Strephil
Linux VPN ipsec ikev2 Использую strongswan, Arch и Ubuntu. И какое-то оно всё жутко глючное.
Что-то работает, что-то не работает, часть сайтов не открывается, mtu не то. То реаутентификация не проходит, то ещё что-то.
Как-то с wireguard никаких проблем не было. Включил и работает.
Ilya-S-Zharskiy
code VPN l2tp ipsec
error unable to load vpn connection editor 

===========================================================================================================================
 Package                                Architecture        Version                              Repository           Size
===========================================================================================================================
Installing:
 NetworkManager-l2tp                    x86_64              1.8.2-1.el8                          epel                173 k
 NetworkManager-l2tp-gnome              x86_64              1.8.2-1.el8                          epel                 54 k
overmind88
Linux работа VPN ipsec Что лучше заюзать для доступа в офис по VPN? Пока выбираю между ipsec+-l2tp и openvpn. Клиенты будут виндовые, линуксовые и может быть маковские.
dinart
OpenBSD crypto ipsec gost прикрутил шифрование ГОСТ, пока только в ручном режиме
crypto# ipsecctl -sa
FLOWS:
flow esp in from 192.168.8.0/24 to 192.168.7.0/24 peer 192.168.56.102 type require
flow esp out from 192.168.7.0/24 to 192.168.8.0/24 peer 192.168.56.102 type require

SAD:
esp tunnel from 192.168.56.101 to 192.168.56.102 spi 0xabd9da39 auth hmac-gost enc gost-ecb
esp tunnel from 192.168.56.102 to 192.168.56.101 spi 0xc9dbb83d auth hmac-gost enc gost-ecb
Gem
IPv6 sec ipsec CVE-2013-4350 (http://secunia.com/advisories/54822/): В реализации IPsec-туннеля выявлена уязвимость, проявляющаяся в отсутствии шифрования трафика при выборе транспорта AH + ESP в сочетании с использованием IPv6 и включением шифрования исключительно SCTP трафика. Атакующий, имеющий доступ к промежуточному шлюзу, может произвести атаку «человек посередине» и перехватить потенциально важные данные. Для IPv4 проблема не проявляется. Исправление доступно в виде патча (http://git.kernel.org/cgit/linux/kernel/git/davem/net.git/commit/?id=95ee62083cb6453e056562d91f597552021e6ae7).
seeker
l2tp ipsec Ахренеть. Единственная связка к которой без проблем цепляются все имеющиеся у меня клиенты это патченый racoon из репы Nikoforge и xl2tpd под Centos6. Такими темпами прийдется блин держать отдельную виртуалку под vpn концентратор.
seeker
l2tp ipsec Standards are good, everyone should have one.
БЛЯТЬБЛЯТЬБЛЯТЬебанаяиндустрия
И того на данный момент у меня есть — связка racoon+xl2tpd в которую прекрасно ходит андроид 4.0.x (при указании ид ipsec) и w7 (при прописывании на сервере ip как id для psk
есть связка openswan+l2tpd в которую прекрасно ходит ифон и андроид 2. 3.. остальные отваливаются по таймауту
seeker
ipsec слушайте есть ракун. древний. 0.6.5 ему можно как-нить скормить psk непривязанный к id? судя по логам * superkey он тупо игнорит
winner
Cisco ipsec Чего-то вдруг рухнула 2811:
System returned to ROM by bus error at PC 0x436E4318, address 0xD0D0D21 at 16:17:29 MSK Mon Apr 9 2012
System restarted at 16:19:16 MSK Mon Apr 9 2012

После загрузки не захотел подыматься IPSec, не смотря на то, что стоял connect auto, в дебаге попыток соединения не было тоже. Перевёл в manual, запустил — поднялось, вернул в auto. Посмотрим.
kuyantus
Linux internet ipsec Раскурил настройку IPSec'а, в ходе изучения был посещён не один ресурс, поэтому постарался начальный этап расписать подробно. Новичкам подойдёт, думаю. Ну и, если есть неточности, сообщайте :) shukurov.com
seeker
ipsec слушайте я туплю или у меня таки пакеты идут нешифрованные ??
# tcpdump -i vlan0 host A.A.A.A
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan0, link-type EN10MB (Ethernet), capture size 96 bytes
16:37:18.339070 IP A.A.A.A > B.B.B.B: ICMP echo request, id 31573, seq 0, length 64
16:37:18.339132 IP B.B.B.B > A.A.A.A: ICMP echo reply, id 31573, seq 0, length 64
16:37:19.366409 IP A.A.A.A > B.B.B.B: ICMP echo request, id 31573, seq 1, length 64
16:37:19.366442 IP B.B.B.B > A.A.A.A: ICMP echo reply, id 31573, seq 1, length 64
При этом на той стороне (OpenBSD)
sudo ipsecctl -s a |grep 77
flow esp in proto tcp from B.B.B.B to A.A.A.A peer B.B.B.B srcid A.A.A.A/32 dstid B.B.B.B/32 type use
flow esp out proto tcp from A.A.A.A to B.B.B.B peer B.B.B.B srcid A.A.A.A/32 dstid B.B.B.B/32 type require
esp transport from A.A.A.A to B.B.B.B spi 0x019a5700 auth hmac-sha1 enc aes
esp transport from A.A.A.A to B.B.B.B spi 0x02e7d6a2 auth hmac-sha1 enc aes
esp transport from B.B.B.B to A.A.A.A spi 0xb7ae7306 auth hmac-sha1 enc aes
esp transport from B.B.B.B to A.A.A.A spi 0xf3443ee1 auth hmac-sha1 enc aes
Transmitter
books VPN ipsec пока был в трипе времени и желания было мало что то ковырять. в итоге приблизительно ознакомился по книжкам с механизмом IPSec. нашёл упоминание, что изначально всё задумывалось под IPv6, но ввиду малораспространённости начало существование в v4. вот это заинтересовало. хочется найти моар инфы по сему поводу. теперь же это более, чем актуально становится. алсо, нашёл книжку по VPN:
Название: Основы построения виртуальных частных сетей
Автор: С. В. Запечников, Н. Г. Милославская, А. И. Толстой
Издательство: Горячая Линия — Телеком
книжка чем то особенным не выделяется, но если вот так в вузах рассказывают VPN, то уже неплохо. в общем её тоже почитал, вот думаю купить чтоли. ну чтоб на полке красиво стояла :)
вообще это издательство нравится. потихоньку, но что то интересное периодически вбрасывает. до этого читал по электронике учебник, а ещё- Финогенов К. Г. Самоучитель по системным функциям MS-DOS.
seeker
ipsec Слушайте а как вообще принято через IPSec пробрасывать роутинг?
у меня есть некая A.B.C.0/24 которая резервным каналом имеет ipsec ike esp до A.D.F.E (в основном канале маршрутизация приходит по OSPF)
Хочется как-то сделать так что бы ipsec мог быть маршрутом по умолчанию.
i-mry
Cisco ISA ipsec Ису я таки поимел. Все галлюцинации с remote_proxy были связаны с тем, что я пинговал сеть за циской прямо с исы. И эта падла подсовывала циске в ответ свой внешний айпишник. Как только я решил пингануть с хоста ЗА исой, туннель мгновенно поднялся. Ну кто бы знал....
i-mry
Cisco ISA ipsec Дано: ISA 2006 и Cisco 831. Задача: объединить их IPSec'ом.
Все бы хорошо, но при установке ipsec соединения циски и исой, я вижу в дебаге циски remote_proxy= 94.141.хх.хх
WTF!? почему в remote_proxy она запихнула внешний белый айпишник исы??? local_proxy причем верный — 192.168.4.0
seeker
OpenBSD ipsec или я что-то неправильно настроил или атом D510 дает загрузку всего 10% по обоим ядрам при траффике 8.7 мбпс (кажется это потолок для провайдера).
esp tunnel from A.A.A.A to B.B.B.B spi 0x4643b19b auth hmac-md5 enc 3des-cbc
mikeb
OpenBSD crypto ipsec закоммитил фикс для разных крипто-акселераторов на тему cbc oracle атаки. оригинальный фикс для софтового крипто был закоммичен дядей анжелосом 9 лет назад.
Raifeg
варнинг ipsec Вот так и подарочек Тео де Раадту на новый год. Ему прислали письмо с признанием в том, что ФБР внедряла бэкдоры в код IPSec, который из OpenBSD тянули все, кому не лень… Тео письмо выложил, ссылка на него. Такие дела.
permalink.gmane.org
mikeb
ipsec забавно, что, хотя microsoft сами разработали стандарт ikev2, windows 7 стандарту совсем не следует (rekeying поломан совсем). это верх цинизма или индусы протупили?
seeker
Cisco OpenBSD ipsec Что-то я кажется сдаюсь. Пытаемся скрестить опенка с кошкой. в выводе видим Oct 28 17:25:14 ipsec1 isakmpd[27143]: transport_send_messages: giving up on exchange from-10.200.135.76-to-10.200.135.250, no response from peer 10.200.135.250:500

При этом 1 раз оно даже как-то сцепилось и работало. Но один раз и как я углядеть неосилил
seeker
ipsec окак.. если на одной из машин прописать роутинг до подсети другой в любое место то пакеты начинают ходить. причем по туннелю. НО только с машины инициирующей соединение. я в ахуе
seeker
OpenBSD ipsec Взываю к вселенскому разуму:
Encap:
Source Port Destination Port Proto SA(Address/Proto/Type/Direction)
10.200.135.77/32 0 10.200.135.76/32 0 0 10.200.135.77/esp/use/in
10.200.135.76/32 0 10.200.135.77/32 0 0 10.200.135.77/esp/require/out
10.2/16 0 10.1/16 0 0 10.200.135.77/esp/use/in
10.1/16 0 10.2/16 0 0 10.200.135.77/esp/require/out
10.2/16 0 10.200.135.76/32 0 0 10.200.135.77/esp/use/in
10.200.135.76/32 0 10.2/16 0 0 10.200.135.77/esp/require/out

seeker@ipsec1$ ping 10.2.0.1
PING 10.2.0.1 (10.2.0.1): 56 data bytes
--- 10.2.0.1 ping statistics ---
61 packets transmitted, 0 packets received, 100.0% packet loss
эээ???
seeker
OpenBSD ipsec балдею. 2 аааабсолютно одинаковых опенбсд. пытаюсь поднять туннель по symantec.com в итоге отлавливаю чудесное

205242.907510 Default attribute_unacceptable: ENCRYPTION_ALGORITHM: got AES_CBC, expected 3DES_CBC
205242.909728 Default message_negotiate_sa: no compatible proposal found
205242.910250 Default dropped message from 10.200.135.76 port 500 due to notification type NO_PROPOSAL_CHOSEN

Это типа у опенка разные дефолты на инициацию ipsec и прием???