Re: ADSL + brandvägg nätdesign

Johan Allard johan at allard.nu
Tue Nov 28 12:33:42 CET 2006 

On 28/11/2006, at 8:36 PM, Håkan Olsson wrote:

> On 27 nov 2006, at 20.42, Johan Allard wrote:
>> Jag har kört med
>>
>> pf in all fragment-reassemble
>> pf out on pppoe0 max-mss 1300 # har labbat med lite olika värden här
>> pf out on sis1 max-mss 1300 # min interna nät
>>
>> men det kanske är no-df som jag skulle använda istället. Det enda som
>> skall gå på utsidan (sis0 i mitt fall) är ju ppp paketen så jag
>> undrar om jag skulle sätta något pf trix där också.
>
> Jag hjälpte för en tid sedan en kund med ett aningen enklare problem;
> att koppla ihop två byggnader på nivå två, dvs ett transparent
> "bryggat" IPsec-VPN över egen fiber.
>
> Saker som märktes snabbt var bl.a inloggningsproblem (M$ fattar
> fortfarande inte fragmenterade "inloggningspaket" -- nätprotokoll är
> visst svårt...).
>
> Lösningen var att använda fragment-reassemble och no-df:
>
>    scrub in on gif0 all fragment reassemble
>    scrub in on fxp0 all no-df
>    pass all
>
> fxp0 var bryggans koppling mot "byggnaden", gif0 (bryggat med fxp0)
> användes för tunneln, som gick över ett andra fysiskt interface.
> IPSec kördes sedan ovanpå gif-tunneln. Det visade sig nödvändigt att
> blanda in gif här för att hela konstruktionen skulle bli helt
> transparent i nätet...
>
> Efter detta var det inga problem, inget kladd med MTU/MSS etc. Stora
> paket gick fragmenterade genom tunneln, men sattes ihop igen ut på
> andra sidan.

Visst är det intressant att så "enkla" problem skall vara så svåra.  
Frågan är ju fortfarande varför ett billigt ADSL modem kan göra något  
som inte ett så avancerat os som OpenBSD kan, eller är det så att vi  
försöker göra saker svårare än vad de är? Jag har iallafall inte  
utrustning att lyssna på telelinan för att se om kanske vartenda  
paket som lämnar modemet är fragmenterat eller om de håller på med  
något annat som gör att det här bara fungerar. Hmm, det skulle iofs  
gå att skicka stora paket från utsidan tillbaka in och se om de  
kommer fragmenterade tillbaka. Det går väl att lita på att ADSL modem  
i allmänhet inte har en "scrub in all fragment reassemble" utan om  
paketen väl fragmenteras så levereras de säkert så.

Och Niklas - jag tycker iallafall att du har gjort tillräckligt, och  
du också Håkan! Hmm, inser just hur mycket jag saknar att träffas då  
och då och dricka pilsner och ljuga om viktiga saker...

//johan

More information about the BUS mailing list