A une époque, sur linux, avec freeswan, quand on sniffait une interface sur laquelle on avait de l'IPSEC, on ne voyait que les paquets entrants (ou sortant, je ne me rappelle plus).  Je dis à l'époque, parce que je ne fais plus de choses de ce type. C'est dommage, parce que dans la version précédente, on avait une jolie interface virtuelle ipsec0 bien proprette, sniffable et tout ça.

Le 12/01/2023 à 20:03, David Ponzone a écrit :
Tous, et surtout les MK-fans,

J’expose ce problème car c’est intéressant techniquement (=j’ai « perdu »  3h 
dessus), mais je n’espère pas avoir de réponse claire :)

Contexte:
CPE Mikrotik avec un FTTH en PPPoE, qui fait le NAT
Un firewall Sophos sur le LAN

Problème: le Sophos n’arrive à monter un tunnel IPSec (initialisation en UDP 
500)

Observations:
-si je regarde la table conntrack du MK, je vois bien l’UDP 500 venant du 
Sophos vers l’endpoint du Tunnel, mais pas de réponse au paquet
-si je prends une trace sur le PPP, je ne vois pas l’UDP 500 envoyé par le 
Sophos!
-donc je me dis: ok le MK filtre, je prends la trace sur le port LAN, et là non 
plus, je ne vois pas l’UDP 500 envoyé par le Sophos….

Après beaucoup de temps et une coïncidence heureuse (pour une fois), j’en viens 
à me demander si j’ai pas un problème de MTU sur le PPPoE.
MTU négocié à 1480 alors 1460 est le max, j’ai donc une plage possible de 
quelques paquets qui seront droppés sans être frag.
Je modifie le MTU à 1460 et là:
-le tunnel monte
-je vois les paquets entrants sur le LAN sur mon tcpdump

Donc il semble y avoir une situation qui fait que le sniffer intégré d’un MK ne 
va pas montrer des paquets ingress parce qu’ils sont droppés en egress.
De la pure folie :)
Après, je ne sais pas exactement où le sniffer Mikrotik fait son tapping, mais 
c’est clairement pas tout à fait au niveau du port ethernet ou du bridge….

Si quelqu’un a un début d’explication, soit du problème, soit de ma sénilité, 
je suis preneur!

David


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
--

Thierry


<http://www.ac-clermont.fr>

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à