IPsec med OpenBSD 4.6 och 4.8!

[Janne Johansson]

On Fri, Jan 28, 2011 at 09:54+0100, Anders Troback (freebsd at troback.com) wrote:
> Hej!
> 
> Har en VPN koncentrator som idag kör OpenBSD 4.6! För den som missat
> det så är 4.7 och uppåt inte kompatibel med 4.6 och därunder vad det
> gäller IPsec (om man kör på default värden). 
> 
> Det jag tänkte fråga er är om någon vet hur man skulle kunna köra med
> både 4.6 och 4.8 klienter mot min 4.6 server tills att alla klienter är
> uppgraderade till 4.8!

Var det inte så att det "bara" var nån fix för sha256, så vad annat du
än byter till så kommer det att fortfarande funka?

Sen vill man kanske ha tillbaka sha256 (som då kommer vara kompatibel
med andras implementationer av sha256 med) efter att den sista ->4.6
är uppgraderas.


> Min /etc/ipsec.conf på servern ser ut så här:
> ike passive esp from 192.168.0.0/24 to any srcid vpn2.kund.se
> ike passive esp from 192.168.0.0/24 to 111.111.111.111 \
>         main auth hmac-sha1 enc aes group modp1024 \
>         quick auth hmac-sha1 enc aes group modp1024 \
>         srcid vpn2.kund.se
> 
> /etc/ipsec.conf hos användarna:
> ike esp from 172.17.0.111 (egress) to 192.168.0.0/24 peer
> 111.222.333.444 \
> main auth hmac-sha1 enc aes group modp1024 \
> quick auth hmac-sha2-256 enc aes group modp1024 \
> srcid user at kund.se dstid vpn2.kund.se
> 
> Jag vet att jag måste byta ut hmac-sha2-256 mot tex. hmac-sha1 på båda
> sidorna medan jag kör blandat och det funkar på den som har fast IP men
> jag har många klienter som kör med dynamiska IP.

Vad menar du skulle skilja då? (Mer än att de inte är tillgängliga för
att byta conf hela tiden)

Du får väl ange mer eller mindre alla defaults för dem med, fast utan
just sha256.


-- 
"Backwards compatible" means: "if it isn't backwards, it's not compatible."