovat ipsec skrz UDP, coz asi
> A> ale neni lacine reseni.
>
> Petr /daemon(zavinac)svoboda(tecka)cz/
>
--
-------------------------------------------------------------------------
David Rohleder davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------
Další informace o konferenci Linux