Re: [ml] Re:CheckPoint VPN-1 attraverso iptables

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Ottobre 2004 ml@sikurezza.org
Soggetto: Re: [ml] Re:CheckPoint VPN-1 attraverso iptables
Mittente: Fabio Panigatti
Data: Thu,  7 Oct 2004 15:19:49 +0200 (CEST)

> Provato e riprovato qualsiasi cosa: nat-t, visitor mode Nat fisso sul 
> firewall... nada nisba nix null

Ma hai provato a catturare il traffico per vedere che cosa succede in
rete e in quali fasi ike? Direi che e' tra le prime cose da fare. 

> al che ho chiamato telecom che dopo 40 minuti di controlli (previ altri 
> 40 minuti per beccare il numero giusto: sono stato fortunato) hanno 
> giurato e stragiurato che il Cisco 7120 non  ha impostato nulla di 
> nulla che possa disturbare il mio traffico.

Verifica che non ci siano problemi di MTU e frammentazione (accade con
certificati corposi e filtraggi draconiani lungo i router e/o firewall
sulla strada tra i due endpoint [1]).


Fabio

[1] in particolare, verifica che gli icmp fragmentation needed vadano
    e vengano liberamente tra gli endpoint ipsec, o, addirittura, che
    non ci sia qualcosa che droppi i frammenti tout-court. Sempre che
    sia un problema di questo tipo (es. flag DF settato sui pacchetti
    che portano i certificati e stupido filtro sugli icmp).

In risposta a:
- [ml] Re:CheckPoint VPN-1 attraverso iptables, Riccardo Ghiglianovich

Data:
- precedente: Re: [ml] Integer overflow, twiz
- successivo: Re: [ml] Redirect., Dario Lombardo
- indice

Argomento:
- precedente: Re: [ml] Re:CheckPoint VPN-1 attraverso iptables, Riccardo Ghiglianovich
- successivo: [ml] Protezione di un db Access 97 mediante utenti e gruppi di lavoro, borzoi
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005