sziasztok, $SUBJECT esetén van valakinek itt tapasztalata? Elméletileg sima kliens, de én még sosem láttam, XP-n fut, egy Cisco VASVERZIÓ VPN koncentrátorba fut bele, de ugye közte van a Zorp. Egy elég csúnya dolgot csináltam, mivel úgyis van NAT traversal, packet filter szinten a 4500-as portot is engedélyeztem (igen, mivel nincs meg a partner IP címe, egyelőre mindenhonnan-mindenhova), meg persze a klasszikus 500-ast és persze ESP engedélyezés is megvolt. Azonban még nem volt tapasztalatom a fenti konstellációval. A zorp kernelének van valami tulajdonsága ami miatt nem szereti mondjuk fenti eszközöket? (nehezen tudom elékpzelni, de ki tudja...) Máshol, csak csomagszűrőn működik a dolog, "simán" kimennek. Ügyfelünk partner cége valahol külföldön, címek nem ismertek egyelőre, holnap jönnek először ügyfelünkhöz, úgyhogy ennyi amit össze tudtam szedni. üdv, Ago
On Tue, 2006-02-28 at 19:01 +0100, Deim Ágoston wrote:
sziasztok,
$SUBJECT esetén van valakinek itt tapasztalata? Elméletileg sima kliens, de én még sosem láttam, XP-n fut, egy Cisco VASVERZIÓ VPN koncentrátorba fut bele, de ugye közte van a Zorp. Egy elég csúnya dolgot csináltam, mivel úgyis van NAT traversal, packet filter szinten a 4500-as portot is engedélyeztem (igen, mivel nincs meg a partner IP címe, egyelőre mindenhonnan-mindenhova), meg persze a klasszikus 500-ast és persze ESP engedélyezés is megvolt. Azonban még nem volt tapasztalatom a fenti konstellációval. A zorp kernelének van valami tulajdonsága ami miatt nem szereti mondjuk fenti eszközöket? (nehezen tudom elékpzelni, de ki tudja...) Máshol, csak csomagszűrőn működik a dolog, "simán" kimennek. Ügyfelünk partner cége valahol külföldön, címek nem ismertek egyelőre, holnap jönnek először ügyfelünkhöz, úgyhogy ennyi amit össze tudtam szedni.
a 4500 portot tudja hasznalni TCP-vel es UDP-vel is AFAIK. tcpdump? -- Bazsi
Balazs Scheidler wrote:
Ügyfelünk partner cége valahol külföldön, címek nem ismertek egyelőre, holnap jönnek először ügyfelünkhöz, úgyhogy ennyi amit össze tudtam szedni.
a 4500 portot tudja hasznalni TCP-vel es UDP-vel is AFAIK. tcpdump?
He-he :) Valamit félreértesz, IMHO. Még nincs hiba :) Csak kiváncsi voltam, hogy más használt-e ilyet. Azért köszi a gyors választ. üdv, Ago
Szia! Nos a Cisco VPN nem szereti ha közben ott van a Zorp és az minden félét csinál a csomagokkal. Man-in-the-middle-nek érzékeli... Nekem a Zorp kikerülésébel sikerült csak kiengednem ezt a forgalmat. Üdv Czigi On Tue, 28 Feb 2006 19:01:07 +0100 (CET), Deim Ágoston wrote
sziasztok,
$SUBJECT esetén van valakinek itt tapasztalata? Elméletileg sima kliens, de én még sosem láttam, XP-n fut, egy Cisco VASVERZIÓ VPN koncentrátorba fut bele, de ugye közte van a Zorp. Egy elég csúnya dolgot csináltam, mivel úgyis van NAT traversal, packet filter szinten a 4500-as portot is engedélyeztem (igen, mivel nincs meg a partner IP címe, egyelőre mindenhonnan-mindenhova), meg persze a klasszikus 500-ast és persze ESP engedélyezés is megvolt. Azonban még nem volt tapasztalatom a fenti konstellációval. A zorp kernelének van valami tulajdonsága ami miatt nem szereti mondjuk fenti eszközöket? (nehezen tudom elékpzelni, de ki tudja...) Máshol, csak csomagszűrőn működik a dolog, "simán" kimennek. Ügyfelünk partner cége valahol külföldön, címek nem ismertek egyelőre, holnap jönnek először ügyfelünkhöz, úgyhogy ennyi amit össze tudtam szedni.
üdv, Ago
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
örülök, ohgy mégsem sikerült elaludnom. Nos, de plug proxyba kergetted vagy már az megzavarta, hogy rajta keresztül mennek a csomagok? Utóbbi furcsa, ha NAT Traversalt tényleg tud a cucc, mint mondják, mert ugye ez lenne a lényege, hogy átmegy nat-on, mivel tudja, hogy a piszkálás ott jogszerű. Hát, holnap majd meglátjuk. Azért köszi. Biztató előjelek :) üdv, Ago --
Szia!
Nos a Cisco VPN nem szereti ha közben ott van a Zorp és az minden félét csinál a csomagokkal. Man-in-the-middle-nek érzékeli... Nekem a Zorp kikerülésébel sikerült csak kiengednem ezt a forgalmat.
Üdv
Czigi
On Tue, 28 Feb 2006 19:01:07 +0100 (CET), Deim Ágoston wrote
sziasztok,
$SUBJECT esetén van valakinek itt tapasztalata? Elméletileg sima kliens, de én még sosem láttam, XP-n fut, egy Cisco VASVERZIÓ VPN koncentrátorba fut bele, de ugye közte van a Zorp. Egy elég csúnya dolgot csináltam, mivel úgyis van NAT traversal, packet filter szinten a 4500-as portot is engedélyeztem (igen, mivel nincs meg a partner IP címe, egyelőre mindenhonnan-mindenhova), meg persze a klasszikus 500-ast és persze ESP engedélyezés is megvolt. Azonban még nem volt tapasztalatom a fenti konstellációval. A zorp kernelének van valami tulajdonsága ami miatt nem szereti mondjuk fenti eszközöket? (nehezen tudom elékpzelni, de ki tudja...) Máshol, csak csomagszűrőn működik a dolog, "simán" kimennek. Ügyfelünk partner cége valahol külföldön, címek nem ismertek egyelőre, holnap jönnek először ügyfelünkhöz, úgyhogy ennyi amit össze tudtam szedni.
üdv, Ago
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
Elolvastam mi írtál először :) Nos a Cisco VPN képes TCP-n (általában 10000-es port) is működni. Mivel itt van Sequence Number, ebben az esetben nem jó ha megszakad a tcp session. Plug proxy kilőve. UDP esetben elvileg nincs ilyen, de ezzel az esettel nincs tapaszalatom. sorry Czigi On Tue, 28 Feb 2006 23:06:22 +0100 (CET), Deim Ágoston wrote
örülök, ohgy mégsem sikerült elaludnom. Nos, de plug proxyba kergetted vagy már az megzavarta, hogy rajta keresztül mennek a csomagok? Utóbbi furcsa, ha NAT Traversalt tényleg tud a cucc, mint mondják, mert ugye ez lenne a lényege, hogy átmegy nat-on, mivel tudja, hogy a piszkálás ott jogszerű. Hát, holnap majd meglátjuk. Azért köszi. Biztató előjelek :)
üdv, Ago --
Szia!
Nos a Cisco VPN nem szereti ha közben ott van a Zorp és az minden félét csinál a csomagokkal. Man-in-the-middle-nek érzékeli... Nekem a Zorp kikerülésébel sikerült csak kiengednem ezt a forgalmat.
Üdv
Czigi
On Tue, 28 Feb 2006 19:01:07 +0100 (CET), Deim Ágoston wrote
sziasztok,
$SUBJECT esetén van valakinek itt tapasztalata? Elméletileg sima kliens, de én még sosem láttam, XP-n fut, egy Cisco VASVERZIÓ VPN koncentrátorba fut bele, de ugye közte van a Zorp. Egy elég csúnya dolgot csináltam, mivel úgyis van NAT traversal, packet filter szinten a 4500-as portot is engedélyeztem (igen, mivel nincs meg a partner IP címe, egyelőre mindenhonnan-mindenhova), meg persze a klasszikus 500-ast és persze ESP engedélyezés is megvolt. Azonban még nem volt tapasztalatom a fenti konstellációval. A zorp kernelének van valami tulajdonsága ami miatt nem szereti mondjuk fenti eszközöket? (nehezen tudom elékpzelni, de ki tudja...) Máshol, csak csomagszűrőn működik a dolog, "simán" kimennek. Ügyfelünk partner cége valahol külföldön, címek nem ismertek egyelőre, holnap jönnek először ügyfelünkhöz, úgyhogy ennyi amit össze tudtam szedni.
üdv, Ago
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
_______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
köszi az alapos választ, a 10000-es port TCP-n újdonság. Azért kérdeztem plug proxy-t, mert attól tuti kiakad, ha azon próbálnál bármit ilyesmi forgalmat keresztülhajszolni. De akko a tcpdump úgy érzem ott fog figyelni folyamatosan, biztos, ami biztos. sqeuence number pedig minden ipsec megoldásnál van, emlékeim szerint, sliding window módszer miatt. A replay attackok ellen. Na, mindegy, délután okosabb leszek én is. kösz, Ago
Elolvastam mi írtál először :) Nos a Cisco VPN képes TCP-n (általában 10000-es port) is működni. Mivel itt van Sequence Number, ebben az esetben nem jó ha megszakad a tcp session. Plug proxy kilőve.
bocs, korán van. Az a sequnce number nem a helyettesítése a tcp-ben meglévőnek természetesen és nem lesz tőle az udp megbízható. De ezt gondlom amúgy is tudták al ista tagjai. csak még fel kell ébredni :) hogy ne írjak félreérthető hülyeségeket. Mindegy, a lényeg, hogy úgy néz ki nehézkes is lehet a dolog. kösz mégegyszer. Ago --
Elolvastam mi írtál először :) Nos a Cisco VPN képes TCP-n (általában 10000-es port) is működni. Mivel itt van Sequence Number, ebben az esetben nem jó ha megszakad a tcp session. Plug proxy kilőve.
Deim Ágoston wrote:
bocs, korán van. Az a sequnce number nem a helyettesítése a tcp-ben meglévőnek természetesen és nem lesz tőle az udp megbízható. De ezt gondlom amúgy is tudták al ista tagjai. csak még fel kell ébredni :) hogy ne írjak félreérthető hülyeségeket. Mindegy, a lényeg, hogy úgy néz ki nehézkes is lehet a dolog.
Hello! En eddig egy helyen vittem at zorp-on, ott forward-olva ment az UDP/500, UDP/4500, TCP/10000. Ne felejtsd el a tproxy tablaban ezeket a megfelelo forrascimrol ACCEPT-elni! -- Gellér Sándor wildy@balabit.hu
Gellér Sándor wrote:
Hello!
En eddig egy helyen vittem at zorp-on, ott forward-olva ment az UDP/500, UDP/4500, TCP/10000. Ne felejtsd el a tproxy tablaban ezeket a megfelelo forrascimrol ACCEPT-elni!
Hi, köszi ez bíztató. Jelenleg itt is így működik. Annyi "kis" különbséggel, hogy most mindenhonnan ACCEPT van a vpn kapcsolatokra :O Mivel most bemutatóra jönnek a jóemberek, aminek a szervere az ő belső hálózatukon van és a címeket még ma reggel sem küldték el... Szomorú. Mindegy, mindenkinek megvan a maga keresztje, de úgyis lepattanak ezek az "erős" szabályok 1 napon belül. üdv, Ago
participants (4)
-
Balazs Czigany
-
Balazs Scheidler
-
Deim Ágoston
-
Gellér Sándor