gaaronk Posted March 8, 2017 Share Posted March 8, 2017 При использовании для IPSec достаточно длинного PSK - 120 символов, при выполнении sh run получаю в выводе ! ERROR: command "crypto ike key": not enough arguments !Command::Argument::Password ERROR[268304478]: out of memory [0xcffe005e]. А в логе Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e]. Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e]. При этом ввести в CLI такой PSK можно, файл /var/ipsec/ipsec.secrets создается верный, туннель работает. ПО release: v2.08(AAUW.0)C1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 9, 2017 Share Posted March 9, 2017 21 час назад, gaaronk сказал: При использовании для IPSec достаточно длинного PSK - 120 символов, при выполнении sh run получаю в выводе ! ERROR: command "crypto ike key": not enough arguments !Command::Argument::Password ERROR[268304478]: out of memory [0xcffe005e]. А в логе Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e]. Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e]. При этом ввести в CLI такой PSK можно, файл /var/ipsec/ipsec.secrets создается верный, туннель работает. ПО release: v2.08(AAUW.0)C1 Думаю, надо ограничить разрешенную длину PSK до 64, всем хватит. Quote Link to comment Share on other sites More sharing options...
gaaronk Posted March 9, 2017 Author Share Posted March 9, 2017 Сейчас максимально возможная длина 68 символов. Думаю стоит ограничить в 128. Процитирую вики стронгсвана As you can see from the above formula, the maximum key size a HMAC-based prf can handle is equivalent to its internal block size which is 512 bits or 64 bytes for SHA-1 and SHA-2_256 or 1024 bits or 128 bytes for SHA-2_384 and SHA-2_512. Thus a restriction to a 64 byte PSK makes sense if you don't care for the HMAC being used. If you explicitly specify sha384 or sha512 in your ike= parameter, then a PSK of up to 128 bytes is possible. Quote Link to comment Share on other sites More sharing options...
r13 Posted March 9, 2017 Share Posted March 9, 2017 Хватит и 64, все равно не ускоряемые аппаратно режимы мало интересны. Quote Link to comment Share on other sites More sharing options...
gaaronk Posted March 9, 2017 Author Share Posted March 9, 2017 А при чем тут аппаратное ускорение? Мы говорим про IKE, а не ESP. Аппаратное ускорение используется для шифрования трафика, а не для протокола обмена ключами. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.