IPSec, DES и pfSense 2.3
-
Обновился до 2.3 версии. Оказалось, что в новой версии они зачем-то внезапно убрали поддержку простого шифрования DES. Я прекрасно понимаю, что оно не надежно, но оно шустро работало и когда не нужна какая-то безопасность, отлично подходило, а самое главное, прекрасно дружило со штатной официальной прошивкой для РФ DLink'ов серии DFL, где какое-то более серьезное шифрование, типа AES или 3DES не подразумевается в базе из-за российского законодательства. В итоге, благодаря этому "замечательному" нововведению легли все туннели по DES'у и хз, как теперь все это исправлять. Для меня всегда было загадкой на фига внезапно урезать используемый многими функционал…. К сожалению, английским владею только на уровне "прочитать" что-то техническое, т.ч. было бы здорово, если бы кто-нибудь от меня на англоязычном ресурсе передал им пламенный привет от меня, а заодно спросил бы, можно ли все же как-то вернуть des...
-
Список изменений публиковался, я делал пост со ссылкой на него.
1.Гляньте, не сделал ли pfSense полный бэкап перед обновлением. Смотреть тут
Diagnostics: Restore full backup
Обратите внимание на пункт do not restore config.xml.Не знаю, где этот пункт в 2.3
2.Или по наличию файла в /root
pfSense-full-backup… tgz3.У вас же есть бэкап конфига с 2.2.6? Тогда установите 2.2.6 и восстановите бэкап. Если бэкап отсутствует - гляньте тут:
/cf/conf/backup -
Sorry, I don't speak Russian, but I read your message via Google Translate and wanted to reply. Hopefully you can Google translate this, or someone who's bi-lingual is welcome to translate my post.
DES has been an officially deprecated protocol for almost 4 years now. Products should have removed it years ago.
https://tools.ietf.org/html/rfc6649FreeBSD itself will be losing DES support in the not too distant future. It's a dead protocol - time to move on. Anything that only supports DES isn't worth using at this point.
If you really want to use it, for the time being you can hack /etc/inc/vpn.inc to revert the change on this ticket.
https://redmine.pfsense.org/issues/5543 -
Обновился до 2.3 версии. Оказалось, что в новой версии они зачем-то внезапно убрали поддержку простого шифрования DES. Я прекрасно понимаю, что оно не надежно, но оно шустро работало и когда не нужна какая-то безопасность, отлично подходило, а самое главное, прекрасно дружило со штатной официальной прошивкой для РФ DLink'ов серии DFL, где какое-то более серьезное шифрование, типа AES или 3DES не подразумевается в базе из-за российского законодательства. В итоге, благодаря этому "замечательному" нововведению легли все туннели по DES'у и хз, как теперь все это исправлять. Для меня всегда было загадкой на фига внезапно урезать используемый многими функционал…. К сожалению, английским владею только на уровне "прочитать" что-то техническое, т.ч. было бы здорово, если бы кто-нибудь от меня на англоязычном ресурсе передал им пламенный привет от меня, а заодно спросил бы, можно ли все же как-то вернуть des...
1. Ух ты! 2.3 зарелизился.
2. Бэкапы - наше всё.Еще одно подтверждение того, что не надо бросаться сразу обновляться.
Подожду 2.3.4-5 , например. -
1. Ух ты! 2.3 зарелизился.
Рано утром получил рассылку с pfsense.org.
Подожду 2.3.4-5 , например.
Тоже не спешу, подожду до 2.3.1-2
И да, интересно, как уважаемый cmb набрел на эту ветку?
-
Одни проблемы после обновления: squidguard не запускается, OpenVPN и IPSec перестали работать.
-
squidguard не запускается, OpenVPN и IPSec перестали работать
C OpenVPN расстроили - расстроили.На тестовой виртуальной машине клиент OpenVPN работал в RC. Обновил тестовую, теперь пишет о себе так:
2.3.1-DEVELOPMENT (i386)
built on Tue Apr 12 11:10:55 CDT 2016
FreeBSD 10.3-RELEASEThe system is on a later version than
the official release.Клиент OpenVPN продолжает работать. Что в OpenVPN перестало работать у вас?
Про IPSec пишут так:
https://www.reddit.com/r/PFSENSE/comments/4ehk2t/23release_now_available/Updated to 2.3 and IPSec tunnels are down. Disabled IPComp and they're back up. Otherwise, upgrade went smooth!
Обновление с 2.3-RC (or older 2.3 installs) to 2.3-RELEASE может потребовать дополнительных действий:
https://forum.pfsense.org/index.php?topic=109690.0