Ipsec, proposal, sha256

walda2000

Zdravím,

snažím se nastavit ipsec site-to site tunel a narazil jsem na jednu podivnost, se kterou si nevím rady.

V ipsec proposals je seznam autorizačních algorimtů (md5, sha1, sha256, sha512). Pokud na obou MT nastavím sha1 nebo sha512, tak tunel jede výborně a vše prochází. Vytvoří se záznamy v Remote Peers, Installed SA, vytvoří se automaticky generované policy. V logu (i debug) žádná chyba. Přes ipsec projde l2tp, gre, icmp, tedy vše co do nej pošlu.

Pokud však nastavím v proposals sha256, tak se vše tváří výborně - spojeno, ale přes tunel nic neproteče.

V Peers mám nastaveni hash algorithm sha256 a všude aes-128-cbc.

Boxy jsou CCR1016-12G a RB1100AHx2. Sha256 jsem chtěl právě z důvodu, že dle dokumentace by měly mít HW podporu.

Děkuji za případnou radu nebo nasměrování co dělám špatně. Děkuji.

majklik

Pokud jedno RB má ROS starší jak 6.34 a druhý 6.34 nebo výše, tak proti sobě SHA256 nefuguje. Měnilo se v té verzi mapování z hmac-sha-256_96 na hmac-sha-256_128 a všechny podepsané pakety druhá strana vyhodnotí jako porušené/změněné a zahodí.

Pokud máš takto mix verzí, tak je třeba aktualizovat ROS, aby oba byly 6.34>= nebo klesnout na SHA1 (ten má také HW podporu).

walda2000

Velmi děkuji, bylo to opravdu těmi verzemi. Dal jsem to obou (tile i ppc) stejné aktuální a sha256 v Proposals funguje.