Re: [FRnOG] [TECH] Bug Mikrotik intéressant

2023-01-13 Par sujet Thierry Chich 
A une époque, sur linux, avec freeswan, quand on sniffait une interface 
sur laquelle on avait de l'IPSEC, on ne voyait que les paquets entrants 
(ou sortant, je ne me rappelle plus).  Je dis à l'époque, parce que je 
ne fais plus de choses de ce type. C'est dommage, parce que dans la 
version précédente, on avait une jolie interface virtuelle ipsec0 bien 
proprette, sniffable et tout ça.


Le 12/01/2023 à 20:03, David Ponzone a écrit :

Tous, et surtout les MK-fans,

J’expose ce problème car c’est intéressant techniquement (=j’ai « perdu »  3h 
dessus), mais je n’espère pas avoir de réponse claire :)

Contexte:
CPE Mikrotik avec un FTTH en PPPoE, qui fait le NAT
Un firewall Sophos sur le LAN

Problème: le Sophos n’arrive à monter un tunnel IPSec (initialisation en UDP 
500)

Observations:
-si je regarde la table conntrack du MK, je vois bien l’UDP 500 venant du 
Sophos vers l’endpoint du Tunnel, mais pas de réponse au paquet
-si je prends une trace sur le PPP, je ne vois pas l’UDP 500 envoyé par le 
Sophos!
-donc je me dis: ok le MK filtre, je prends la trace sur le port LAN, et là non 
plus, je ne vois pas l’UDP 500 envoyé par le Sophos….

Après beaucoup de temps et une coïncidence heureuse (pour une fois), j’en viens 
à me demander si j’ai pas un problème de MTU sur le PPPoE.
MTU négocié à 1480 alors 1460 est le max, j’ai donc une plage possible de 
quelques paquets qui seront droppés sans être frag.
Je modifie le MTU à 1460 et là:
-le tunnel monte
-je vois les paquets entrants sur le LAN sur mon tcpdump

Donc il semble y avoir une situation qui fait que le sniffer intégré d’un MK ne 
va pas montrer des paquets ingress parce qu’ils sont droppés en egress.
De la pure folie :)
Après, je ne sais pas exactement où le sniffer Mikrotik fait son tapping, mais 
c’est clairement pas tout à fait au niveau du port ethernet ou du bridge….

Si quelqu’un a un début d’explication, soit du problème, soit de ma sénilité, 
je suis preneur!

David


---
Liste de diffusion du FRnOG
http://www.frnog.org/

--

Thierry




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Bug Mikrotik intéressant

2023-01-13 Par sujet David Ponzone 
Non mais je sais que c’est pas ça car ça monte dès que je force mon MTU à 1460, 
donc la valeur qui correspond à ce que le réseau accepte sans frag.
Donc le Sophos y est pour rien (j’aurais adoré démontrer le contraire).

> Le 13 janv. 2023 à 11:27, Toussaint OTTAVI  a écrit :
> 
> 
> Le 13/01/2023 à 10:46, David Ponzone a écrit :
>> Je crois que tu as raté l’aspect délirant de mon cas et ça m’étonne pas, 
>> c’est dur à bien expliquer.
> 
> Au contraire :-) J'ai l'habitude de ce genre de comportement assez farfelu de 
> l'outil de capture de paquets sur ma marque favorite :-) Moi, je vois des 
> paquets sortir d'un tunnel sans les y avoir vus entrer :-) C'est ce qui me 
> fait dire qu'on ne sera pas trop dépaysés quand les routeurs quantiques 
> feront leur apparition :-D :-D :-D
> 
> Je pense que c'est lié à l'implémentation du bazar, et que çà déraille quand 
> on accumule plusieurs couches logiques sur une interface physique. Enfin, 
> moi, c'est que je ressens avec mes appareils... Même si, dans ton cas, c'est 
> spécial, puisque tu es en Ethernet pur sur l'interface en question, et qu'il 
> paraît difficile d'imaginer qu'un problème d'implémentation sur une 
> accumulation de protocoles sur une interface de sortie t'empêche de voir ce 
> qui entre, qui plus est, sur une interface la plus basique qui soit 
> (Ethernet).
> 
> --
> Juste pour lever le doute, est-ce que tu as essayé de sniffer avec un tap 
> externe entre ton Sophos et ton MK ? Des fois que le firewall ait essayé tout 
> seul de détecter la MTU du circuit, et qu'il envoie un paquet UDP carrément 
> foireux, que le MK ne décoderait pas ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Bug Mikrotik intéressant

2023-01-13 Par sujet Toussaint OTTAVI 



Le 13/01/2023 à 10:46, David Ponzone a écrit :

Je crois que tu as raté l’aspect délirant de mon cas et ça m’étonne pas, c’est 
dur à bien expliquer.


Au contraire :-) J'ai l'habitude de ce genre de comportement assez 
farfelu de l'outil de capture de paquets sur ma marque favorite :-) Moi, 
je vois des paquets sortir d'un tunnel sans les y avoir vus entrer :-) 
C'est ce qui me fait dire qu'on ne sera pas trop dépaysés quand les 
routeurs quantiques feront leur apparition :-D :-D :-D


Je pense que c'est lié à l'implémentation du bazar, et que çà déraille 
quand on accumule plusieurs couches logiques sur une interface physique. 
Enfin, moi, c'est que je ressens avec mes appareils... Même si, dans ton 
cas, c'est spécial, puisque tu es en Ethernet pur sur l'interface en 
question, et qu'il paraît difficile d'imaginer qu'un problème 
d'implémentation sur une accumulation de protocoles sur une interface de 
sortie t'empêche de voir ce qui entre, qui plus est, sur une interface 
la plus basique qui soit (Ethernet).


--
Juste pour lever le doute, est-ce que tu as essayé de sniffer avec un 
tap externe entre ton Sophos et ton MK ? Des fois que le firewall ait 
essayé tout seul de détecter la MTU du circuit, et qu'il envoie un 
paquet UDP carrément foireux, que le MK ne décoderait pas ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Bug Mikrotik intéressant

2023-01-13 Par sujet David Ponzone 
Je crois que tu as raté l’aspect délirant de mon cas et ça m’étonne pas, c’est 
dur à bien expliquer.

Mais c’est les paquets qui arrivent du Sophos que je ne vois pas sur la patte 
LAN du Mikrotik (sur cette patte, je suis en eth pur), alors qu’ils ne seront 
droppés qu’à la sorti du Mikrotik parce que MTU foireux (à priori).
D’ailleurs, je vois la ligne dans le conntrack du MK donc le MK a vu le paquet!

Si je l’avais pas vu de mes yeux, je penserais que j’ai halluciné.

> Le 13 janv. 2023 à 10:31, Toussaint OTTAVI  a écrit :
> 
> 
> 
> Le 12/01/2023 à 20:03, David Ponzone a écrit :
>> Après, je ne sais pas exactement où le sniffer Mikrotik fait son tapping, 
>> mais c’est clairement pas tout à fait au niveau du port ethernet ou du 
>> bridge….
>> 
>> Si quelqu’un a un début d’explication, soit du problème, soit de ma 
>> sénilité, je suis preneur!
> 
> J'ai souvent ce genre de comportement sur mon matériel habituel, qui n'est 
> pas MK, et que tu n'aimes pas :-) Cà se produit généralement quand on 
> "superpose" plusieurs couches logiques sur une interface. Par exemple, VPN 
> over PPP over Ethernet. Dans un monde idéal, on aurait une interface 1 qui 
> serait physique Ethernet, une interface 2 qui serait virtuelle et qui 
> correspondrait à l'endpoint PPP (peu importe que celui-ci passe par Ethernet 
> ou par ondes gravitationnelles), et une interface 3 qui serait le tunnel VPN. 
> En théorie, donc, on devrait pouvoir tapper sur l'interface qu'on veut :-) 
> Mais en pratique, bien que nos équipements ne soient pas encore quantiques, 
> une certaine incertitude semble parfois s'appliquer :-)
> 
> Par exemple, sur mes équipements, c'est le trafic entrant dans un tunnel 
> IPSec que je ne vois pas (selon le type de tunnel). Quand à vouloir tracer du 
> NAT over tunnel, je n'y songe même plus ! Une boule de cristal fonctionne 
> mieux :-)
> 
> Le seul contournement que j'ai trouvé à ce genre de situation est de ne pas 
> "superposer" trop de couches logiques sur une seule interface, et 
> d'externaliser certaines tâches élémentaires sur des boitiers distincts. Par 
> exemple, mon firewall monte le tunnel VPN sur une interface Ethernet, et un 
> CPE externe monte la session PPPoE. Ah, ben zut, c'est exactement ce que tu 
> essayes de faire :-D
> 
> En mode Vendredi, je suis bien conscient du fait que le PPPoE apporte pas mal 
> d'avantages coté opérateur, mais coté utilisateur, c'est une vraie plaie :-)
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Bug Mikrotik intéressant

2023-01-13 Par sujet Toussaint OTTAVI 




Le 12/01/2023 à 20:03, David Ponzone a écrit :

Après, je ne sais pas exactement où le sniffer Mikrotik fait son tapping, mais 
c’est clairement pas tout à fait au niveau du port ethernet ou du bridge….

Si quelqu’un a un début d’explication, soit du problème, soit de ma sénilité, 
je suis preneur!


J'ai souvent ce genre de comportement sur mon matériel habituel, qui 
n'est pas MK, et que tu n'aimes pas :-) Cà se produit généralement quand 
on "superpose" plusieurs couches logiques sur une interface. Par 
exemple, VPN over PPP over Ethernet. Dans un monde idéal, on aurait une 
interface 1 qui serait physique Ethernet, une interface 2 qui serait 
virtuelle et qui correspondrait à l'endpoint PPP (peu importe que 
celui-ci passe par Ethernet ou par ondes gravitationnelles), et une 
interface 3 qui serait le tunnel VPN. En théorie, donc, on devrait 
pouvoir tapper sur l'interface qu'on veut :-) Mais en pratique, bien que 
nos équipements ne soient pas encore quantiques, une certaine 
incertitude semble parfois s'appliquer :-)


Par exemple, sur mes équipements, c'est le trafic entrant dans un tunnel 
IPSec que je ne vois pas (selon le type de tunnel). Quand à vouloir 
tracer du NAT over tunnel, je n'y songe même plus ! Une boule de cristal 
fonctionne mieux :-)


Le seul contournement que j'ai trouvé à ce genre de situation est de ne 
pas "superposer" trop de couches logiques sur une seule interface, et 
d'externaliser certaines tâches élémentaires sur des boitiers distincts. 
Par exemple, mon firewall monte le tunnel VPN sur une interface 
Ethernet, et un CPE externe monte la session PPPoE. Ah, ben zut, c'est 
exactement ce que tu essayes de faire :-D


En mode Vendredi, je suis bien conscient du fait que le PPPoE apporte 
pas mal d'avantages coté opérateur, mais coté utilisateur, c'est une 
vraie plaie :-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Bug Mikrotik intéressant

2023-01-12 Par sujet David Ponzone 
Tous, et surtout les MK-fans,

J’expose ce problème car c’est intéressant techniquement (=j’ai « perdu »  3h 
dessus), mais je n’espère pas avoir de réponse claire :)

Contexte:
CPE Mikrotik avec un FTTH en PPPoE, qui fait le NAT
Un firewall Sophos sur le LAN

Problème: le Sophos n’arrive à monter un tunnel IPSec (initialisation en UDP 
500)

Observations:
-si je regarde la table conntrack du MK, je vois bien l’UDP 500 venant du 
Sophos vers l’endpoint du Tunnel, mais pas de réponse au paquet
-si je prends une trace sur le PPP, je ne vois pas l’UDP 500 envoyé par le 
Sophos!
-donc je me dis: ok le MK filtre, je prends la trace sur le port LAN, et là non 
plus, je ne vois pas l’UDP 500 envoyé par le Sophos….

Après beaucoup de temps et une coïncidence heureuse (pour une fois), j’en viens 
à me demander si j’ai pas un problème de MTU sur le PPPoE.
MTU négocié à 1480 alors 1460 est le max, j’ai donc une plage possible de 
quelques paquets qui seront droppés sans être frag.
Je modifie le MTU à 1460 et là:
-le tunnel monte
-je vois les paquets entrants sur le LAN sur mon tcpdump

Donc il semble y avoir une situation qui fait que le sniffer intégré d’un MK ne 
va pas montrer des paquets ingress parce qu’ils sont droppés en egress.
De la pure folie :)
Après, je ne sais pas exactement où le sniffer Mikrotik fait son tapping, mais 
c’est clairement pas tout à fait au niveau du port ethernet ou du bridge….

Si quelqu’un a un début d’explication, soit du problème, soit de ma sénilité, 
je suis preneur!

David


---
Liste de diffusion du FRnOG
http://www.frnog.org/