Jump to content

gaaronk

Forum Members
 View Profile  See their activity

  • Posts

    299

  • Joined

  • Days Won

    3

 Content Type 

Posts posted by gaaronk

    IPSec Virtual IP отключается через час

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    25 minutes ago, Le ecureuil said:

    Спасибо за интересные наблюдения, примем к сведению.

    И в догонку. Если делать lifetime большим, например сутки, то strongswan не закрывает уже не используемые CHILD_SA пока не истечет их таймаут. Поэтому 70 минут было выбрано "для красоты", что бы swan оперативно закрывал все лишнее.

    crypto ike key

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    А чем принципиально отличается задача PSK через

     

    crypto ike key

    и

    crypto ipsec profile \ preshared-key

    ?

     

    Для статических туннелей "crypto ike key" работает, а задача PSK через "crypto ipsec profile \ preshared-key" нет. 

     

    Во втором случае в ipsec.secrets записывается что то вида "cmap:test-tunnel : PSK "<..>" 

    Про такой вариант селектора в документации стронгсвана не написано...

    IPSec Virtual IP отключается через час

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    Если мы говорим про IOS или MacOS с его кривым ракуном, то проблема в том что они не могут сделать reauth если его инициирует сервер, а reauth для IKEv1 обязателен.

    Только если они инициирует его сами. При этом lifitime жестко вшит, и составляет 3600 секунд.

    Для Apple надо настраивать strongswan так, что бы сервер сам никогда не инициировал reath и rekey.

     

    Примерно так (кусок конфига выстраданный долгой отладкой, ковырянием сорцов и перепиской с авторами стронгсвана):

     

        ikelifetime=70m
        lifetime=70m
        rekeyfuzz=0%
        margintime=5m

     

    При авторизации только по PSK или сертификату, без Xauth, то будет работать. Если дополнительно настроить XAuth по паролю, то работать все равно не будут. Продукты apple не хранят в памяти логин\пароль, и НЕ умеют заново запросить его у пользователя.

     

    TTL для GRE

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by gaaronk

    Это видимо в 2.09, я не указал свою версию ПО. У меня стабильная 2.08

     

    ip adjust-ttl send 64
    Command::Base error[7405602]: inc: argument parse error.

     

    Впрочем это надо было для работы OSPF, и уже не актуально, так как в bird можно сказать на интерфейсе 

    ttl security tx only;

    И он начнет слать мультикаст пакет с TTL 255, а не 1.

    Длинный PSK

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    Сейчас максимально возможная длина 68 символов.

     

    Думаю стоит ограничить в 128.

    Процитирую вики стронгсвана

     

    As you can see from the above formula, the maximum key size a HMAC-based prf can handle is equivalent to its internal block size which is

    512 bits or 64 bytes for SHA-1 and SHA-2_256

    or 

    1024 bits or 128 bytes for SHA-2_384 and SHA-2_512.

    Thus a restriction to a 64 byte PSK makes sense if you don't care for the HMAC being used. If you explicitly specify sha384 or sha512 in your ike= parameter, then a PSK of up to 128 bytes is possible.

     

    Длинный PSK

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    При использовании для IPSec достаточно длинного PSK - 120 символов, при выполнении sh run получаю в выводе

     

    ! ERROR: command "crypto ike key": not enough arguments
    !Command::Argument::Password ERROR[268304478]: out of memory [0xcffe005e].

     

    А в логе

    Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e].
    Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e].

     

    При этом ввести в CLI такой PSK можно, файл /var/ipsec/ipsec.secrets создается верный, туннель работает.

    ПО release: v2.08(AAUW.0)C1

     

×
×
  • Create New...