Zdravím,
snažím se nastavit ipsec site-to site tunel a narazil jsem na jednu podivnost, se kterou si nevím rady.
V ipsec proposals je seznam autorizačních algorimtů (md5, sha1, sha256, sha512). Pokud na obou MT nastavím sha1 nebo sha512, tak tunel jede výborně a vše prochází. Vytvoří se záznamy v Remote Peers, Installed SA, vytvoří se automaticky generované policy. V logu (i debug) žádná chyba. Přes ipsec projde l2tp, gre, icmp, tedy vše co do nej pošlu.
Pokud však nastavím v proposals sha256, tak se vše tváří výborně - spojeno, ale přes tunel nic neproteče.
V Peers mám nastaveni hash algorithm sha256 a všude aes-128-cbc.
Boxy jsou CCR1016-12G a RB1100AHx2. Sha256 jsem chtěl právě z důvodu, že dle dokumentace by měly mít HW podporu.
Děkuji za případnou radu nebo nasměrování co dělám špatně. Děkuji.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Ipsec, proposal, sha256
Pokud jedno RB má ROS starší jak 6.34 a druhý 6.34 nebo výše, tak proti sobě SHA256 nefuguje. Měnilo se v té verzi mapování z hmac-sha-256_96 na hmac-sha-256_128 a všechny podepsané pakety druhá strana vyhodnotí jako porušené/změněné a zahodí.
Pokud máš takto mix verzí, tak je třeba aktualizovat ROS, aby oba byly 6.34>= nebo klesnout na SHA1 (ten má také HW podporu).
Pokud máš takto mix verzí, tak je třeba aktualizovat ROS, aby oba byly 6.34>= nebo klesnout na SHA1 (ten má také HW podporu).
0 x
Velmi děkuji, bylo to opravdu těmi verzemi. Dal jsem to obou (tile i ppc) stejné aktuální a sha256 v Proposals funguje.
0 x