Представлен (https://strongswan.org/blog/2016/03/22/strongswan-5.4.0-rele... выпуск strongSwan 5.4.0 (https://strongswan.org/), реализации IPsec для Linux, FreeBSD, Android, Windows и OS X. strongSwan является форком FreeS/WAN, одной из первых реализаций IPsec в Linux. В пятой версии strongSwan был переписан практически с нуля с оглядкой на современные стандарты, что выгодно отличает его от других форков FreeS/WAN.IPsec обычно используется для создания VPN-сетей и представляет собой набор протоколов для реализации защищенной передачи данных по протоколу IP. IPsec (https://ru.wikipedia.org/wiki/IPsec) состоит из двух частей: протокола обмена ключами IKE и протокола передачи шифрованного трафика ESP. strongSwan реализует протоколы IKEv1 и IKEv2, а реализация ESP находится в ядре ОС, благодаря чему достигается высокая производительность работы VPN. Если ядро не поддерживает ESP (как, например, в случае Android), strongSwan использует внутреннюю реализацию в пространстве пользователя.
Основные изменения (https://wiki.strongswan.org/projects/strongswan/wiki/Changel...:
- Поддержка перенаправления IKEv2. Если сервер перегружен или находится на обслуживании, он может перенаправить клиентов на другой IKE-сервер.
- Исправлена передача виртуальных IPv6, что потребовало изменения формата передачи. strongSwan может принимать сообщения в старом формате, но передача параметров в новом формате на старые версии клиентов может вызвать проблемы.
- Возможность управлять сервисом с помощью протокола vici из программ на Perl. Ранее данная функциональность была реализована для Python и Ruby.
- При использовании в Linux появилась возможность перенаправлять трафик в VPN только для определенных портов. Из-за ограничений ядра можно указывать исключительно такие диапазоны портов, которые можно представить в виде маски. Данную функцию можно настраивать в том числе и с помощью интерфейса vici.
- Изменены параметры шифрования, которые strongSwan предлагает по умолчанию. Теперь это симметричное шифрование со 128-битным ключом, группы DH ecp256 или modp3072 и SHA2 для подписи. Для корректной работы новых настроек нужно ядро версии 2.6.33 или новее.
- Группы DH отображаются в выводе ipsec statusall.
- Идентификаторы SPI теперь отображаются с использованием сетевого порядка байт
- Интерфейсы vici и swanctl включены по умолчанию. Различные улучшения в swanctl.
- Из поставки убрана библиотека libhydra, за взаимодействие с ядром теперь отвечает libcharon.URL: https://strongswan.org/blog/2016/03/22/strongswan-5.4.0-rele...
Новость: http://www.opennet.me/opennews/art.shtml?num=44100
>> Изменены параметры шифрования, которые strongSwan предлагает по умолчанию. Теперь это симметричное шифрование со 128-битным ключомНадо же какие строгие лебеди пошли
Раньше там 256 было.
оно и щас есть.
в LibreSwan ;)
Что то уж мало комментариев)
просто мало кто разбирается в IPsec)
Главное что бы сам автор в нем разбирался.
предлагаю начать холивар "strongswan vs openvpn"
Тогда уж лучше strongSwan vs енот
сравнивать теплое с мягким? ну-ну
А тот IPSec - который во бздях - он совсем не открытый ?
В ядре прослойка для прохода ipsec транспорта открыта, для обмена ключами и трафиком можно установить тоже StrongSWAN
Подскажите нубу, чем оно лучше/хуже OpenVPN?
Если говорить вообще про IPsec, то плюсы:
- Работает изкоробки в Windows/OS X/Android/etc, не надо ничего ставить.
- В Linux работает очень быстро, почти не грузит процессор. На моем одноплатнике с криптоускорителем тянет 100 мбит/c, при этом загрузка процессора - 5%. Новые Xeon-ы тянут вплоть до 10 гбит/с.
- Поддерживается серьёзными железками от Cisco и ко.
- Шустрый и безопасный AES-GCM (ЕМНИП в OpenVPN его пока что не осилили).
Минусы:
- В случае strongSwan возиться с конфигом. Частично компенсируется тем, что есть куча примеров на оф. сайте, плюс есть плагин для NM, который заводится с полпинка.
- Иногда может хуже проходит через NAT, особенно IKEv1. Работает только поверх UDP.
- Есть две версии протокола (IKEv1 и IKEv2), они настраиваются немного по-разному.
- Немного криво организована маршрутизация. Если глубоко не копаться - особо и не заметно.
Хорошо растолковали. Спасибо. Даже до меня дошло.
Подсказываю, IPSec это расширение протокола IP, т.е. работает он на сетевом уровне OSI-модели. OpenVPN - это сервер прикладного уровня, который использует TLS/SSL, в который он заворачивает пользовательский трафик. Короче, разница между strongswan и openvpn такая же, как между IP и SMTP/HTTP/FTP.
В последнее время ESP обычно заворачивают в UDP. Чуточку меньше пропускной способности, зато в сто раз меньше проблем с файрволлами.
Комментаторы выше уже описали различия между openvpn и ipsec. Хочу только добавить, что openvpn бывает еще и вреден когда вы внутри vpn хотите гонять уже зашифрованный траффик. Например, если у вас внутри vpn происходят исключительно SSL/TLS-соединения, то это порождает паразитную криптонагрузку. Тратите мощности и канал для того чтобы зашифровать что-то дважды. То есть если вы используете vpn преимущественно для маршрутизации, то и ipsec, и openvpn могут оказаться вредны. В таком случае есть ipip, GRE и прочее pptp.
Во-первых, это очень редкая ситуация, когда 100% трафика идет поверх TLS.
Во-вторых, GRE не прячем адрес источника и получателя. Такая инфа может выдать злоумышленнику структуру сети.
Народ, кто замерял пропускную способность openvpn vs ipsec, подскажите. Есть шифрованные каналы на openvpn, но деградация пропускной способности на 100 Мб/с на 1-ядерном целероне огромна - канал сужается до 27 Мб/с. Если использовать core2duo, то получается выжать где-то 84 Мб/с. Есть мысль сделать всё на ipsec. Вопрос в том а будет ли ощутимый выигрыш?