Gergely Egerváry

Adatsérülés új GPON csomagon

Kérdés

Sziasztok... vannak itt Telekom hálózatos kollégák?

Meglévő GPON végpontomon díjcsomagot váltottam 30/5-ről 1000/1000-re. Ehhez új végberendezést kaptam, a Huawei HG850a helyett egy Sagemcom F@st 5655v2 formájában. Szerencsére a firmware frissítés után megérkezett bele a PPPoE passthru lehetőség, tehát a PPPoE kapcsolatot a korábbival azonos módon én terminálom a saját Cisco routeremen.

Látszólag tehát technikailag semmi nem változott, csak az elérhető sebesség lett nagyobb.

Az átállás óta azonban komoly gondom van: a munkahelyemmel egy GRE tunnelen tartom a kapcsolatot, amiben IPv4 és IPv6 egyaránt utazik. Az IPv4 tökéletesen működik, az IPv6 azonban nem: adatsérülést tapasztalok.

Tehát: az adatsérülés a GRE tunnelbe enkapszulált adatban történik! Valami belenyúl a GRE payloadba... csak az IPv6 csomagokba! Ha a GRE tunnel alá rakok IPSec titkosítást, egyből lőn tökéletes működés... "érdekes" módon egyből sértetlenek a csomagok.

Ezt mivel érdemeltem ki? Ha valami központi szűrés, akkor eddig miért nem volt? Először a Sagemcom-ra gyanakodtam, de a PPPoE csomagokon nincs checksum hiba.

Előre is köszönöm a válaszokat.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

2 válasz erre a kérdésre

Szia,

a tunnelben közlekedő adatok nagy része alkalmazás-szinten (Layer 7) már titkosítva van. Az érzékenynek nevezhető adatok mind. Ha maga a tunnel is titkosítva van, akkor az nagyrészt kétszeres titkosítást jelent.

A kétszeres titkosítás első hallásra nem lenne nagy baj (a biztonságot nem lehet eléggé fokozni) ugyanakkor a titkosítás-nélküliségnek is megvan a maga oka:
- a plusz titkosítás növeli a késleltetést (latency) és jittert okoz, amit pl. a VoIP határozottan utál,
- a plusz titkosítás további 50-80 bájtot ad az IP fejlécekhez, így borzasztó alacsony lesz az MTU, amit az UDP alapú szolgáltatások egy része nem tolerál,
- gigabites kapcsolatról beszélünk, aminek a titkosításával egy felsőbb kategóriás router is vért izzad... sőt, meg sem tudja csinálni... az én routerem kb. 430 megabitnél vérzik el teljesen,
- van olyan tunnelem, aminek a túlvégén olyan partner van, akinek a rendszere nem támogat titkosítást, azzal nem tudok mit kezdeni.

Ebből leginkább a legutolsó jelenti most a problémát.

Igazából a díjcsomag-váltással én arra számítottam, hogy a sávszélesség profil módosításán túl más nem fog történni. Ehhez képest, mintha egy teljesen más infrastruktúrára kerültem volna.

üdv.

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

@Gergely Egerváry

Üdv! 

Tudom ez nem válasz a kérdésedre, de én titkosítás nélkül nem küldenék semmit a tunnelen, főleg annak tudatában hogy valaki vagy valamit módosítgat a csomag tartalmán. 

Bejegyzés megosztása


Link a bejegyzéshez
Megosztás más oldalakon

Hozz létre egy fiókot vagy jelentkezz be a kommenteléshez

Ahhoz, hogy kommentelhess, tagnak kell lenned.

Fiók létrehozása

Hozz létre a közösségünkben egy új fiókot. Igazán egyszerű!


Új fiók regisztrálása

Bejelentkezés

Már van fiókod? Jelentkezz be itt!


Bejelentkezés most