home.social

#ipsec — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #ipsec, aggregated by home.social.

  1. Несмотря на технологичность связки внешнего роутера и Wi-Fi Calling, на практике можно столкнуться с рядом проблем — от сетевых задержек до специфики работы самого оборудования.
    ### **1. Проблемы на уровне транспортного канала (LTE/5G)**
    * **Высокий джиттер (Jitter):** Голос критичен к микрозадержкам. Если внешний роутер работает на пределе дистанции, пакеты могут приходить неравномерно, что вызывает «заикание» звука, даже если общая скорость интернета высокая.
    * **Перегрузка базовой станции:** Wi-Fi Calling — это IP-трафик. В часы пик оператор может приоритизировать «чистый» голос (VoLTE) над данными, что приведет к деградации качества вашего звонка через Wi-Fi.
    ### **2. Проблемы сетевого уровня (IPsec и NAT)**
    * **Блокировка портов:** Для работы Wi-Fi Calling требуются открытые порты **UDP 500** и **UDP 4500** для построения IPsec-туннеля. Некоторые провайдеры (или настройки брандмауэра на роутере) могут их блокировать.
    * **Double NAT:** Если внешний роутер выдает «серый» IP, а внутренний роутер создает еще одну подсеть, туннель до оператора может не подняться или постоянно обрываться.
    ### **3. Проблемы терминального оборудования (Смартфон)**
    * **Агрессивное энергосбережение:** Некоторые Android-смартфоны в режиме ожидания отключают Wi-Fi или «усыпляют» фоновые процессы, из-за чего входящий звонок может просто не дойти.
    * **Конфликт приоритетов:** Смартфон может удерживать одну «палочку» слабого сотового сигнала до последнего, не переключаясь на стабильный Wi-Fi, пока связь полностью не оборвется.
    ### **4. Инфраструктурные ограничения**
    * **Отсутствие бесшовного роуминга:** Если в здании несколько точек доступа без поддержки протоколов **802.11k/r/v**, то при переходе из комнаты в комнату звонок прервется в момент переподключения к новой точке.
    * **Геолокация и экстренные службы:** В некоторых случаях при звонке через Wi-Fi оператор не может точно определить ваше местоположение, что критично для вызова экстренных служб.
    ### **Таблица диагностики**

    | Симптом | Вероятная причина | Решение |
    | :--- | :--- | :--- |
    | **Голос робота / задержка** | Высокий джиттер или пинг на LTE | Настройка антенны, выбор менее загруженного диапазона (B3/B7/B20). |
    | **Звонки не проходят вообще** | Закрыты порты 500/4500 | Проброс портов или активация функции IPSec Passthrough. |
    | **Обрыв при перемещении** | Нет Mesh-роуминга | Установка системы с поддержкой 802.11k/r. |
    | **Телефон «не видит» Wi-Fi Calling** | Ограничение оператора или SIM | Проверка поддержки услуги у оператора, замена старой SIM-карты. |

    #Troubleshooting #NetworkLatency #IPsec #VoWiFiProblems #Telecom #LTE_Issues #NetworkSecurity #MeshNetwork #MobileConnectivity #TechSupport

  2. Несмотря на технологичность связки внешнего роутера и Wi-Fi Calling, на практике можно столкнуться с рядом проблем — от сетевых задержек до специфики работы самого оборудования.
    ### **1. Проблемы на уровне транспортного канала (LTE/5G)**
    * **Высокий джиттер (Jitter):** Голос критичен к микрозадержкам. Если внешний роутер работает на пределе дистанции, пакеты могут приходить неравномерно, что вызывает «заикание» звука, даже если общая скорость интернета высокая.
    * **Перегрузка базовой станции:** Wi-Fi Calling — это IP-трафик. В часы пик оператор может приоритизировать «чистый» голос (VoLTE) над данными, что приведет к деградации качества вашего звонка через Wi-Fi.
    ### **2. Проблемы сетевого уровня (IPsec и NAT)**
    * **Блокировка портов:** Для работы Wi-Fi Calling требуются открытые порты **UDP 500** и **UDP 4500** для построения IPsec-туннеля. Некоторые провайдеры (или настройки брандмауэра на роутере) могут их блокировать.
    * **Double NAT:** Если внешний роутер выдает «серый» IP, а внутренний роутер создает еще одну подсеть, туннель до оператора может не подняться или постоянно обрываться.
    ### **3. Проблемы терминального оборудования (Смартфон)**
    * **Агрессивное энергосбережение:** Некоторые Android-смартфоны в режиме ожидания отключают Wi-Fi или «усыпляют» фоновые процессы, из-за чего входящий звонок может просто не дойти.
    * **Конфликт приоритетов:** Смартфон может удерживать одну «палочку» слабого сотового сигнала до последнего, не переключаясь на стабильный Wi-Fi, пока связь полностью не оборвется.
    ### **4. Инфраструктурные ограничения**
    * **Отсутствие бесшовного роуминга:** Если в здании несколько точек доступа без поддержки протоколов **802.11k/r/v**, то при переходе из комнаты в комнату звонок прервется в момент переподключения к новой точке.
    * **Геолокация и экстренные службы:** В некоторых случаях при звонке через Wi-Fi оператор не может точно определить ваше местоположение, что критично для вызова экстренных служб.
    ### **Таблица диагностики**

    | Симптом | Вероятная причина | Решение |
    | :--- | :--- | :--- |
    | **Голос робота / задержка** | Высокий джиттер или пинг на LTE | Настройка антенны, выбор менее загруженного диапазона (B3/B7/B20). |
    | **Звонки не проходят вообще** | Закрыты порты 500/4500 | Проброс портов или активация функции IPSec Passthrough. |
    | **Обрыв при перемещении** | Нет Mesh-роуминга | Установка системы с поддержкой 802.11k/r. |
    | **Телефон «не видит» Wi-Fi Calling** | Ограничение оператора или SIM | Проверка поддержки услуги у оператора, замена старой SIM-карты. |

    #Troubleshooting #NetworkLatency #IPsec #VoWiFiProblems #Telecom #LTE_Issues #NetworkSecurity #MeshNetwork #MobileConnectivity #TechSupport

  3. Möchte mir jemand die Vorteile von #ipsec erklären?!

    Es darf dann aber bitte vorher noch das Testament machen... 🤬

  4. 🚨 New Linux kernel issues: Dirty Frag
    CVE-2026-43284 & CVE-2026-43500 affect IPsec/XFRM packet handling paths.

    ✔ Standard RELIANOID ADC deployments are not affected
    ⚠ RELIANOID VPN/IPsec users should review exposure and mitigations

    Our advisory includes:
    • affected modules
    • validation commands
    • mitigation guidance
    • patch roadmap (EE > 8.5)

    👉 relianoid.com/resources/knowle

  5. And here's another one:
    github.com/0xdeadbeefnetwork/C

    This one is not fixed by f4c50a40, so all current kernels are vulnerable. Looks like mitigation is possible by blocking kernel modules `esp4` + `esp6` here as well (and breaking #IPSec in doing so). Can someone confirm?

    Why is it called "Electric Boogaloo"… is this a #DonaldByrd fan? Were they inspired by this week's @thekalimerashow shows??

    #privilegeescalation #linux #vulnerability #linuxadmin #sysadmin #exploit #copyfail2 #electricboogaloo

  6. And here's another one:
    github.com/0xdeadbeefnetwork/C

    This one is not fixed by f4c50a40, so all current kernels are vulnerable. Looks like mitigation is possible by blocking kernel modules `esp4` + `esp6` here as well (and breaking #IPSec in doing so). Can someone confirm?

    Why is it called "Electric Boogaloo"… is this a #DonaldByrd fan? Were they inspired by this week's @thekalimerashow shows??

    #privilegeescalation #linux #vulnerability #linuxadmin #sysadmin #exploit #copyfail2 #electricboogaloo

  7. And here's another one:
    github.com/0xdeadbeefnetwork/C

    This one is not fixed by f4c50a40, so all current kernels are vulnerable. Looks like mitigation is possible by blocking kernel modules `esp4` + `esp6` here as well (and breaking #IPSec in doing so). Can someone confirm?

    Why is it called "Electric Boogaloo"… is this a #DonaldByrd fan? Were they inspired by this week's @thekalimerashow shows??

    #privilegeescalation #linux #vulnerability #linuxadmin #sysadmin #exploit #copyfail2 #electricboogaloo

  8. And here's another one:
    github.com/0xdeadbeefnetwork/C

    This one is not fixed by f4c50a40, so all current kernels are vulnerable. Looks like mitigation is possible by blocking kernel modules `esp4` + `esp6` here as well (and breaking #IPSec in doing so). Can someone confirm?

    Why is it called "Electric Boogaloo"… is this a #DonaldByrd fan? Were they inspired by this week's @thekalimerashow shows??

    #privilegeescalation #linux #vulnerability #linuxadmin #sysadmin #exploit #copyfail2 #electricboogaloo

  9. And here's another one:
    github.com/0xdeadbeefnetwork/C

    This one is not fixed by f4c50a40, so all current kernels are vulnerable. Looks like mitigation is possible by blocking kernel modules `esp4` + `esp6` here as well (and breaking #IPSec in doing so). Can someone confirm?

    Why is it called "Electric Boogaloo"… is this a #DonaldByrd fan? Were they inspired by this week's @thekalimerashow shows??

    #privilegeescalation #linux #vulnerability #linuxadmin #sysadmin #exploit #copyfail2 #electricboogaloo

  10. Looks like disabling those modules will break #IPSec (VPN) and the #AFS file system (never seen it used in the wild). Also, the exploit doesn't work on #Android… damn! :-)

  11. Looks like disabling those modules will break #IPSec (VPN) and the #AFS file system (never seen it used in the wild). Also, the exploit doesn't work on #Android… damn! :-)

  12. Looks like disabling those modules will break #IPSec (VPN) and the #AFS file system (never seen it used in the wild). Also, the exploit doesn't work on #Android… damn! :-)

  13. Looks like disabling those modules will break #IPSec (VPN) and the #AFS file system (never seen it used in the wild). Also, the exploit doesn't work on #Android… damn! :-)

  14. Looks like disabling those modules will break #IPSec (VPN) and the #AFS file system (never seen it used in the wild). Also, the exploit doesn't work on #Android… damn! :-)

  15. @devopscats
    Do not apply on hosts which need IPsec.

    Workarounds:

    1️⃣ Try to migrate away from #IPsec to #Wireguard (quite some work per setup)

    2️⃣ Use #SELinux to limit what "normal" processes can do with the modules (even more work, but probably only needs to be done once)

    3️⃣ If none of this works, secure and minitor these machines, especially preventing untrusted users or code

  16. «А трактор случайно не в залоге?» — история одной интеграции с ФЦИИТ

    «— А трактор случайно не в залоге?» — с такого вопроса обычно и начинался рабочий день сотрудников департамента залогового обеспечения в нашем банке. За ним стоит однотипная рутина, на которую раньше уходила большая часть времени: открыть Реестр уведомлений о залоге движимого имущества, ввести данные клиента, подождать результат, проанализировать, принять решение — и так по каждому. Проверка одного заемщика занимает не больше пяти минут, но, когда за час приходит сотня заявок, ручной режим превращается в узкое горлышко. Так в 2024 году перед нами встала задача: автоматизировать выгрузку данных о залогах движимого имущества из реестра, оператором которого является Федеральная нотариальная палата. Я выступала системным аналитиком от системы, отвечающей за взаимодействие банка с внешними сервисами, — оказалась в самом интересном месте: между банком и внешним миром. В этой статье расскажу, как мы подружили банк с ФЦИИТ, с какими трудностями столкнулись и что из этого вышло. Материал будет полезен системным и бизнес-аналитикам, которые только начинают проектировать интеграции с внешними системами.

    habr.com/ru/articles/1025346/

    #финтех #банковская_безопасность #интеграция #api #залог #cryptopro #ipsec #системный_анализ

  17. «А трактор случайно не в залоге?» — история одной интеграции с ФЦИИТ

    «— А трактор случайно не в залоге?» — с такого вопроса обычно и начинался рабочий день сотрудников департамента залогового обеспечения в нашем банке. За ним стоит однотипная рутина, на которую раньше уходила большая часть времени: открыть Реестр уведомлений о залоге движимого имущества, ввести данные клиента, подождать результат, проанализировать, принять решение — и так по каждому. Проверка одного заемщика занимает не больше пяти минут, но, когда за час приходит сотня заявок, ручной режим превращается в узкое горлышко. Так в 2024 году перед нами встала задача: автоматизировать выгрузку данных о залогах движимого имущества из реестра, оператором которого является Федеральная нотариальная палата. Я выступала системным аналитиком от системы, отвечающей за взаимодействие банка с внешними сервисами, — оказалась в самом интересном месте: между банком и внешним миром. В этой статье расскажу, как мы подружили банк с ФЦИИТ, с какими трудностями столкнулись и что из этого вышло. Материал будет полезен системным и бизнес-аналитикам, которые только начинают проектировать интеграции с внешними системами.

    habr.com/ru/articles/1025346/

    #финтех #банковская_безопасность #интеграция #api #залог #cryptopro #ipsec #системный_анализ

  18. «А трактор случайно не в залоге?» — история одной интеграции с ФЦИИТ

    «— А трактор случайно не в залоге?» — с такого вопроса обычно и начинался рабочий день сотрудников департамента залогового обеспечения в нашем банке. За ним стоит однотипная рутина, на которую раньше уходила большая часть времени: открыть Реестр уведомлений о залоге движимого имущества, ввести данные клиента, подождать результат, проанализировать, принять решение — и так по каждому. Проверка одного заемщика занимает не больше пяти минут, но, когда за час приходит сотня заявок, ручной режим превращается в узкое горлышко. Так в 2024 году перед нами встала задача: автоматизировать выгрузку данных о залогах движимого имущества из реестра, оператором которого является Федеральная нотариальная палата. Я выступала системным аналитиком от системы, отвечающей за взаимодействие банка с внешними сервисами, — оказалась в самом интересном месте: между банком и внешним миром. В этой статье расскажу, как мы подружили банк с ФЦИИТ, с какими трудностями столкнулись и что из этого вышло. Материал будет полезен системным и бизнес-аналитикам, которые только начинают проектировать интеграции с внешними системами.

    habr.com/ru/articles/1025346/

    #финтех #банковская_безопасность #интеграция #api #залог #cryptopro #ipsec #системный_анализ

  19. «А трактор случайно не в залоге?» — история одной интеграции с ФЦИИТ

    «— А трактор случайно не в залоге?» — с такого вопроса обычно и начинался рабочий день сотрудников департамента залогового обеспечения в нашем банке. За ним стоит однотипная рутина, на которую раньше уходила большая часть времени: открыть Реестр уведомлений о залоге движимого имущества, ввести данные клиента, подождать результат, проанализировать, принять решение — и так по каждому. Проверка одного заемщика занимает не больше пяти минут, но, когда за час приходит сотня заявок, ручной режим превращается в узкое горлышко. Так в 2024 году перед нами встала задача: автоматизировать выгрузку данных о залогах движимого имущества из реестра, оператором которого является Федеральная нотариальная палата. Я выступала системным аналитиком от системы, отвечающей за взаимодействие банка с внешними сервисами, — оказалась в самом интересном месте: между банком и внешним миром. В этой статье расскажу, как мы подружили банк с ФЦИИТ, с какими трудностями столкнулись и что из этого вышло. Материал будет полезен системным и бизнес-аналитикам, которые только начинают проектировать интеграции с внешними системами.

    habr.com/ru/articles/1025346/

    #финтех #банковская_безопасность #интеграция #api #залог #cryptopro #ipsec #системный_анализ

  20. Nachdem nun alle AD‘s heute wieder laufen, kommt gleich die nächste Folge der nicht enden wollenden Serie: "Wie treiben wir Stefan zur Weißglut". Heutiges Thema: Plötzliche und unerklärliche Paketverluste bei IPsec-Tunneln über Weitverkehrsnetze.

    Diese Woche ist echt der Wurm drin, es ist zum rückwärts essen.

    Lösungsversuch 1:Firewall anschreien 😂
    Lösung: Reboot tut gut 😎

    #sysadminlife #reboottutgut #sysadminhumor #ipsec #vpn #firewall #itwasntdns

  21. Nachdem nun alle AD‘s heute wieder laufen, kommt gleich die nächste Folge der nicht enden wollenden Serie: "Wie treiben wir Stefan zur Weißglut". Heutiges Thema: Plötzliche und unerklärliche Paketverluste bei IPsec-Tunneln über Weitverkehrsnetze.

    Diese Woche ist echt der Wurm drin, es ist zum rückwärts essen.

    Lösungsversuch 1:Firewall anschreien 😂
    Lösung: Reboot tut gut 😎

    #sysadminlife #reboottutgut #sysadminhumor #ipsec #vpn #firewall #itwasntdns

  22. Nachdem nun alle AD‘s heute wieder laufen, kommt gleich die nächste Folge der nicht enden wollenden Serie: "Wie treiben wir Stefan zur Weißglut". Heutiges Thema: Plötzliche und unerklärliche Paketverluste bei IPsec-Tunneln über Weitverkehrsnetze.

    Diese Woche ist echt der Wurm drin, es ist zum rückwärts essen.

    Lösungsversuch 1:Firewall anschreien 😂
    Lösung: Reboot tut gut 😎

    #sysadminlife #reboottutgut #sysadminhumor #ipsec #vpn #firewall #itwasntdns

  23. Nachdem nun alle AD‘s heute wieder laufen, kommt gleich die nächste Folge der nicht enden wollenden Serie: "Wie treiben wir Stefan zur Weißglut". Heutiges Thema: Plötzliche und unerklärliche Paketverluste bei IPsec-Tunneln über Weitverkehrsnetze.

    Diese Woche ist echt der Wurm drin, es ist zum rückwärts essen.

    Lösungsversuch 1:Firewall anschreien 😂
    Lösung: Reboot tut gut 😎

    #sysadminlife #reboottutgut #sysadminhumor #ipsec #vpn #firewall #itwasntdns

  24. Nachdem nun alle AD‘s heute wieder laufen, kommt gleich die nächste Folge der nicht enden wollenden Serie: "Wie treiben wir Stefan zur Weißglut". Heutiges Thema: Plötzliche und unerklärliche Paketverluste bei IPsec-Tunneln über Weitverkehrsnetze.

    Diese Woche ist echt der Wurm drin, es ist zum rückwärts essen.

    Lösungsversuch 1:Firewall anschreien 😂
    Lösung: Reboot tut gut 😎

    #sysadminlife #reboottutgut #sysadminhumor #ipsec #vpn #firewall #itwasntdns

  25. MITM в альтернативном Telegram-клиенте Telega: разбор инцидента и технические детали

    В середине марта 2026 года в открытом доступе появились исследования, указывающие на то, что популярный альтернативный клиент Telegram под названием Telega

    enep-home.ru/2026/03/26/mitm-в

    #IPSec #MITM #MTProto #PFS #RFC2412 #RSA #telega #telegram #безопасность #мессенджер #шифрование

  26. MITM в альтернативном Telegram-клиенте Telega: разбор инцидента и технические детали

    В середине марта 2026 года в открытом доступе появились исследования, указывающие на то, что популярный альтернативный клиент Telegram под названием Telega

    enep-home.ru/2026/03/26/mitm-в

    #IPSec #MITM #MTProto #PFS #RFC2412 #RSA #telega #telegram #безопасность #мессенджер #шифрование

  27. MITM в альтернативном Telegram-клиенте Telega: разбор инцидента и технические детали

    В середине марта 2026 года в открытом доступе появились исследования, указывающие на то, что популярный альтернативный клиент Telegram под названием Telega

    enep-home.ru/2026/03/26/mitm-в

    #IPSec #MITM #MTProto #PFS #RFC2412 #RSA #telega #telegram #безопасность #мессенджер #шифрование

  28. Der IPv6 #APN der #Telekom blockiert den Rückkanal von #IPSec #VPN. Auf so ne Scheiße musst du auch erstmal kommen, wenn du dich wunderst warum die manchmal nicht an deine #Fritzbox kommst von außen.

    Mit dem IPv4 APN klappt es problemlos. 🫩

  29. Move your firewall into the cloud on AWS: blog.ipfire.org/post/launching. IPFire is available on AWS and can protect your servers and comfortably connect them to your office via a VPN #AWS #cloud #firewall #ipsec #openvpn

  30. ⚠️ Attention, si vous déployez @OpenStack après 2025.1 avec #OVN, par défaut le trafic entre vos hyperviseurs circule en clair !

    La sécurité #ZeroTrust est essentielle pour les clouds privés modernes.

    Dans notre dernier article de blog, nous vous montrons comment sécuriser votre #cloud OpenStack en protégeant votre trafic avec le chiffrement #IPsec. Nous construisons une chaîne automatisée robuste avec #FreeIPA #Certmonger et #Kayobe.

    🥷 Lire l'article complet : worteks.com/blog/ovn-ipsec-min

  31. IPFire uses top-of-the-art cryptography for its IPsec VPN tunnels. Therefore it is faster & more secure than many of its competitors #ipsec #ellipticcurves

  32. Как мы в Yandex Infrastructure разделили инфраструктурную сеть, сохранив связность

    Когда мы говорим об инфраструктурной сети, важно понимать, что это не просто сеть для сотрудников. Инфраструктурная сеть в Яндексе решает задачу, без которой невозможно функционирование компании: обеспечить связанность сотрудников и сервисов, независимо от того, где они находятся. Сегодня у Яндекса более сотни офисов по всему миру, и в каждом из них нужно обеспечить стабильный доступ к интернету и к внутренним корпоративным ресурсам. Меня зовут Дмитрий Литовченко, я сетевой инженер группы офисных и инфраструктурных сетей в Yandex Infrastructure. В этой статье я расскажу историю, как эволюционировали отношения нашей инфраструктурной сети и сети дата‑центров: наш полученный опыт за несколько лет, декаплинг сетей, планы развития.

    habr.com/ru/companies/yandex_c

    #oob #ebgp #backbone #vpn #ipsec #openvpn

  33. Трафик спутников ГСО не зашифрован, в том числе у GSM-операторов

    На протяжении многих лет спутники на геостационарной орбите (ГСО) были основным средством обеспечения высокоскоростной связи с удалёнными объектами. Они используются для телевидения и интернета, в том числе через WiFi на борту самолётов, а также для связи с GSM-вышками в удалённых районах. Однако недавнее исследование показало, что этот трафик часто передаётся незашифрованным и доступен для перехвата на недорогом оборудовании: спутниковая антенна ($185); крепление на крышу ($140); мотор для крепления ($195); тюнер ($230). Весь эксперимент они описали в научной работе для конференции ACM.

    habr.com/ru/companies/globalsi

    #ipsec #операторы_gsm #спутниковая_связь #tmobile #спутники #геостационарная_орбита #шифрование