VS
я почти уверен, что проблема в аксес листе с icmp
Size: a a a
2020 June 27
ИZ
Що? Илюх ты бредешь:)
расскажи свой опыт дебага? мой состоит в том что дебаг вываливает тебе тонну бессмысленного мусора, ты сначала пытаешься пролистывать ища знакомые слова или ошибки, потом грустишь и лезешь сверять конфиги потому что ничего там не нашел
J
я почти уверен, что проблема в аксес листе с icmp
+1
ИZ
вспомни как дебажить оспф, если не совпали таймеры, тебе прямо логе он и напишет что у тебя настроены такие таймеры, а сосед тебе присылает другие, ты фиксишь и счастливый идешь пить чай
AK
я почти уверен, что проблема в аксес листе с icmp
Не совсем. По умолчанию включена "sysopt connection permit-vpn", что "пропускает" трафик из vpn туннеля в обход ACL на outside интерфейсе. Чтобы было веселее, по умлочанию, в global_policy отключена инспекция icmp - https://community.cisco.com/t5/security-blogs/cisco-asa-and-icmp-inspection/ba-p/3773485 .
А
A K
Не совсем. По умолчанию включена "sysopt connection permit-vpn", что "пропускает" трафик из vpn туннеля в обход ACL на outside интерфейсе. Чтобы было веселее, по умлочанию, в global_policy отключена инспекция icmp - https://community.cisco.com/t5/security-blogs/cisco-asa-and-icmp-inspection/ba-p/3773485 .
Ну в глобал полиси я добавлял инспекцию icmp, если говорить о моих мытарствах)
NK
Дано: есть сети где дропаются фрагментированные IPv6 пакеты.
Подозрение: админ этой сети не просто же так это сделал?
Вопрос: Судя по табличке из презы, чем больше и корпоративней сеть, тем выше шанс на дроп. Это новый тренд в безопасности?
https://www.cmand.org/workshops/202006-v6/slides/2020-06-16-xtn-hdrs.pdf
Подозрение: админ этой сети не просто же так это сделал?
Вопрос: Судя по табличке из презы, чем больше и корпоративней сеть, тем выше шанс на дроп. Это новый тренд в безопасности?
https://www.cmand.org/workshops/202006-v6/slides/2020-06-16-xtn-hdrs.pdf
I
конечно, не просто так
I
нормальные приложения не формируют такие чанки данных, которые не влезут в одну IP-датаграмму
I
а инспектить чанк, который лежит в одной датаграмме, намного удобнее, чем когда его брызги прилетают в разное время, да еще и, возможно, на разные инспектирующие железки
VG
ID:0
Дано: есть сети где дропаются фрагментированные IPv6 пакеты.
Подозрение: админ этой сети не просто же так это сделал?
Вопрос: Судя по табличке из презы, чем больше и корпоративней сеть, тем выше шанс на дроп. Это новый тренд в безопасности?
https://www.cmand.org/workshops/202006-v6/slides/2020-06-16-xtn-hdrs.pdf
Подозрение: админ этой сети не просто же так это сделал?
Вопрос: Судя по табличке из презы, чем больше и корпоративней сеть, тем выше шанс на дроп. Это новый тренд в безопасности?
https://www.cmand.org/workshops/202006-v6/slides/2020-06-16-xtn-hdrs.pdf
они там ipv6 пакеты по 512 фрагментировали
VG
с учетом гарантированного минимального мту в 1280 фейлы как бы ожидаемы
I
и то верно
I
но есть нюанс: если у тебя чанк 1281 байт, тебе нельзя запретить его порезать пополам
VG
но есть нюанс: если у тебя чанк 1281 байт, тебе нельзя запретить его порезать пополам
вероятно где-то что-то не слишком довольно первым фрагментам с таким размером
А
Кстати, спасибо на инструкцию. Сделал по ней - заработало.
AB
расскажи свой опыт дебага? мой состоит в том что дебаг вываливает тебе тонну бессмысленного мусора, ты сначала пытаешься пролистывать ища знакомые слова или ошибки, потом грустишь и лезешь сверять конфиги потому что ничего там не нашел
В ipsec тоже пишет какая фаза не совпала
ИZ
ну это такое
RK
В ipsec тоже пишет какая фаза не совпала
там четко пишут - с одной стороны такие настройки с другой такие - когда дело в несовпадении
AB
там четко пишут - с одной стороны такие настройки с другой такие - когда дело в несовпадении
Не совсем, когда разные пишет что не совпал spi и всё