26.09.2013 21:08, Artem Chuprina пишет: > Для того, чтобы заблокировать входящий запрос, совершенно не обязательно > парсить шифрованный трафик. Ну, за исключением варианта OpenVPN over > TCP c настроенным keepalive. > > Да, я тоже в курсе, что в других вариантах тоже иногда можно настроить > такой keepalive, чтобы файрволы провайдера не продалбывали соединение. > Но обычно это будет довольно частый keepalive, типичное время > протухания, допустим, UDP-"сессии" в подобном файрволе - секунд 30. Вариант с keepalive и протухшей записью в NAT у провайдера я отмёл потому что для провайдерского NAT нет разницы что внутри пакета - TCP или ICMP. У ТС есть ответ на icmp внутри туннеля, а вот на tcp ответов нет. Вот ещё идея пришла в голову - с MTU всё хорошо? Как внутри туннеля так и снаружи. -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: antmix@stopicq.ru
Attachment:
signature.asc
Description: OpenPGP digital signature