strongSwan 5.4.0

2

2

Вышла новая версия strongSwan, реализации IPsec для Linux, FreeBSD, Android, Windows и Mac OS X. IPsec — это набор протоколов для реализации защищенной передачи данных по протоколу IP, который чаще всего используется для создания VPN-сетей.

IPsec состоит из двух частей: протокол обмена ключами IKE и протокол передачи шифрованного трафика ESP. strongSwan реализует протоколы IKEv1 и IKEv2, а реализация ESP находится в ядре ОС, благодаря чему достигается высокая производительность работы VPN. Если ядро не поддерживает ESP (как, например, в случае Android), strongSwan использует внутреннюю реализацию в пространстве пользователя.

strongSwan является форком другого проекта, FreeS/WAN, одной из первых реализаций IPsec в Linux. В пятой версии strongSwan был переписан практически с нуля с оглядкой на современные стандарты, что выгодно отличает его от других форков FreeS/WAN.

Основные изменения:

Поддержка IKEv2 redirection. Если сервер перегружен или находится на обслуживании, он может перенаправить клиентов на другой IKE-сервер.
Исправлена передача виртуальных IPv6, что потребовало изменения формата передачи. strongSwan может принимать сообщения в старом формате, но передача параметров в новом формате на старые версии клиентов может вызвать проблемы.
Теперь можно управлять сервисом с помощью протокола vici из программ на Perl. Ранее данная функциональность была реализована для Python и Ruby.
При использовании в Linux появилась возможность перенаправлять трафик в VPN только для определенных портов. Из-за ограничений ядра можно указывать исключительно такие диапазоны портов, которые можно представить в виде маски. Данную функцию можно настраивать в том числе и с помощью интерфейса vici.
Изменены параметры шифрования, которые strongSwan предлагает по умолчанию. Теперь это симметричное шифрование со 128-битным ключом, группы DH ecp256 или modp3072 и SHA2 для подписи. Для корректной работы новых настроек нужно ядро версии 2.6.33 или новее.
Группы DH отображаются в выводе ipsec statusall.
Идентификаторы SPI теперь отображаются с использованием сетевого порядка байт
Интерфейсы vici и swanctl включены по умолчанию. Различные улучшения в swanctl.
Библиотека libhydra убрана из поставки. Теперь за взаимодействие с ядром отвечает libcharon.

>>> Подробности

Ссылка

←	Выручка Red Hat составила два миллиарда долларов в прошлом году

Gnome 3.20

→

На Opennet скоро должна появиться аналогичная новость, автор - тоже я.

h31 ★★★★
(23.03.16 14:11:42 MSK) автор топика

Ссылка

А оно умеет легко сделать то же самое, что делает shrew (который в репах зовется ike)? То есть у меня есть адрес гейта, имя+пароль группы, имя+пароль юзера, могу я только с этими данными подключиться к шлюзу? Или мне нужно писать стопицот конфигов в том числе зная, какие сети у меня внутри VPN? Так как в сетях особо не силен и доступа к оборудованию «на той стороне» у меня нет в прошлые попытки осилить написание конфига для *SWAN я не смог.

alozovskoy ★★★★★
(23.03.16 22:42:39 MSK)

Ответ на: комментарий от alozovskoy 23.03.16 22:42:39 MSK

У strongSwan есть страница с примерами конфигов, просто копипастишь оттуда и всё. Но нужно хотя бы минимальное понимание инструмента, так что, к сожалению, никак не могу назвать это работой из коробки.
Но если нужно просто настроить клиент - есть плагин для Network Manager. Если не напутаешь с сертификатами, работает с полпинка.

h31 ★★★★
(24.03.16 05:15:27 MSK) автор топика

Ссылка

strongswan = сильный лебедь https://habrastorage.org/getpro/habr/post_images/d3d/aaf/6f8/d3daaf6f8aff40b1...

anonymous
(24.03.16 08:38:24 MSK)

Ссылка

Переписанный с нуля форк — звучит как-то странно.

morse ★★★★★
(24.03.16 21:45:18 MSK)

Ответ на: комментарий от morse 24.03.16 21:45:18 MSK

Они его по частям переписывали. В итоге оказалось, что оригинального кода по сути и не осталось :)

h31 ★★★★
(24.03.16 21:55:45 MSK) автор топика

Ссылка

Ответ на: комментарий от alozovskoy 23.03.16 22:42:39 MSK

А оно умеет легко сделать то же самое, что делает shrew (который в репах зовется ike)? То есть у меня есть адрес гейта, имя+пароль группы, имя+пароль юзера, могу я только с этими данными подключиться к шлюзу? Или мне нужно писать стопицот конфигов в том числе зная, какие сети у меня внутри VPN? Так как в сетях особо не силен и доступа к оборудованию «на той стороне» у меня нет в прошлые попытки осилить написание конфига для *SWAN я не смог.

Посмотрел на сайте этого shrew. Вы шутите? Там считай все тоже самое только красивая гуевина и если необходимо менять дополнительные параметры (задано на сервере) то придется менять но только мышой.
И проблема не в *swan или racoon, а в том что серверных реализаций сильно >1 даже если решение и из каробки, оно все равно будет отличаться друг от друга.

anc ★★★★★
(25.03.16 21:08:34 MSK)

Ответ на: комментарий от anc 25.03.16 21:08:34 MSK

Я понимаю что вариантов настройки может быть масса, но из всего этого прошу лишь готовый вариант для того, что в другом приложении уже есть и конфигурируется в пару кликов. Я понимаю что *SWAN скорее для объединения сетей (а не «хомячковый» vpn-клиент), так что необходимость писать простыни конфигураций вполне понятна, но было бы круто иметь конфиг, аналогичный shrew, из коробки или в документации.

На счет того что в shrew то же самое я не согласен - там я ввожу 5 значений, которые есть у меня (пароли да шлюз), и подключаюсь. По моим попыткам запустить *SWAN - там требуется знать все - от типа шифрования до сетей на той стороне, генерить сертификаты и так далее. Я не на столько крут чтоб все это знать.

alozovskoy ★★★★★
(25.03.16 22:02:09 MSK)

Ответ на: комментарий от alozovskoy 25.03.16 22:02:09 MSK

Я понимаю что вариантов настройки может быть масса, но из всего этого прошу лишь готовый вариант для того, что в другом приложении уже есть и конфигурируется в пару кликов.

Возьмем для примера blackberry (считаю лучший вариант для ipsec из каробки) так там этих Вариантов дофига т.е. вроде и из каробки но для разных случаев.

На счет того что в shrew то же самое я не согласен - там я ввожу 5 значений, которые есть у меня (пароли да шлюз), и подключаюсь.

Частный случай, что дэфолтная настройка совпала.
Я где-то здесь уже писал, что при разнообразии клиентов приходиться мучаться с настройкой как раз серверной стороны, т.е. например для mac os x это одно, для iphone другое, для винды еще несколько вариантов. Т.е. забота о любом клиенте превращается в геморой админа сервака. Все это из-за того что все клиенты (которые идут по дэфолту) сцуко умеют «разный» ipsec.
Да, это я еще забыл про всякие сохо роутеры, тоже отдельно доставляет.

По моим попыткам запустить *SWAN - там требуется знать все - от типа шифрования до сетей на той стороне, генерить сертификаты и так далее.

«до сетей» - если это обьединение сетей, то надо знать в любом случае и в shrew это прописывается на отдельном табе. «генерить сертификаты» - клиенту никогда, если они нужны то их передает в готовом виде владелец сервера.

Подведя итог, скажу просто, вам повезло с частным случаем.
А если говорить про сабж, то для простых вещей мне racoon роднее, но это дело исключительно привычки.
ЗЫ Вот минусом сабжа я считаю, то что постоянно что-то ломают и если поднял на определенной версии не факт что будет то же самое работать на следующей (поэтому если настроил стараюсь придерживаться одной версии), подобных багов у них дофига, но это видимо как раз связано с переписыванием.

anc ★★★★★
(25.03.16 22:50:35 MSK)
Последнее исправление: anc 25.03.16 22:54:11 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Выручка Red Hat составила два миллиарда долларов в прошлом году

Безопасность

Gnome 3.20

→

Похожие темы