Jump to content

Recommended Posts

При использовании для IPSec достаточно длинного PSK - 120 символов, при выполнении sh run получаю в выводе

 

! ERROR: command "crypto ike key": not enough arguments
!Command::Argument::Password ERROR[268304478]: out of memory [0xcffe005e].

 

А в логе

Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e].
Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e].

 

При этом ввести в CLI такой PSK можно, файл /var/ipsec/ipsec.secrets создается верный, туннель работает.

ПО release: v2.08(AAUW.0)C1

 

Link to comment
Share on other sites

21 час назад, gaaronk сказал:

При использовании для IPSec достаточно длинного PSK - 120 символов, при выполнении sh run получаю в выводе

 

! ERROR: command "crypto ike key": not enough arguments
!Command::Argument::Password ERROR[268304478]: out of memory [0xcffe005e].

 

А в логе

Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e].
Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e].

 

При этом ввести в CLI такой PSK можно, файл /var/ipsec/ipsec.secrets создается верный, туннель работает.

ПО release: v2.08(AAUW.0)C1

 

Думаю, надо ограничить разрешенную длину PSK до 64, всем хватит.

Link to comment
Share on other sites

Сейчас максимально возможная длина 68 символов.

 

Думаю стоит ограничить в 128.

Процитирую вики стронгсвана

 

As you can see from the above formula, the maximum key size a HMAC-based prf can handle is equivalent to its internal block size which is

512 bits or 64 bytes for SHA-1 and SHA-2_256

or 

1024 bits or 128 bytes for SHA-2_384 and SHA-2_512.

Thus a restriction to a 64 byte PSK makes sense if you don't care for the HMAC being used. If you explicitly specify sha384 or sha512 in your ike= parameter, then a PSK of up to 128 bytes is possible.

 

Link to comment
Share on other sites

Хватит и 64, все равно не ускоряемые аппаратно режимы мало интересны.

Link to comment
Share on other sites

А при чем тут аппаратное ускорение?

Мы говорим про IKE, а не ESP. Аппаратное ускорение используется для шифрования трафика, а не для протокола обмена ключами. 

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...