Нарушение сортировки proposals при изменении настроек в cli

r13 · February 27, 2017

При настройке карты через веб все хорошо, так как из-за особенностей реализации карта пересоздается полностью, и порядок proposal в конфиге правильный, от наиболее стойких алгоритмов к наиболее слабым.

Если же редактировать настройки через cli то то настройка добавляется в конец уже созданного списка, и в неизменном виде загружаются strogswan.

В результате выбирается не оптимальный с точки зрения безопасности протокол при соединении.

Пример:

Конфиг( integrity sha256 добавлен через cli)

crypto ike proposal VirtualIP
    encryption aes-cbc-256
    encryption aes-cbc-128
    dh-group 14
    dh-group 2
    integrity sha1
    integrity sha256

Лог соединения:

ipsec05[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#

ipsec05[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/# Feb 27 16:31:22ipsec05[CFG]

selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#

Хотелось бы это поправить, сейчас проще ручками конфиг отредактировать.

Edited February 27, 2017 by r13

Le ecureuil · February 27, 2017

Это не баг, а изначально заложенная фича. При редактировании порядок полностью сохраняется, потому если надо добавить в начало - нужно пересоздать весь список.

r13 · February 27, 2017

Ок, будем знать

CBLoner · March 20, 2017

А пересоздать список через веб, это снять все галки (шифрования и хэшей) и сохранить, а потом зайти и опять выставить как надо и опять сохранить?
А то у меня тоже сбивается иногда и именно через веб.

Отправлено с моего SM-A520F через Tapatalk

Le ecureuil · March 20, 2017

25 минут назад, cbloner сказал:

А пересоздать список через веб, это снять все галки (шифрования и хэшей) и сохранить, а потом зайти и опять выставить как надо и опять сохранить?
А то у меня тоже сбивается иногда и именно через веб.

Отправлено с моего SM-A520F через Tapatalk

Приводите примеры.

Web должен делать все нормально.

r13 · March 20, 2017

44 минуты назад, cbloner сказал:

А пересоздать список через веб, это снять все галки (шифрования и хэшей) и сохранить, а потом зайти и опять выставить как надо и опять сохранить?
А то у меня тоже сбивается иногда и именно через веб.

Отправлено с моего SM-A520F через Tapatalk

Веб каждый раз пересоздает по моим наблюдениям, только cli создается в точности как вводил команды.

Sign In

Нарушение сортировки proposals при изменении настроек в cli

Recommended Posts

r13

Link to comment

Share on other sites

Le ecureuil

Link to comment

Share on other sites

r13

Link to comment

Share on other sites

CBLoner

Link to comment

Share on other sites

Le ecureuil

Link to comment

Share on other sites

r13

Link to comment

Share on other sites

Join the conversation

Recently Browsing 0 members

Browse

Activity

Store

My Details