IPsec med OpenBSD 4.6 och 4.8!

Anders Troback freebsd at troback.com
Fri Feb 18 10:24:33 CET 2011 

Den Fri, 28 Jan 2011 12:35:39 +0100
skrev Janne Johansson <jj at stacken.kth.se>:

> On Fri, Jan 28, 2011 at 09:54+0100, Anders Troback
> (freebsd at troback.com) wrote:
> > Hej!
> > 
> > Har en VPN koncentrator som idag kör OpenBSD 4.6! För den som missat
> > det så är 4.7 och uppåt inte kompatibel med 4.6 och därunder vad det
> > gäller IPsec (om man kör på default värden). 
> > 
> > Det jag tänkte fråga er är om någon vet hur man skulle kunna köra
> > med både 4.6 och 4.8 klienter mot min 4.6 server tills att alla
> > klienter är uppgraderade till 4.8!
> 
> Var det inte så att det "bara" var nån fix för sha256, så vad annat du
> än byter till så kommer det att fortfarande funka?
> 
> Sen vill man kanske ha tillbaka sha256 (som då kommer vara kompatibel
> med andras implementationer av sha256 med) efter att den sista ->4.6
> är uppgraderas.
> 
> 
> > Min /etc/ipsec.conf på servern ser ut så här:
> > ike passive esp from 192.168.0.0/24 to any srcid vpn2.kund.se
> > ike passive esp from 192.168.0.0/24 to 111.111.111.111 \
> >         main auth hmac-sha1 enc aes group modp1024 \
> >         quick auth hmac-sha1 enc aes group modp1024 \
> >         srcid vpn2.kund.se
> > 
> > /etc/ipsec.conf hos användarna:
> > ike esp from 172.17.0.111 (egress) to 192.168.0.0/24 peer
> > 111.222.333.444 \
> > main auth hmac-sha1 enc aes group modp1024 \
> > quick auth hmac-sha2-256 enc aes group modp1024 \
> > srcid user at kund.se dstid vpn2.kund.se
> > 
> > Jag vet att jag måste byta ut hmac-sha2-256 mot tex. hmac-sha1 på
> > båda sidorna medan jag kör blandat och det funkar på den som har
> > fast IP men jag har många klienter som kör med dynamiska IP.
> 
> Vad menar du skulle skilja då? (Mer än att de inte är tillgängliga för
> att byta conf hela tiden)
> 
> Du får väl ange mer eller mindre alla defaults för dem med, fast utan
> just sha256.
> 
> 

Problemet är inte att fixa det utan att jag inte vill/kan ändra på 30
ställen samtidigt!

Känns som om det enda jag kan göra att att sätta upp en server till som
kör på 4.8 och köra nya "klienter" men den och låta tiden fasa ut de
gamla 4.6:orna!

More information about the BUS mailing list