LINUX.ORG.RU

strongSwan 5.4.0

 , , ,


2

2

Вышла новая версия strongSwan, реализации IPsec для Linux, FreeBSD, Android, Windows и Mac OS X. IPsec — это набор протоколов для реализации защищенной передачи данных по протоколу IP, который чаще всего используется для создания VPN-сетей.

IPsec состоит из двух частей: протокол обмена ключами IKE и протокол передачи шифрованного трафика ESP. strongSwan реализует протоколы IKEv1 и IKEv2, а реализация ESP находится в ядре ОС, благодаря чему достигается высокая производительность работы VPN. Если ядро не поддерживает ESP (как, например, в случае Android), strongSwan использует внутреннюю реализацию в пространстве пользователя.

strongSwan является форком другого проекта, FreeS/WAN, одной из первых реализаций IPsec в Linux. В пятой версии strongSwan был переписан практически с нуля с оглядкой на современные стандарты, что выгодно отличает его от других форков FreeS/WAN.

Основные изменения:

  • Поддержка IKEv2 redirection. Если сервер перегружен или находится на обслуживании, он может перенаправить клиентов на другой IKE-сервер.
  • Исправлена передача виртуальных IPv6, что потребовало изменения формата передачи. strongSwan может принимать сообщения в старом формате, но передача параметров в новом формате на старые версии клиентов может вызвать проблемы.
  • Теперь можно управлять сервисом с помощью протокола vici из программ на Perl. Ранее данная функциональность была реализована для Python и Ruby.
  • При использовании в Linux появилась возможность перенаправлять трафик в VPN только для определенных портов. Из-за ограничений ядра можно указывать исключительно такие диапазоны портов, которые можно представить в виде маски. Данную функцию можно настраивать в том числе и с помощью интерфейса vici.
  • Изменены параметры шифрования, которые strongSwan предлагает по умолчанию. Теперь это симметричное шифрование со 128-битным ключом, группы DH ecp256 или modp3072 и SHA2 для подписи. Для корректной работы новых настроек нужно ядро версии 2.6.33 или новее.
  • Группы DH отображаются в выводе ipsec statusall.
  • Идентификаторы SPI теперь отображаются с использованием сетевого порядка байт
  • Интерфейсы vici и swanctl включены по умолчанию. Различные улучшения в swanctl.
  • Библиотека libhydra убрана из поставки. Теперь за взаимодействие с ядром отвечает libcharon.

>>> Подробности

★★★★

Проверено: Shaman007 ()
Последнее исправление: ymn (всего исправлений: 5)

На Opennet скоро должна появиться аналогичная новость, автор - тоже я.

h31 ★★★★
() автор топика

А оно умеет легко сделать то же самое, что делает shrew (который в репах зовется ike)? То есть у меня есть адрес гейта, имя+пароль группы, имя+пароль юзера, могу я только с этими данными подключиться к шлюзу? Или мне нужно писать стопицот конфигов в том числе зная, какие сети у меня внутри VPN? Так как в сетях особо не силен и доступа к оборудованию «на той стороне» у меня нет в прошлые попытки осилить написание конфига для *SWAN я не смог.

alozovskoy ★★★★★
()
Ответ на: комментарий от alozovskoy

У strongSwan есть страница с примерами конфигов, просто копипастишь оттуда и всё. Но нужно хотя бы минимальное понимание инструмента, так что, к сожалению, никак не могу назвать это работой из коробки.
Но если нужно просто настроить клиент - есть плагин для Network Manager. Если не напутаешь с сертификатами, работает с полпинка.

h31 ★★★★
() автор топика
Ответ на: комментарий от morse

Они его по частям переписывали. В итоге оказалось, что оригинального кода по сути и не осталось :)

h31 ★★★★
() автор топика
Ответ на: комментарий от alozovskoy

А оно умеет легко сделать то же самое, что делает shrew (который в репах зовется ike)? То есть у меня есть адрес гейта, имя+пароль группы, имя+пароль юзера, могу я только с этими данными подключиться к шлюзу? Или мне нужно писать стопицот конфигов в том числе зная, какие сети у меня внутри VPN? Так как в сетях особо не силен и доступа к оборудованию «на той стороне» у меня нет в прошлые попытки осилить написание конфига для *SWAN я не смог.

Посмотрел на сайте этого shrew. Вы шутите? Там считай все тоже самое только красивая гуевина и если необходимо менять дополнительные параметры (задано на сервере) то придется менять но только мышой.
И проблема не в *swan или racoon, а в том что серверных реализаций сильно >1 даже если решение и из каробки, оно все равно будет отличаться друг от друга.

anc ★★★★★
()
Ответ на: комментарий от anc

Я понимаю что вариантов настройки может быть масса, но из всего этого прошу лишь готовый вариант для того, что в другом приложении уже есть и конфигурируется в пару кликов. Я понимаю что *SWAN скорее для объединения сетей (а не «хомячковый» vpn-клиент), так что необходимость писать простыни конфигураций вполне понятна, но было бы круто иметь конфиг, аналогичный shrew, из коробки или в документации.

На счет того что в shrew то же самое я не согласен - там я ввожу 5 значений, которые есть у меня (пароли да шлюз), и подключаюсь. По моим попыткам запустить *SWAN - там требуется знать все - от типа шифрования до сетей на той стороне, генерить сертификаты и так далее. Я не на столько крут чтоб все это знать.

alozovskoy ★★★★★
()
Ответ на: комментарий от alozovskoy

Я понимаю что вариантов настройки может быть масса, но из всего этого прошу лишь готовый вариант для того, что в другом приложении уже есть и конфигурируется в пару кликов.

Возьмем для примера blackberry (считаю лучший вариант для ipsec из каробки) так там этих Вариантов дофига т.е. вроде и из каробки но для разных случаев.

На счет того что в shrew то же самое я не согласен - там я ввожу 5 значений, которые есть у меня (пароли да шлюз), и подключаюсь.

Частный случай, что дэфолтная настройка совпала.
Я где-то здесь уже писал, что при разнообразии клиентов приходиться мучаться с настройкой как раз серверной стороны, т.е. например для mac os x это одно, для iphone другое, для винды еще несколько вариантов. Т.е. забота о любом клиенте превращается в геморой админа сервака. Все это из-за того что все клиенты (которые идут по дэфолту) сцуко умеют «разный» ipsec.
Да, это я еще забыл про всякие сохо роутеры, тоже отдельно доставляет.

По моим попыткам запустить *SWAN - там требуется знать все - от типа шифрования до сетей на той стороне, генерить сертификаты и так далее.

«до сетей» - если это обьединение сетей, то надо знать в любом случае и в shrew это прописывается на отдельном табе. «генерить сертификаты» - клиенту никогда, если они нужны то их передает в готовом виде владелец сервера.

Подведя итог, скажу просто, вам повезло с частным случаем.
А если говорить про сабж, то для простых вещей мне racoon роднее, но это дело исключительно привычки.
ЗЫ Вот минусом сабжа я считаю, то что постоянно что-то ломают и если поднял на определенной версии не факт что будет то же самое работать на следующей (поэтому если настроил стараюсь придерживаться одной версии), подобных багов у них дофига, но это видимо как раз связано с переписыванием.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.