IPSec, DES и pfSense 2.3



  • Обновился до 2.3 версии. Оказалось, что в новой версии они зачем-то внезапно убрали поддержку простого шифрования DES. Я прекрасно понимаю, что оно не надежно, но оно шустро работало и когда не нужна какая-то безопасность, отлично подходило, а самое главное, прекрасно дружило со штатной официальной прошивкой для РФ DLink'ов серии DFL, где какое-то более серьезное шифрование, типа AES или 3DES не подразумевается в базе из-за российского законодательства. В итоге, благодаря этому "замечательному" нововведению легли все туннели по DES'у и хз, как теперь все это исправлять. Для меня всегда было загадкой на фига внезапно урезать используемый многими функционал…. К сожалению, английским владею только на уровне "прочитать" что-то техническое, т.ч. было бы здорово, если бы кто-нибудь от меня на англоязычном ресурсе передал им пламенный привет от меня, а заодно спросил бы, можно ли все же как-то вернуть des...



  • Список изменений публиковался, я делал пост со ссылкой на него.

    1.Гляньте, не сделал ли pfSense полный бэкап перед обновлением. Смотреть тут
    Diagnostics: Restore full backup
    Обратите внимание на пункт  do not restore config.xml.

    Не знаю, где этот пункт в 2.3

    2.Или по наличию файла в /root
    pfSense-full-backup… tgz

    3.У вас же есть бэкап конфига с 2.2.6? Тогда установите 2.2.6 и восстановите бэкап. Если бэкап отсутствует -  гляньте тут:
    /cf/conf/backup



  • Sorry, I don't speak Russian, but I read your message via Google Translate and wanted to reply. Hopefully you can Google translate this, or someone who's bi-lingual is welcome to translate my post.

    DES has been an officially deprecated protocol for almost 4 years now. Products should have removed it years ago.
    https://tools.ietf.org/html/rfc6649

    FreeBSD itself will be losing DES support in the not too distant future. It's a dead protocol - time to move on. Anything that only supports DES isn't worth using at this point.

    If you really want to use it, for the time being you can hack /etc/inc/vpn.inc to revert the change on this ticket.
    https://redmine.pfsense.org/issues/5543



  • @zander:

    Обновился до 2.3 версии. Оказалось, что в новой версии они зачем-то внезапно убрали поддержку простого шифрования DES. Я прекрасно понимаю, что оно не надежно, но оно шустро работало и когда не нужна какая-то безопасность, отлично подходило, а самое главное, прекрасно дружило со штатной официальной прошивкой для РФ DLink'ов серии DFL, где какое-то более серьезное шифрование, типа AES или 3DES не подразумевается в базе из-за российского законодательства. В итоге, благодаря этому "замечательному" нововведению легли все туннели по DES'у и хз, как теперь все это исправлять. Для меня всегда было загадкой на фига внезапно урезать используемый многими функционал…. К сожалению, английским владею только на уровне "прочитать" что-то техническое, т.ч. было бы здорово, если бы кто-нибудь от меня на англоязычном ресурсе передал им пламенный привет от меня, а заодно спросил бы, можно ли все же как-то вернуть des...

    1. Ух ты! 2.3 зарелизился.
    2. Бэкапы - наше всё.

    Еще одно подтверждение того, что не надо бросаться сразу обновляться.
    Подожду 2.3.4-5 , например.



  • 1. Ух ты! 2.3 зарелизился.

    Рано утром получил рассылку с pfsense.org.

    Подожду 2.3.4-5 , например.

    Тоже не спешу, подожду до 2.3.1-2

    И да, интересно, как уважаемый cmb набрел на эту ветку?



  • Одни проблемы после обновления: squidguard не запускается, OpenVPN и IPSec перестали работать.



  • squidguard не запускается, OpenVPN и IPSec перестали работать
    C  OpenVPN расстроили - расстроили.

    На тестовой виртуальной машине клиент OpenVPN работал в RC. Обновил тестовую, теперь пишет о себе так:

    2.3.1-DEVELOPMENT (i386)
    built on Tue Apr 12 11:10:55 CDT 2016
    FreeBSD 10.3-RELEASE

    The system is on a later version than
    the official release.

    Клиент OpenVPN продолжает работать. Что в OpenVPN перестало работать у вас?

    Про IPSec пишут так:
    https://www.reddit.com/r/PFSENSE/comments/4ehk2t/23release_now_available/

    Updated to 2.3 and IPSec tunnels are down. Disabled IPComp and they're back up. Otherwise, upgrade went smooth!

    Обновление с 2.3-RC (or older 2.3 installs) to 2.3-RELEASE может потребовать дополнительных действий:
    https://forum.pfsense.org/index.php?topic=109690.0