IPsec med OpenBSD 4.6 och 4.8!

Robert "roppert" Gravsjö robertg at inb4.se
Sun Feb 20 12:55:51 CET 2011


On Fri, Feb 18, 2011 at 10:24:33AM +0100, Anders Troback wrote:
> Den Fri, 28 Jan 2011 12:35:39 +0100
> skrev Janne Johansson <jj at stacken.kth.se>:
> 
> > On Fri, Jan 28, 2011 at 09:54+0100, Anders Troback
> > (freebsd at troback.com) wrote:
> > > Hej!
> > > 
> > > Har en VPN koncentrator som idag kör OpenBSD 4.6! För den som missat
> > > det så är 4.7 och uppåt inte kompatibel med 4.6 och därunder vad det
> > > gäller IPsec (om man kör på default värden). 
> > > 
> > > Det jag tänkte fråga er är om någon vet hur man skulle kunna köra
> > > med både 4.6 och 4.8 klienter mot min 4.6 server tills att alla
> > > klienter är uppgraderade till 4.8!
> > 
> > Var det inte så att det "bara" var nån fix för sha256, så vad annat du
> > än byter till så kommer det att fortfarande funka?
> > 
> > Sen vill man kanske ha tillbaka sha256 (som då kommer vara kompatibel
> > med andras implementationer av sha256 med) efter att den sista ->4.6
> > är uppgraderas.
> > 
> > 
> > > Min /etc/ipsec.conf på servern ser ut så här:
> > > ike passive esp from 192.168.0.0/24 to any srcid vpn2.kund.se
> > > ike passive esp from 192.168.0.0/24 to 111.111.111.111 \
> > >         main auth hmac-sha1 enc aes group modp1024 \
> > >         quick auth hmac-sha1 enc aes group modp1024 \
> > >         srcid vpn2.kund.se
> > > 
> > > /etc/ipsec.conf hos användarna:
> > > ike esp from 172.17.0.111 (egress) to 192.168.0.0/24 peer
> > > 111.222.333.444 \
> > > main auth hmac-sha1 enc aes group modp1024 \
> > > quick auth hmac-sha2-256 enc aes group modp1024 \
> > > srcid user at kund.se dstid vpn2.kund.se
> > > 
> > > Jag vet att jag måste byta ut hmac-sha2-256 mot tex. hmac-sha1 på
> > > båda sidorna medan jag kör blandat och det funkar på den som har
> > > fast IP men jag har många klienter som kör med dynamiska IP.
> > 
> > Vad menar du skulle skilja då? (Mer än att de inte är tillgängliga för
> > att byta conf hela tiden)
> > 
> > Du får väl ange mer eller mindre alla defaults för dem med, fast utan
> > just sha256.
> > 
> > 
> 
> Problemet är inte att fixa det utan att jag inte vill/kan ändra på 30
> ställen samtidigt!
> 
> Känns som om det enda jag kan göra att att sätta upp en server till som
> kör på 4.8 och köra nya "klienter" men den och låta tiden fasa ut de
> gamla 4.6:orna!

Har du möjlighet att köra en till server så är det helt klart den
smidigaste lösningen på problemet.

> _________________________________________________
> BSD Users Sweden -- BUS at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/bus
> 
> !DSPAM:4d5e3d45217607768224304!
> 


More information about the BUS mailing list