icmptx aan de praat krijgen

[amedee]

On Tue, 29 Apr 2008 12:15:32 +0200 (CEST), "Amedee Van Gasse"
<amedee op amedee.be> wrote:
> 
> On Tue, April 29, 2008 11:53, Jens Timmerman wrote:
>> Amedee Van Gasse wrote:
>>> Hallo,
>>>
>>> Even een korte situatieschets: ik volg avondschool, en op maandag is
> dat
>>> op een andere vestiging dan op dinsdag en woensdag. Op de locatie van
>>> di/wo is alles OK, maar 's maandags ben ik geconfronteerd met een
>>> firewall
>>> met anale retentie.
>>> ssh: blocked
>>> irc via mibbit: blocked
>>> google query naar het keyword "proxy": blocked (!)
>>> Zo kan ik uiteraard niet deftig werken, want voor de cursus VB.NET heb
>>> ik
>>> een svn repo opgezet op mijn server ten velde, en uiteraard wil ik
>>> connecteren via ssh+svn. Gaat dus niet.
>>>
>>> Gelukkig kan ik wel naar mijn server pingen, dus icmptx to the rescue!
>>> Ik volg deze beschrijving:
>>> http://thomer.com/icmptx/
>>>
>>> Ik zit nu al zo ver dat de tunnel klaar staat op de client, ik moet
>>> enkel
>>> nog de route instellen.
>>> Op de server staat de tunnel ook al klaar (denk ik - niet kunnen
>>> testen),
>>> maar ik heb zeker nog niet de noodzakelijke wijzigingen gedaan aan
>>> iptables voor het forwarden.
>>>
>>> Hoe kan ik nu verder? Stel ik gewoon de route in op de client en zit ik
>>> dan al lokaal op de server te werken, zonder forwarding? Of moet ik
>>> wachten tot ik weer normale connectiviteit heb?
>>>
>>> PS: client = Ubuntu 8.04
>>> server = Debian stable
>>>
>>>
>> Voor zover ik de tutorial goed gebrijp stel je met het instellen van
>> route een andere gateway in, dus zal je client ipv iets door te sturen
>> naar 192.168.1.1 het naar je server sturen over icmp.
>>
>> Dus wachten tot je trug connectiviteit hebt en dan proberen connectie te
>> maken met je server (of andere dingen proberen die normaal geblokt zijn)
>>
>> Heb je geprobeerd of ssh over een andere poort (vb 2222) ook geblokeerd
>> word?
>> Het zou wss iets eenvoudiger zijn om je server naar een andere poort te
>> laten luisteren...
>>
>>
> He verdorie, dom van mij.
> Ik kan met één regeltje in iptables een honeypot maken van mijn server,
> dwz op alle poorten luisteren. Dan had ik met nmap naar buiten kunnen
> scannen om te zien wat er open staat. En nu kan ik het uiteraard niet
> testen, want ik ben daar enkel op maandagavond.
> 
> Maar ik ben er quasi zeker van dat via TCP enkel poorten 80 en 443 open
> staan. Pingen naar de server lukte, dus ICMP staat ook open.
> Ik heb ssh over https geprobeerd, maar dat lukte niet. Vandaar dat ik
> icmptx probeer.

Goed nieuws: ik heb thuis ICMPTX aan de praat gekregen.
Tunneltje werkte prima, traceroute naar google ging via 10.0.1.1 (ip-adres
tunnel) ipv 192.168.2.1 (ip-adres gateway), en zowel vnstat als andere
netwerk monitoring tools gaven duidelijk aan dat er verkeer over de
pinglink ging.
Ik heb zelfs lastfm gedraaid en dit ging heel vlot!

Vanavond volgt de definitieve test. Ik heb de laptop mee en dan ga ik eens
proberen of ik naar buiten geraak. Ik ga dan meteen ook wat speedtests
doen.

Ik heb ook een kort scriptje bijeen gehakt om de pingtunnel op te starten.
Ik zet het wel eens online.
Het is nu heel lelijk, ik wil het nog herschrijven naar een mooi
/etc/init.d-scriptje.

Ik stel me wel nog vragen bij authenticatie. Nu kan iedereen mijn pingding
gebruiken.
Wat doe ik best, dat pingding niet zomaar routeren? Ik zou er een VPN over
kunnen draaien, en dan de VPN eindpunten routeren.
Zorgen voor later...

-- 
Amedee