Jump to content

Recommended Posts

Posted (edited)

@Le ecureuil

При настройке карты через веб все хорошо, так как из-за особенностей реализации карта пересоздается полностью, и порядок proposal в конфиге правильный, от наиболее стойких алгоритмов к наиболее слабым.

Если же редактировать настройки  через cli то то настройка добавляется в конец уже созданного списка, и в неизменном виде загружаются strogswan.

В результате выбирается не оптимальный с точки зрения безопасности протокол при соединении.

Пример:

Конфиг( integrity sha256 добавлен через cli)

crypto ike proposal VirtualIP
    encryption aes-cbc-256
    encryption aes-cbc-128
    dh-group 14
    dh-group 2
    integrity sha1
    integrity sha256

Лог соединения:

ipsec05[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#

ipsec05[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024/# Feb 27 16:31:22ipsec05[CFG]

selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# 

Хотелось бы это поправить, сейчас проще ручками конфиг отредактировать.

Edited by r13
Posted

Это не баг, а изначально заложенная фича. При редактировании порядок полностью сохраняется, потому если надо добавить в начало - нужно пересоздать весь список.

Posted

Ок, будем знать :)

  • 3 weeks later...
Posted

А пересоздать список через веб, это снять все галки (шифрования и хэшей) и сохранить, а потом зайти и опять выставить как надо и опять сохранить?
А то у меня тоже сбивается иногда и именно через веб.


Отправлено с моего SM-A520F через Tapatalk

Posted
25 минут назад, cbloner сказал:

А пересоздать список через веб, это снять все галки (шифрования и хэшей) и сохранить, а потом зайти и опять выставить как надо и опять сохранить?
А то у меня тоже сбивается иногда и именно через веб.


Отправлено с моего SM-A520F через Tapatalk
 

Приводите примеры.

Web должен делать все нормально.

Posted
44 минуты назад, cbloner сказал:

А пересоздать список через веб, это снять все галки (шифрования и хэшей) и сохранить, а потом зайти и опять выставить как надо и опять сохранить?
А то у меня тоже сбивается иногда и именно через веб.


Отправлено с моего SM-A520F через Tapatalk
 

Веб  каждый раз пересоздает по моим наблюдениям, только cli создается в точности как вводил команды.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.