Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSec, DES и pfSense 2.3

    Scheduled Pinned Locked Moved Russian
    7 Posts 5 Posters 3.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Z
      zander
      last edited by

      Обновился до 2.3 версии. Оказалось, что в новой версии они зачем-то внезапно убрали поддержку простого шифрования DES. Я прекрасно понимаю, что оно не надежно, но оно шустро работало и когда не нужна какая-то безопасность, отлично подходило, а самое главное, прекрасно дружило со штатной официальной прошивкой для РФ DLink'ов серии DFL, где какое-то более серьезное шифрование, типа AES или 3DES не подразумевается в базе из-за российского законодательства. В итоге, благодаря этому "замечательному" нововведению легли все туннели по DES'у и хз, как теперь все это исправлять. Для меня всегда было загадкой на фига внезапно урезать используемый многими функционал…. К сожалению, английским владею только на уровне "прочитать" что-то техническое, т.ч. было бы здорово, если бы кто-нибудь от меня на англоязычном ресурсе передал им пламенный привет от меня, а заодно спросил бы, можно ли все же как-то вернуть des...

      1 Reply Last reply Reply Quote 0
      • P
        pigbrother
        last edited by

        Список изменений публиковался, я делал пост со ссылкой на него.

        1.Гляньте, не сделал ли pfSense полный бэкап перед обновлением. Смотреть тут
        Diagnostics: Restore full backup
        Обратите внимание на пункт  do not restore config.xml.

        Не знаю, где этот пункт в 2.3

        2.Или по наличию файла в /root
        pfSense-full-backup… tgz

        3.У вас же есть бэкап конфига с 2.2.6? Тогда установите 2.2.6 и восстановите бэкап. Если бэкап отсутствует -  гляньте тут:
        /cf/conf/backup

        1 Reply Last reply Reply Quote 0
        • C
          cmb
          last edited by

          Sorry, I don't speak Russian, but I read your message via Google Translate and wanted to reply. Hopefully you can Google translate this, or someone who's bi-lingual is welcome to translate my post.

          DES has been an officially deprecated protocol for almost 4 years now. Products should have removed it years ago.
          https://tools.ietf.org/html/rfc6649

          FreeBSD itself will be losing DES support in the not too distant future. It's a dead protocol - time to move on. Anything that only supports DES isn't worth using at this point.

          If you really want to use it, for the time being you can hack /etc/inc/vpn.inc to revert the change on this ticket.
          https://redmine.pfsense.org/issues/5543

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            @zander:

            Обновился до 2.3 версии. Оказалось, что в новой версии они зачем-то внезапно убрали поддержку простого шифрования DES. Я прекрасно понимаю, что оно не надежно, но оно шустро работало и когда не нужна какая-то безопасность, отлично подходило, а самое главное, прекрасно дружило со штатной официальной прошивкой для РФ DLink'ов серии DFL, где какое-то более серьезное шифрование, типа AES или 3DES не подразумевается в базе из-за российского законодательства. В итоге, благодаря этому "замечательному" нововведению легли все туннели по DES'у и хз, как теперь все это исправлять. Для меня всегда было загадкой на фига внезапно урезать используемый многими функционал…. К сожалению, английским владею только на уровне "прочитать" что-то техническое, т.ч. было бы здорово, если бы кто-нибудь от меня на англоязычном ресурсе передал им пламенный привет от меня, а заодно спросил бы, можно ли все же как-то вернуть des...

            1. Ух ты! 2.3 зарелизился.
            2. Бэкапы - наше всё.

            Еще одно подтверждение того, что не надо бросаться сразу обновляться.
            Подожду 2.3.4-5 , например.

            1 Reply Last reply Reply Quote 0
            • P
              pigbrother
              last edited by

              1. Ух ты! 2.3 зарелизился.

              Рано утром получил рассылку с pfsense.org.

              Подожду 2.3.4-5 , например.

              Тоже не спешу, подожду до 2.3.1-2

              И да, интересно, как уважаемый cmb набрел на эту ветку?

              1 Reply Last reply Reply Quote 0
              • D
                dirar
                last edited by

                Одни проблемы после обновления: squidguard не запускается, OpenVPN и IPSec перестали работать.

                1 Reply Last reply Reply Quote 0
                • P
                  pigbrother
                  last edited by

                  squidguard не запускается, OpenVPN и IPSec перестали работать
                  C  OpenVPN расстроили - расстроили.

                  На тестовой виртуальной машине клиент OpenVPN работал в RC. Обновил тестовую, теперь пишет о себе так:

                  2.3.1-DEVELOPMENT (i386)
                  built on Tue Apr 12 11:10:55 CDT 2016
                  FreeBSD 10.3-RELEASE

                  The system is on a later version than
                  the official release.

                  Клиент OpenVPN продолжает работать. Что в OpenVPN перестало работать у вас?

                  Про IPSec пишут так:
                  https://www.reddit.com/r/PFSENSE/comments/4ehk2t/23release_now_available/

                  Updated to 2.3 and IPSec tunnels are down. Disabled IPComp and they're back up. Otherwise, upgrade went smooth!

                  Обновление с 2.3-RC (or older 2.3 installs) to 2.3-RELEASE может потребовать дополнительных действий:
                  https://forum.pfsense.org/index.php?topic=109690.0

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.