Чтобы добавлять сообщения и комментарии, .

@Melhior:
Melhior

Кто-нибудь дружил микротик по ipsec с openswan|stronswan|etc в режиме host-to-host?

@Hawat:
Hawat

пол часа мцечений ушло на точ то-бы выяснить что на разных прошивках первотега по умолчанию настроенные различные Proposales

@overmind88:
overmind88

Что лучше заюзать для доступа в офис по VPN? Пока выбираю между ipsec+-l2tp и openvpn. Клиенты будут виндовые, линуксовые и может быть маковские.

@dinart:
dinart

прикрутил шифрование ГОСТ, пока только в ручном режиме
crypto# ipsecctl -sa
FLOWS:
flow esp in from 192.168.8.0/24 to 192.168.7.0/24 peer 192.168.56.102 type require
flow esp out from 192.168.7.0/24 to 192.168.8.0/24 peer 192.168.56.102 type require

SAD:
esp tunnel from 192.168.56.101 to 192.168.56.102 spi 0xabd9da39 auth hmac-gost enc gost-ecb
esp tunnel from 192.168.56.102 to 192.168.56.101 spi 0xc9dbb83d auth hmac-gost enc gost-ecb

@Gem:
Gem

CVE-2013-4350 (http://secunia.com/advisories/54822/): В реализации IPsec-туннеля выявлена уязвимость, проявляющаяся в отсутствии шифрования трафика при выборе транспорта AH + ESP в сочетании с использованием IPv6 и включением шифрования исключительно SCTP трафика. Атакующий, имеющий доступ к промежуточному шлюзу, может произвести атаку «человек посередине» и перехватить потенциально важные данные. Для IPv4 проблема не проявляется. Исправление доступно в виде патча (http://git.kernel.org/cgit/linux/kernel/git/davem/net.git/commit/?id=95ee62083cb6453e056562d91f597552021e6ae7).

@mikeb:
mikeb

openiked.org и меня записали (:

@mikeb:
mikeb

божинька, убей пожалуйста ебанариев, додумавшихся до вот такой схемы tools.ietf.org использования уже и так пизданутого ESN'а. ну или хотя бы чтобы их диарея схватила каждый раз как будет имплементироваться ихняя хуета.

@mikeb:
mikeb

забыл пропиарить свою модную презентацию: openbsd.org (;

@seeker:
seeker

Ахренеть. Единственная связка к которой без проблем цепляются все имеющиеся у меня клиенты это патченый racoon из репы Nikoforge и xl2tpd под Centos6. Такими темпами прийдется блин держать отдельную виртуалку под vpn концентратор.

@seeker:
seeker

Standards are good, everyone should have one.
БЛЯТЬБЛЯТЬБЛЯТЬебанаяиндустрия
И того на данный момент у меня есть — связка racoon+xl2tpd в которую прекрасно ходит андроид 4.0.x (при указании ид ipsec) и w7 (при прописывании на сервере ip как id для psk
есть связка openswan+l2tpd в которую прекрасно ходит ифон и андроид 2. 3.. остальные отваливаются по таймауту

@seeker:
seeker

слушайте есть ракун. древний. 0.6.5 ему можно как-нить скормить psk непривязанный к id? судя по логам * superkey он тупо игнорит

@mikeb:
mikeb

коммитнул поддержку extended sequence numbers в опен

@mikeb:
mikeb

забацал extended sequence numbers для ipsec (aka espv3 или ipsecv3). патчи брать в техе. если не кто не запротестует, скоро скоммичу (-:

@winner:
winner

Чего-то вдруг рухнула 2811:
System returned to ROM by bus error at PC 0x436E4318, address 0xD0D0D21 at 16:17:29 MSK Mon Apr 9 2012
System restarted at 16:19:16 MSK Mon Apr 9 2012

После загрузки не захотел подыматься IPSec, не смотря на то, что стоял connect auto, в дебаге попыток соединения не было тоже. Перевёл в manual, запустил — поднялось, вернул в auto. Посмотрим.

@Gem:
Gem

Building a tunnelled VPN using ESP (through NAT)
mad-hacking.net

@wasd:
wasd

Што, я нихуянепонел. Это IPSec ходит внутри L2TP, или же наоборот — L2TP ходит внутри IPSec?

@Gem:
Gem

Енотовидная 0.3.3 от Debian Sarge (Этот пакет включает в себя енота-инструмент.)

@kuyantus:
kuyantus

Раскурил настройку IPSec'а, в ходе изучения был посещён не один ресурс, поэтому постарался начальный этап расписать подробно. Новичкам подойдёт, думаю. Ну и, если есть неточности, сообщайте :) shukurov.com

@Stiletto:
Stiletto

А я люблю обмазывать свой L2TP не свежим ESP и дрочить.

@seeker:
seeker

слушайте я туплю или у меня таки пакеты идут нешифрованные ??
# tcpdump -i vlan0 host A.A.A.A
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan0, link-type EN10MB (Ethernet), capture size 96 bytes
16:37:18.339070 IP A.A.A.A > B.B.B.B: ICMP echo request, id 31573, seq 0, length 64
16:37:18.339132 IP B.B.B.B > A.A.A.A: ICMP echo reply, id 31573, seq 0, length 64
16:37:19.366409 IP A.A.A.A > B.B.B.B: ICMP echo request, id 31573, seq 1, length 64
16:37:19.366442 IP B.B.B.B > A.A.A.A: ICMP echo reply, id 31573, seq 1, length 64
При этом на той стороне (OpenBSD)
sudo ipsecctl -s a |grep 77
flow esp in proto tcp from B.B.B.B to A.A.A.A peer B.B.B.B srcid A.A.A.A/32 dstid B.B.B.B/32 type use
flow esp out proto tcp from A.A.A.A to B.B.B.B peer B.B.B.B srcid A.A.A.A/32 dstid B.B.B.B/32 type require
esp transport from A.A.A.A to B.B.B.B spi 0x019a5700 auth hmac-sha1 enc aes
esp transport from A.A.A.A to B.B.B.B spi 0x02e7d6a2 auth hmac-sha1 enc aes
esp transport from B.B.B.B to A.A.A.A spi 0xb7ae7306 auth hmac-sha1 enc aes
esp transport from B.B.B.B to A.A.A.A spi 0xf3443ee1 auth hmac-sha1 enc aes

@Transmitter:
Transmitter

пока был в трипе времени и желания было мало что то ковырять. в итоге приблизительно ознакомился по книжкам с механизмом IPSec. нашёл упоминание, что изначально всё задумывалось под IPv6, но ввиду малораспространённости начало существование в v4. вот это заинтересовало. хочется найти моар инфы по сему поводу. теперь же это более, чем актуально становится. алсо, нашёл книжку по VPN:
Название: Основы построения виртуальных частных сетей
Автор: С. В. Запечников, Н. Г. Милославская, А. И. Толстой
Издательство: Горячая Линия — Телеком
книжка чем то особенным не выделяется, но если вот так в вузах рассказывают VPN, то уже неплохо. в общем её тоже почитал, вот думаю купить чтоли. ну чтоб на полке красиво стояла :)
вообще это издательство нравится. потихоньку, но что то интересное периодически вбрасывает. до этого читал по электронике учебник, а ещё- Финогенов К. Г. Самоучитель по системным функциям MS-DOS.

@Transmitter:
Transmitter

какими пакетами кроме
-ipsec-tools
-iproute2
-Racoon/Racoon2/strongSwan
-Openssl
пользуетесь для задействования IPSec?

@Gem:
Gem

Примус починяю
alsigned.ru
xgu.ru

@seeker:
seeker

Слушайте а как вообще принято через IPSec пробрасывать роутинг?
у меня есть некая A.B.C.0/24 которая резервным каналом имеет ipsec ike esp до A.D.F.E (в основном канале маршрутизация приходит по OSPF)
Хочется как-то сделать так что бы ipsec мог быть маршрутом по умолчанию.

@i-mry:
i-mry

Ису я таки поимел. Все галлюцинации с remote_proxy были связаны с тем, что я пинговал сеть за циской прямо с исы. И эта падла подсовывала циске в ответ свой внешний айпишник. Как только я решил пингануть с хоста ЗА исой, туннель мгновенно поднялся. Ну кто бы знал....

@i-mry:
i-mry

Дано: ISA 2006 и Cisco 831. Задача: объединить их IPSec'ом.
Все бы хорошо, но при установке ipsec соединения циски и исой, я вижу в дебаге циски remote_proxy= 94.141.хх.хх
WTF!? почему в remote_proxy она запихнула внешний белый айпишник исы??? local_proxy причем верный — 192.168.4.0

@seeker:
seeker

или я что-то неправильно настроил или атом D510 дает загрузку всего 10% по обоим ядрам при траффике 8.7 мбпс (кажется это потолок для провайдера).
esp tunnel from A.A.A.A to B.B.B.B spi 0x4643b19b auth hmac-md5 enc 3des-cbc

@mikeb:
mikeb

Ссылка от jsg на злобу дня: Шнайер и Фергюсон про IPsec schneier.com

@mikeb:
mikeb

закоммитил фикс для разных крипто-акселераторов на тему cbc oracle атаки. оригинальный фикс для софтового крипто был закоммичен дядей анжелосом 9 лет назад.

@Michae1:
Michae1

Большой брат следит за тобой: opennet.ru

@gelraen:
gelraen

Бэкдоры в IPSEC! Голактеко апасносте! ul-lug.ru

@Raifeg:
Raifeg

Вот так и подарочек Тео де Раадту на новый год. Ему прислали письмо с признанием в том, что ФБР внедряла бэкдоры в код IPSec, который из OpenBSD тянули все, кому не лень… Тео письмо выложил, ссылка на него. Такие дела.
permalink.gmane.org

@mikeb:
mikeb

забавно, что, хотя microsoft сами разработали стандарт ikev2, windows 7 стандарту совсем не следует (rekeying поломан совсем). это верх цинизма или индусы протупили?

@seeker:
seeker

/me скоро сможен выступать на соревнованиях по разбиванию головой всяких стройматериалов.
paste.org.ru При этом оно точно 2 раза сцеплялось!

@seeker:
seeker

Что-то я кажется сдаюсь. Пытаемся скрестить опенка с кошкой. в выводе видим Oct 28 17:25:14 ipsec1 isakmpd[27143]: transport_send_messages: giving up on exchange from-10.200.135.76-to-10.200.135.250, no response from peer 10.200.135.250:500

При этом 1 раз оно даже как-то сцепилось и работало. Но один раз и как я углядеть неосилил

@seeker:
seeker

окак.. если на одной из машин прописать роутинг до подсети другой в любое место то пакеты начинают ходить. причем по туннелю. НО только с машины инициирующей соединение. я в ахуе

@seeker:
seeker

Взываю к вселенскому разуму:
Encap:
Source Port Destination Port Proto SA(Address/Proto/Type/Direction)
10.200.135.77/32 0 10.200.135.76/32 0 0 10.200.135.77/esp/use/in
10.200.135.76/32 0 10.200.135.77/32 0 0 10.200.135.77/esp/require/out
10.2/16 0 10.1/16 0 0 10.200.135.77/esp/use/in
10.1/16 0 10.2/16 0 0 10.200.135.77/esp/require/out
10.2/16 0 10.200.135.76/32 0 0 10.200.135.77/esp/use/in
10.200.135.76/32 0 10.2/16 0 0 10.200.135.77/esp/require/out

seeker@ipsec1$ ping 10.2.0.1
PING 10.2.0.1 (10.2.0.1): 56 data bytes
--- 10.2.0.1 ping statistics ---
61 packets transmitted, 0 packets received, 100.0% packet loss
эээ???

@seeker:
seeker

балдею. 2 аааабсолютно одинаковых опенбсд. пытаюсь поднять туннель по symantec.com в итоге отлавливаю чудесное

205242.907510 Default attribute_unacceptable: ENCRYPTION_ALGORITHM: got AES_CBC, expected 3DES_CBC
205242.909728 Default message_negotiate_sa: no compatible proposal found
205242.910250 Default dropped message from 10.200.135.76 port 500 due to notification type NO_PROPOSAL_CHOSEN

Это типа у опенка разные дефолты на инициацию ipsec и прием???

@mikeb:
mikeb

Моя реализация AES-GCM тормознее AESCTR-HMAC-SHA2-256 в 2 раза, тормознее AESCTR-HMAC-MD5 в 3.5 раза. Проблема в функции перемножения в конечном поле GF(128). Я использовал 32-битную арифметику, а поскольку GMAC работает с данными в big endian формате, то необходимо преобразование; плюс там копирование данных скорее всего получается. Тем не менее, переписав GMAC в обычном виде с побайтовым доступом, получил ухудшение производительности в 4 раза. Забавно всё это.

@mikeb:
mikeb

Два Soekris net5501-70, включенных лоб в лоб в режиме маршрутизатора, выдают 80Mbps (по данным tcpbench). Клиентом и сервером являются Core i5 машины с PCI-Express'ными Intel PRO/1000 PT (82572EI). Если же между ними сделать IPsec туннель без аутентификации и без шифрования, производительность падает до 35Mbps. Фактически IPsec только меняет mbuf цепочки, добавляя заголовок и пробрасывает пакет через криптофреймворк, где шифрования не происходит, но происходит переключение контекста из прерывания в crypto kernel thread.