gaaronk
-
Posts
299 -
Joined
-
Days Won
3
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by gaaronk
-
-
А при чем тут аппаратное ускорение?
Мы говорим про IKE, а не ESP. Аппаратное ускорение используется для шифрования трафика, а не для протокола обмена ключами.
-
А чем принципиально отличается задача PSK через
crypto ike key
и
crypto ipsec profile \ preshared-key
?
Для статических туннелей "crypto ike key" работает, а задача PSK через "crypto ipsec profile \ preshared-key" нет.
Во втором случае в ipsec.secrets записывается что то вида "cmap:test-tunnel : PSK "<..>"
Про такой вариант селектора в документации стронгсвана не написано...
-
Если мы говорим про IOS или MacOS с его кривым ракуном, то проблема в том что они не могут сделать reauth если его инициирует сервер, а reauth для IKEv1 обязателен.
Только если они инициирует его сами. При этом lifitime жестко вшит, и составляет 3600 секунд.
Для Apple надо настраивать strongswan так, что бы сервер сам никогда не инициировал reath и rekey.
Примерно так (кусок конфига выстраданный долгой отладкой, ковырянием сорцов и перепиской с авторами стронгсвана):
ikelifetime=70m
lifetime=70m
rekeyfuzz=0%
margintime=5mПри авторизации только по PSK или сертификату, без Xauth, то будет работать. Если дополнительно настроить XAuth по паролю, то работать все равно не будут. Продукты apple не хранят в памяти логин\пароль, и НЕ умеют заново запросить его у пользователя.
-
Это видимо в 2.09, я не указал свою версию ПО. У меня стабильная 2.08
ip adjust-ttl send 64
Command::Base error[7405602]: inc: argument parse error.Впрочем это надо было для работы OSPF, и уже не актуально, так как в bird можно сказать на интерфейсе
ttl security tx only;
И он начнет слать мультикаст пакет с TTL 255, а не 1.
-
Сейчас максимально возможная длина 68 символов.
Думаю стоит ограничить в 128.
Процитирую вики стронгсвана
As you can see from the above formula, the maximum key size a HMAC-based prf can handle is equivalent to its internal block size which is
512 bits or 64 bytes for SHA-1 and SHA-2_256
or
1024 bits or 128 bytes for SHA-2_384 and SHA-2_512.
Thus a restriction to a 64 byte PSK makes sense if you don't care for the HMAC being used. If you explicitly specify sha384 or sha512 in your ike= parameter, then a PSK of up to 128 bytes is possible.
-
Можно ли для GRE туннеля явно задать TTL, вместо inherit ?
Или как можно выполнить что то вроде ip tun change ngre0 ttl 64 сразу по поднятию интерфейса?
-
При использовании для IPSec достаточно длинного PSK - 120 символов, при выполнении sh run получаю в выводе
! ERROR: command "crypto ike key": not enough arguments
!Command::Argument::Password ERROR[268304478]: out of memory [0xcffe005e].А в логе
Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e].
Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e].При этом ввести в CLI такой PSK можно, файл /var/ipsec/ipsec.secrets создается верный, туннель работает.
ПО release: v2.08(AAUW.0)C1
IPSec Virtual IP отключается через час
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
И в догонку. Если делать lifetime большим, например сутки, то strongswan не закрывает уже не используемые CHILD_SA пока не истечет их таймаут. Поэтому 70 минут было выбрано "для красоты", что бы swan оперативно закрывал все лишнее.