ipsec pres GPRS

[David Rohleder]

daemon na nospam.exe (Petr Vejsada) writes:

> Hello AB!
> 
> Monday October 14 2002 13:37, you wrote to me:
> 
>  A> No ja bych videl problem v tom, ze tam spis nebude povoleny ESP 
>  A> nebo
>  A> AH protokol jako takovy, takze to nejakym fixlovanim s flagy asi
>  A> neklapne. Nicmene treba Cisco VPN client (mel by byt i pro linux)
> 
> Je pravda, ze to nemohu vyloucit (Eurotel poskytuje sluzbu VPN za 
> penize), nicmene ESP pakety z mobilni stanice na security gateway 
> dorazi, obracene uz ne (stejne jako vsechny ostatni pakety se SYN 
> flagem a bez FIN flagu, ktere navazuji nove spojeni). Neni mi presne 
> jasne, jak je to s temi ESP pakety, tcpdump vypisuje jen ze ESP paket, 
> SPI= a sequence=; zadne flagy. Domnivam se, ze i ESP pakety maji flagy 
> jako SYN,ACK,FIN a ze kazdy ESP paket se tvari jako nove spojeni 
> (SYN=1,FIN=0), pak by tedy mohlo stacit toto zmenit a pres firewal by 
> to mohlo prolezt. 

A ta domnenka jse zalozena na jakych predpokladech? SYN,ACK a FIN jsou
priznaky pro TCP. V ESP nic takoveho IMHO neni.

> Na obou stranach je Freeswan 1.97. Nicmene stejne 
> nevim jak to udelat, takze pokud se nenajde dobra duse ktera by me k 
> tomu navedla, asi zustanu u ssh a pri potrebe tunelu holt vytocim 
> spojeni jako dialupem.

Co zkusit to protahnout ipip tunelem?


> 
>  A> proti Cisco VPN concentratoru umi tunelovat ipsec skrz UDP, coz asi
>  A> ale neni lacine reseni.
> 
> Petr /daemon(zavinac)svoboda(tecka)cz/
> 

-- 
-------------------------------------------------------------------------
David Rohleder						davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------