Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

IKEv2 IPSec: Windows > Keenetic

John
 Поделиться

Рекомендуемые сообщения

John Новичок

John

Опубликовано
Опубликовано

Добрый день!

Возможно ли штатными средствами Windows организовать туннель до Keenetic'а в режиме IKEv2?

IKEv1 что-то шалит на 2.10, спасает только v2.

 

PS

Вопрос чисто ради любопытства. Остановился пока на IPIP/IPSec,но и в этом варианте IKEv1 пошаливал.

  • Лайк 1
  • 1 год спустя...
Joe Продвинутый пользователь

Joe

Опубликовано
Опубликовано (изменено)

Тот же вопрос.

На Windows 10 и iOS он предустановлен, настроек там минимум. Насколько я понимаю он быстрый, современный, поддерживает реконнекты.

Будет ли завезена его поддержка в кинетик?

 

Идея кстати тоже есть, но там про сертификаты скорее запрос

 

Изменено пользователем Joe D
r13 Старожил

r13

Опубликовано
Опубликовано
2 часа назад, Joe D сказал:

Тот же вопрос.

На Windows 10 и iOS он предустановлен, настроек там минимум. Насколько я понимаю он быстрый, современный, поддерживает реконнекты.

Будет ли завезена его поддержка в кинетик?

 

Идея кстати тоже есть, но там про сертификаты скорее запрос

 

В ios впринципе и l2tp/ipsec много чего поддерживает, просто настройки не вынесены, через конфигурационные файлы настраивать приходится. 
А так да ждем ikev2 🙂

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано

В принципе, на сертификатах LE можно сделать IKEv2. Но проблема тут довольно глубокая и фундаментальная.

Когда у тебя устройства подконтрольны и свой CA, то можно выписать цепочку сертификатов так, чтобы не было IKE-фрагментации.

А с LE, пока у них нет ECDSA-корня, длинная цепочка с intermediate и пока приходится выписывать клиентские RSA минимум по 2048 бит, то IKE-сообщения с fullchain будут фрагментированны.

Многие клиенты этих шуток (хотя они и есть в спецификации) не понимают, и мы получаем болт.

Потому на самом деле единственное тут чего мы все ждем - это ECDSA-корня у Let's Encrypt. Обещают уже несколько лет подряд.

  • Лайк 1
r13 Старожил

r13

Опубликовано
Опубликовано
18 минут назад, Le ecureuil сказал:

В принципе, на сертификатах LE можно сделать IKEv2. Но проблема тут довольно глубокая и фундаментальная.

Когда у тебя устройства подконтрольны и свой CA, то можно выписать цепочку сертификатов так, чтобы не было IKE-фрагментации.

А с LE, пока у них нет ECDSA-корня, длинная цепочка с intermediate и пока приходится выписывать клиентские RSA минимум по 2048 бит, то IKE-сообщения с fullchain будут фрагментированны.

Многие клиенты этих шуток (хотя они и есть в спецификации) не понимают, и мы получаем болт.

Потому на самом деле единственное тут чего мы все ждем - это ECDSA-корня у Let's Encrypt. Обещают уже несколько лет подряд.

Со своим СА вполне приемлемо, в openvpn же так и пользуемся. 

  • 2 недели спустя...
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
В 23.10.2019 в 00:59, r13 сказал:

Со своим СА вполне приемлемо, в openvpn же так и пользуемся. 

У openvpn одна и та же реализация везде, потому и работает.

Реализация IKEv2 в каждой ОС своя, а то и несколько. Вот и получаем "как всегда" :)

  • Спасибо 1
  • 5 месяцев спустя...

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю