Чем быстро проверить прохождение UDP пакетов на 500-м порту?

nmap

Это не ответ.

с одной стороны делать nmap (из офиса), с другой (из сервачка с линуксом в интернете) - tcpdump

а еще можно просто подключить некое устройство (нетбук например) к внешнему интерфейсу криптошлюза и поснифать (tcpdump, wireshark)

а еще можно просто подключить некое устройство (нетбук например) к внешнему интерфейсу криптошлюза и поснифать (tcpdump, wireshark)

То есть, из интернета поснифать криптошлюз? И что там можно наснифать?

Подключаете вместо крипто-шлюза сервер с линуксом и нём «ловите» отправленные из интернета udp пакеты. Что отправлять, что получать можно с помощью команды ″nc″.

Ключи ″-u″ — udp; с одной стороны ″-l″ — слушать, с другой ″-p 500″.

Вместо слушающего ″nc″ можно использовать udp-echo (echo-dgram) из xinetd.

И что там можно наснифать?

Можно наснифать приходящие UDP на 500-ом порту, что докажет отсутствие фильтрации в одну сторону.

А отправить можно ike-scan-ом.

netcat конечно же.

Клиент nc -vvvu $addr $port
Сервер nc -vvvulp $port

nc & tcpdump

То есть, из интернета поснифать криптошлюз? И что там можно наснифать?

То есть, из интернета поснифать криптошлюз? И что там можно наснифать?

Ты бы определился, тебе шашечки или ехать. Перед тобой поставили сетевую проблему, для её решения и нужно самому спуститься на сетевой уровень модели OSI и посмотреть какие пакеты ходят или не ходят.

Раз винят провайдера - пусть ещё раз запускают подключение их криптошлюза к твоему, при этом нужно собрать 2 дампа между ними ( и как можно ближе к ним. Желетально - из тех же широковещательных доменов, в которых расположены шлюзы. Или на ближайшей циске зазеркалировать порт и снимать трафик с него ) . И, изучая их в wireshark, проверять гипотезу о блокировке трафика провайдером.

Тебе дали чёрный ящик - ну и фиг с ним. Определи где у него входы и выходы, и подумай что это знание тебе даст. Воткнут ethernet? Отлично, по нему может идти трафик. Есть wifi? Те же яйца только в профиль. Какой-нибуль мобильный свисток? Уже хуже.

Если гипотеза с блокировкой трафика не подтвердится - работа их криптошлюхзов - их проблемы. Но тебе нужно ДОКАЗАТЬ что блокировки трафика нет. Вот и используй wireshark

// router

sudo traceroute -U -p 500 dest.host

Дак ведь traceroute на каждый хоп (ответ) будет инкрементировать порт (501, 502 и т.д.)?

Да, заманчиво протестить обычным traceroute. Вы точно уверены что порт не инкрементируется?

Можно наснифать приходящие UDP на 500-ом порту, что докажет отсутствие фильтрации в одну сторону.

То есть вы имели в виду отключит криптошлюз, и кабель провайдера воткнуть в машину с линухом? Так наверно и сделаю.

Ага. Если есть какой-нибудь девайс умеющий зеркалировать трафик между криптошлюзом и внешней сетью, то можно подключиться и к этому девайсу. (Например, использовать SPAN на Cisco).

Если используется стандартный ISAKMP/IKE, то возможно ike-scan покажет «всё и сразу». Насколько «нестандартны» российские стандарты с т.з. IKE я не знаю, но как минимум пакет на нужном порту в ту сторону уйдёт и по наличию какой-нибудь реакции на него в tcpdump/wireshark можно попробовать прикинуть что происходит. Если никакой реакции нет, то надо ловить пакеты ближе к другой стороне, убеждаться что нет фильтрации от вас к центру.

Ещё неплохо бы убедиться, что нет трансляции адресов по дороге.

Судя по ману, инкрементироваться не должно:


-U Use UDP to particular destination port for tracerouting (instead of increasing the port per each probe). Default port is 53 (dns).

Точно, не инкрементируется и даже есть опция --sport, чтобы с 500-го порта на 500-ый шли пакеты. Правда, получается, что нужно проверять с обоих сторон, так как в одну сторону traceroute шлёт udp-пакеты, а в ответ ему идут icmp.

берёшь scapy и tcpdump, крафтишь пакет - ловишь.