[Lug-bg] UDP packet mangling
Опитвам се да изиграя следния сценарий: Хостове, зад NAT, които ползват udp да изпращат/приемат esp/ike. Всичко е наред с конфигурацията на vpn-ите, но устройствата са мобилни(през hsdpa). А постоянното пращане на DPD/keep-alive пакети изтощава много бързо батериите. Иска ми се да изпробвам reverse keep-alive. Ето какво имам предвид. 1.Клиент-а, който е зад НАТ отваря сокет към сървъра. Src port = 4500. Nat src port = random high. Dst port 4500. 2.Сървъра приема, аутентикира и установява тунел. Започва да праща обратно пакети на външното ип на router-a със src port = 4500 и predefined random high. 3. Ключът тук е в това, че пакетите са с фиксиран TTL, който е калкулиран така, че да спира пакета преди да стигне клиента.(пакета умира на gateway-a) 4. А пакетите са dummy. Приемаме, че рутера с НАТ-а е с фиксиран udp hole punch от 120 секунди. Ако се пращат пакети, които не стигат до клиента( = не хабят батерия), те дали ще държат дупката отворена? ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] UDP packet mangling
В 17:35 +0300 на 20.09.2010 (пн), Daniel Ivanov написа: Приемаме, че рутера с НАТ-а е с фиксиран udp hole punch от 120 секунди. Ако се пращат пакети, които не стигат до клиента( = не хабят батерия), те дали ще държат дупката отворена? Много зависи от NAT-а, но ако е на последния hop преди устройството, най-вероятно не, понеже tcp стека поне под linux мисля, че ги режеше преди това. Ако има още един hop навътре след NAT-а, вероятно ще свърши работа. Разбира се, дължината на пътя се променя динамично, той internet-а не е особено статичен :) Пакетът, който може да ти свърши работа е hping2, може да направи в общи линии всякакъв пакет. -- Regards, Vasil Kolev signature.asc Description: Това е цифрово подписана част от писмото ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] UDP packet mangling
Много по-прагматично решение съм измислил. Всички isakmp keep-alives излизат с дължина 29 bytes. Мачвам ги и ги пускам през ТТЛ mangle target-a на iptables и намалявам драстично keep-alive респонса. За интегритет ще оставя DPD negotiations. Мисля да тествам, като закача някакъв ipsec клиент на gprs модем и да виждам с какво ттл пакетите започват да не пристигат на последния хоп(client device), защото пакет дъмпинг-а на телефони още не е това, което ми се иска да е :) На 9/20/2010 6:41 PM, Vasil Kolev написа: В 17:35 +0300 на 20.09.2010 (пн), Daniel Ivanov написа: Приемаме, че рутера с НАТ-а е с фиксиран udp hole punch от 120 секунди. Ако се пращат пакети, които не стигат до клиента( = не хабят батерия), те дали ще държат дупката отворена? Много зависи от NAT-а, но ако е на последния hop преди устройството, най-вероятно не, понеже tcp стека поне под linux мисля, че ги режеше преди това. Ако има още един hop навътре след NAT-а, вероятно ще свърши работа. Разбира се, дължината на пътя се променя динамично, той internet-а не е особено статичен :) Пакетът, който може да ти свърши работа е hping2, може да направи в общи линии всякакъв пакет. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
