Проверил тот вариант, что описал в своём предыдущем посте.
При любых, кратных 8, количествах символов в значении ключа -- те же самые ошибки. Что, всё же, подразумевалось под термином "данные"?
Почитал по ссылкам. Интересно. Но не совсем на заданную тему.
Итак, по прежнему шифрование с DESE-bis и DESE-old не происходит.
И каких пакетов? На реальной сетевой довольно таки интенсивный поток. Как выделить только те пакеты, которые интересуют, если смотреть на реальном интерфейсе?
Пока видел такое:
на ngX: ОТ аппарата пакеты есть, К аппарату -- нет
на реальном: есть в обе стороны gre-пакеты.
Такая картина с обеих сторон.
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
DESE-bis - использует блочный шифр DES с размером блока 64 бита. Это значит что каждый отправляемый пакет при шифровании дополняется вверх до этой границы. Соответственно принимающая сторона в принципе не должна получить пакетов с длиной не кратной 8. Но какие-то образом это происходит. Я уже несколько лет это не тестировал, но в последний раз оно работало исправно.
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Наблюдаю такую же фигню. С сентября 2012 ничего не изменилось. В логах посылающей стороны наблюдается:
Oct 23 01:15:09 imax mpd: [VPN] DESE-bis: rec'd bogus DES cypher: len=62
Oct 23 01:15:09 imax mpd: [VPN] ECP: decryption failed
(непонятно, почему decryption, если надо зашифровать и отправить, а не расшифровать)
Принимающая сторона пакетов на интерфейсе не видит и в логах ничего не появляется.
ЗЫ: А mpd умеет какое-то шифрование с длинной ключа больше 128 бит? Или ничего лучше MPPE мне не светит?
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Нигде не нашёл нормального описания, как воспользоваться DES-шифрованием.
Сделал так:
Эта часть настроек симметрична на двух аппаратах.
На клиентской дополнительно потребовалось внести логин-пароль в mpd.secret
Линк поднимается:
Но пакеты не ходят:
FreeBSD 9.1-RELEASE amd64 с кастомным конфигом.
mpd5.6 -- из портов.
Прошу, ткните носом, что делаю не так, где почитать.
Last edit: Djarf 2013-04-26
В dese-bis длина данных должна быть кратной восьми.
Ради интереса можно посмотреть содержимое пакетов, и узнать, в чем проблема.
Я правильно понял, что под термином "данные"
подразумевается длина ключа в символах?
К примеру:
длина=32 символа, кратно 8.
Где можно почитать про это и другие ограничения
в DESE-bis и DESE-old?
P.S. Очень не хочется использовать винегрет mppc там, где его можно не использовать :-)
Last edit: Djarf 2013-04-25
http://protect.htmlweb.ru/des.htm
http://citforum.ru/nets/semenov/6/des_641.shtml
dese-bis - расширение для ppp
Проверил тот вариант, что описал в своём предыдущем посте.
При любых, кратных 8, количествах символов в значении ключа -- те же самые ошибки. Что, всё же, подразумевалось под термином "данные"?
Почитал по ссылкам. Интересно. Но не совсем на заданную тему.
Итак, по прежнему шифрование с DESE-bis и DESE-old не происходит.
Посмотреть содержимое пакетов, понятно, tcpdump. Вопрос: каких пакетов?
На ngX или на реальной сетевой?
И каких пакетов? На реальной сетевой довольно таки интенсивный поток. Как выделить только те пакеты, которые интересуют, если смотреть на реальном интерфейсе?
Пока видел такое:
на ngX: ОТ аппарата пакеты есть, К аппарату -- нет
на реальном: есть в обе стороны gre-пакеты.
Такая картина с обеих сторон.
DESE-bis - использует блочный шифр DES с размером блока 64 бита. Это значит что каждый отправляемый пакет при шифровании дополняется вверх до этой границы. Соответственно принимающая сторона в принципе не должна получить пакетов с длиной не кратной 8. Но какие-то образом это происходит. Я уже несколько лет это не тестировал, но в последний раз оно работало исправно.
Наблюдаю такую же фигню. С сентября 2012 ничего не изменилось. В логах посылающей стороны наблюдается:
Oct 23 01:15:09 imax mpd: [VPN] DESE-bis: rec'd bogus DES cypher: len=62
Oct 23 01:15:09 imax mpd: [VPN] ECP: decryption failed
(непонятно, почему decryption, если надо зашифровать и отправить, а не расшифровать)
Принимающая сторона пакетов на интерфейсе не видит и в логах ничего не появляется.
ЗЫ: А mpd умеет какое-то шифрование с длинной ключа больше 128 бит? Или ничего лучше MPPE мне не светит?
Как вариант - поднимать ipsec поверх l2tp
На счет DES. Возможно что-то поменялось в API самой FreeBSD. Посмотрю на этот счет.
Починил в CVS