[hannover] Probleme mit VPN (IPSec?) Connections

Tobby ffh at kakt.us
Mo Jul 16 15:02:23 CEST 2018 

Spontan fällt mir ein, dass IPSec ziemlich "empfindlich" ist, was
"seinen" Port 500 angeht. Wenn ich mich richtig erinnere, habe ich
irgendwo anders schon mal Firewall-Regeln geschrieben, die dafür
sorgen, dass IPSec nach dem eigentlich zufälligen Port-Gewürfel im NAT
ausgehend immer noch Port 500 benutzt.
Nachteil: es können keine zwei Clients aus dem Freifunk-Netz
gleichzeitig über den gleichen Exit-Node zur gleichen
IPSec-Gegenstelle eine Verbindung aufbauen. Sollte aber wohl eh eher
selten vorkommen - auch wenn es nicht unmöglich ist.

Außerdem kann es noch nötig sein, das ESP-Protokoll zuzulassen. ESP
ist dabei auf Layer 3, (gleicher Layer wie TCP und UDP) und hat keine
Ports.

Und zuletzt kommen bei ESP bis zu 48 Byte zu den eingepackten
IP-Paketen hinzu. Es könnte also auch MTU-Probleme geben, wenn
entweder die MTU zu groß gewählt wurde und/oder Path-MTU-Discovery
nicht funktioniert (dafür muss ICMP frei sein - das zu blocken macht
eh wenig Sinn und ggf. noch MSS-Clamping aktivieren, falls auf der
"Wegstrecke" noch irgendwo andere ICMP-blockende Hosts sind).

Wollte gerade mal auf unserem Exit-Node in Frankreich schauen, da
müsste einiges davon so konfiguriert sein. Allerdings bin ich mir
gerade nicht sicher, ob es meinem Private-Key zum SSH-Login genau so
geht wie Rautes ECDSA-Key - der könnte auch "nass geworden" sein und
"sich aufgelöst haben" ;-) Zumindest habe ich ihn gerade nicht mehr
parat.

Viele Grüße
Tobby

Am 16. Juli 2018 um 07:52 schrieb Oliver Krüger <freifunk at oliverkrueger.de>:
>> Ohne weiter darüber nachgedacht zu haben, erinnere ich mich, dass wir auf
>> Port 500/udp seit einigen Wochen ebenfalls einen fastd-Tunnel anbieten.
>> Vielleicht ist das related…
>
> Stimmt. Allerdings ja „nur“ incoming auf den Supernodes vom GroßenBösenInternet aus. Intern kann ja 500/udp Traffic auf den Batman-Interfaces fließen, was will. Und auf den Exitnodes wird das eigentlich auch nicht speziell behandelt.
> Ich sollte aber vorsichtshalber nochmal in die Firewallregeln auf den Supernodes schauen…
>
> Oliver
>
> --
> hannover mailing list
> hannover at freifunk.net
> http://lists.freifunk.net/mailman/listinfo/hannover-freifunk.net

Mehr Informationen über die Mailingliste hannover