O que um ISP pode fazer para bloquear o tráfego IPSEC?

Navegue suas respostas
4

De vez em quando, encontramos um problema em que não conseguimos que um túnel VPN IPSEC funcione. Às vezes sabemos que as autoridades locais restringem o uso de IPSEC (por exemplo, Bangladesh) e precisam obter algum tipo de isenção. Outras vezes o ISP muda alguma coisa e a conexão cai (por exemplo, Haiti).

Eu suponho que há um monte de coisas que podem impedir que o IPSEC funcione. Por exemplo, o bloqueio da porta UDP 500 impediria o IKE.

Em vez de procurar uma solução para um problema específico, alguém pode dar uma lista das coisas diferentes que um ISP pode fazer para bloquear o tráfego IPSEC, seja de propósito ou por acidente?

A resposta a esta questão será útil na resolução de problemas, mas também permitirá que os ISPs saibam que coisas específicas precisam ser corrigidas quando não conseguirmos atualizar nossa VPN!

    
por dunxd 22.06.2011 / 18:34

2 respostas

7

Desenho em Capítulo 4 dos Fundamentos da Rede Privada Virtual IPsec os seguintes problemas arquiteturais podem afetar o tráfego IPsec:

  • Firewall não permitindo protocolos obrigatórios
    • ISAKMP (porta 500)
    • ESP (protocolo IP 50)
    • AH (protocolo IP 51)
  • Firewall (ou roteador) que não manipula pacotes IPsec fragmentados, como
    • não respondendo a pacotes inacessíveis ao ICMP - interrompendo a detecção de MTU do caminho

Algumas dessas coisas podem resultar de um ISP introduzindo um novo equipamento que, por padrão, faz uma das opções acima (o bloqueio do ICMP-Unreachable parece uma configuração padrão provável). Eles podem não perceber que precisam corrigir esses problemas para oferecer suporte a seus clientes que usam IPSEC - e isso pode não afetar todos os seus clientes.

    
por 20.09.2011 / 15:50
5

Não há muito que possamos fazer para responder a essa "pergunta" - eles podem bloquear o IKE, bloquear protocolos de encapsulamento L2TP / GRE / outros, bloquear qualquer pacote que pareça estar usando o ESP / AH, etc

- A lista exaustiva de como as coisas podem ser quebradas é (geralmente) infinita: sem detalhes de como suas VPNs estão configuradas e uma quebra específica para solucionar problemas, é quase impossível dar a você muito mais detalhes do que os acima, embora eu Certifique-se de que outras pessoas podem listar quebras específicas que encontraram e como foram resolvidas ...

    
por 22.06.2011 / 20:05

Tags

SSH reinicia e mata instâncias? o roteador cisco perde a configuração ao recarregar mesmo depois de salvá-lo