Jump to content
Как правильно добавить self-test и прочую отладку в тему

IKEv2 IPSec: Windows > Keenetic

John
 Share

Recommended Posts

John Newbie

John

Posted
Posted

Добрый день!

Возможно ли штатными средствами Windows организовать туннель до Keenetic'а в режиме IKEv2?

IKEv1 что-то шалит на 2.10, спасает только v2.

 

PS

Вопрос чисто ради любопытства. Остановился пока на IPIP/IPSec,но и в этом варианте IKEv1 пошаливал.

  • Upvote 1
Link to comment
Share on other sites
  • 1 year later...
Joe Advanced Member

Joe

Posted
Posted (edited)

Тот же вопрос.

На Windows 10 и iOS он предустановлен, настроек там минимум. Насколько я понимаю он быстрый, современный, поддерживает реконнекты.

Будет ли завезена его поддержка в кинетик?

 

Идея кстати тоже есть, но там про сертификаты скорее запрос

 

Edited by Joe D
Link to comment
Share on other sites
r13 Honored Flooder

r13

Posted
Posted
2 часа назад, Joe D сказал:

Тот же вопрос.

На Windows 10 и iOS он предустановлен, настроек там минимум. Насколько я понимаю он быстрый, современный, поддерживает реконнекты.

Будет ли завезена его поддержка в кинетик?

 

Идея кстати тоже есть, но там про сертификаты скорее запрос

 

В ios впринципе и l2tp/ipsec много чего поддерживает, просто настройки не вынесены, через конфигурационные файлы настраивать приходится. 
А так да ждем ikev2 🙂

Link to comment
Share on other sites
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted

В принципе, на сертификатах LE можно сделать IKEv2. Но проблема тут довольно глубокая и фундаментальная.

Когда у тебя устройства подконтрольны и свой CA, то можно выписать цепочку сертификатов так, чтобы не было IKE-фрагментации.

А с LE, пока у них нет ECDSA-корня, длинная цепочка с intermediate и пока приходится выписывать клиентские RSA минимум по 2048 бит, то IKE-сообщения с fullchain будут фрагментированны.

Многие клиенты этих шуток (хотя они и есть в спецификации) не понимают, и мы получаем болт.

Потому на самом деле единственное тут чего мы все ждем - это ECDSA-корня у Let's Encrypt. Обещают уже несколько лет подряд.

  • Upvote 1
Link to comment
Share on other sites
r13 Honored Flooder

r13

Posted
Posted
18 минут назад, Le ecureuil сказал:

В принципе, на сертификатах LE можно сделать IKEv2. Но проблема тут довольно глубокая и фундаментальная.

Когда у тебя устройства подконтрольны и свой CA, то можно выписать цепочку сертификатов так, чтобы не было IKE-фрагментации.

А с LE, пока у них нет ECDSA-корня, длинная цепочка с intermediate и пока приходится выписывать клиентские RSA минимум по 2048 бит, то IKE-сообщения с fullchain будут фрагментированны.

Многие клиенты этих шуток (хотя они и есть в спецификации) не понимают, и мы получаем болт.

Потому на самом деле единственное тут чего мы все ждем - это ECDSA-корня у Let's Encrypt. Обещают уже несколько лет подряд.

Со своим СА вполне приемлемо, в openvpn же так и пользуемся. 

Link to comment
Share on other sites
  • 2 weeks later...
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
В 23.10.2019 в 00:59, r13 сказал:

Со своим СА вполне приемлемо, в openvpn же так и пользуемся. 

У openvpn одна и та же реализация везде, потому и работает.

Реализация IKEv2 в каждой ОС своя, а то и несколько. Вот и получаем "как всегда" :)

  • Thanks 1
Link to comment
Share on other sites
  • 5 months later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...