Jump to content

Recommended Posts

Добрый день!

Возможно ли штатными средствами Windows организовать туннель до Keenetic'а в режиме IKEv2?

IKEv1 что-то шалит на 2.10, спасает только v2.

 

PS

Вопрос чисто ради любопытства. Остановился пока на IPIP/IPSec,но и в этом варианте IKEv1 пошаливал.

  • Upvote 1

Share this post


Link to post
Share on other sites

Тот же вопрос.

На Windows 10 и iOS он предустановлен, настроек там минимум. Насколько я понимаю он быстрый, современный, поддерживает реконнекты.

Будет ли завезена его поддержка в кинетик?

 

Идея кстати тоже есть, но там про сертификаты скорее запрос

 

Edited by Joe D

Share this post


Link to post
Share on other sites
2 часа назад, Joe D сказал:

Тот же вопрос.

На Windows 10 и iOS он предустановлен, настроек там минимум. Насколько я понимаю он быстрый, современный, поддерживает реконнекты.

Будет ли завезена его поддержка в кинетик?

 

Идея кстати тоже есть, но там про сертификаты скорее запрос

 

В ios впринципе и l2tp/ipsec много чего поддерживает, просто настройки не вынесены, через конфигурационные файлы настраивать приходится. 
А так да ждем ikev2 🙂

Share this post


Link to post
Share on other sites

В принципе, на сертификатах LE можно сделать IKEv2. Но проблема тут довольно глубокая и фундаментальная.

Когда у тебя устройства подконтрольны и свой CA, то можно выписать цепочку сертификатов так, чтобы не было IKE-фрагментации.

А с LE, пока у них нет ECDSA-корня, длинная цепочка с intermediate и пока приходится выписывать клиентские RSA минимум по 2048 бит, то IKE-сообщения с fullchain будут фрагментированны.

Многие клиенты этих шуток (хотя они и есть в спецификации) не понимают, и мы получаем болт.

Потому на самом деле единственное тут чего мы все ждем - это ECDSA-корня у Let's Encrypt. Обещают уже несколько лет подряд.

Share this post


Link to post
Share on other sites
18 минут назад, Le ecureuil сказал:

В принципе, на сертификатах LE можно сделать IKEv2. Но проблема тут довольно глубокая и фундаментальная.

Когда у тебя устройства подконтрольны и свой CA, то можно выписать цепочку сертификатов так, чтобы не было IKE-фрагментации.

А с LE, пока у них нет ECDSA-корня, длинная цепочка с intermediate и пока приходится выписывать клиентские RSA минимум по 2048 бит, то IKE-сообщения с fullchain будут фрагментированны.

Многие клиенты этих шуток (хотя они и есть в спецификации) не понимают, и мы получаем болт.

Потому на самом деле единственное тут чего мы все ждем - это ECDSA-корня у Let's Encrypt. Обещают уже несколько лет подряд.

Со своим СА вполне приемлемо, в openvpn же так и пользуемся. 

Share this post


Link to post
Share on other sites

Для своего CA нужно в NDMS подсистему управления сертификатами (PKI), а руки до нее никак не доходят...

Share this post


Link to post
Share on other sites
В 23.10.2019 в 00:59, r13 сказал:

Со своим СА вполне приемлемо, в openvpn же так и пользуемся. 

У openvpn одна и та же реализация везде, потому и работает.

Реализация IKEv2 в каждой ОС своя, а то и несколько. Вот и получаем "как всегда" :)

Share this post


Link to post
Share on other sites

На эту тему нет изменений? Все также ждем фич от Letsencrypt?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...