Опитвам се да изиграя следния сценарий:
Хостове, зад NAT, които ползват udp да изпращат/приемат esp/ike. Всичко
е наред с конфигурацията на vpn-ите, но устройствата са мобилни(през
hsdpa). А постоянното пращане на DPD/keep-alive пакети изтощава много
бързо батериите.
Иска ми се да изпробвам
В 17:35 +0300 на 20.09.2010 (пн), Daniel Ivanov написа:
Приемаме, че рутера с НАТ-а е с фиксиран udp hole punch от 120 секунди.
Ако се пращат пакети, които не стигат до клиента( = не хабят батерия),
те дали
Много по-прагматично решение съм измислил. Всички isakmp keep-alives
излизат с дължина 29 bytes. Мачвам ги и ги пускам през ТТЛ mangle
target-a на iptables и намалявам драстично keep-alive респонса. За
интегритет ще оставя DPD negotiations. Мисля да тествам, като закача
някакъв ipsec клиент
