Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
PFSENSE убрал поддержку BF-CBC, Site-to-Site VPN на OpenVPN, wifiman
 
#1
09.11.2023 02:40:00
Ребята, в последней версии PFSENSE убрали алгоритм шифрования данных BF-CBC — и правильно сделали. Кроме того, в скором времени OpenVPN тоже прекратит поддержку предварительно общих ключей.  

Кто как решает вопрос с site-to-site VPN на OpenVPN? Я не вижу, как в Unifi сменить BF-CBC и SHA1. Даже логи Unifi жалуются на это, но самое тупое — они не дают нам настроить свои параметры.  

Nov 09 13:07:15 UniFiDreamMachine openvpn[21786]: Outgoing Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Nov 09 13:07:15 UniFiDreamMachine openvpn[21786]: WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.6.
Nov 09 13:07:15 UniFiDreamMachine openvpn[21786]: Outgoing Static Key Encryption: Using 160 bit message hash 'SHA1' for HMAC authentication
Nov 09 13:07:15 UniFiDreamMachine openvpn[21786]: Incoming Static Key Encryption: Cipher 'BF-CBC' initialized with 128 bit key
Nov 09 13:07:15 UniFiDreamMachine openvpn[21786]: WARNING: INSECURE cipher (BF-CBC) with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC). Support for these insecure ciphers will be removed in OpenVPN 2.6.
 
 
 
#2
01.05.2024 21:20:00
@UI-Marcus Есть ли новости по поводу Site to Site VPN с TLS, либо через ovpn-файл, либо с ручным вводом приватных и публичных ключей? Pfsense собирается убрать OpenVPN с общим ключом в следующих версиях.
 
 
 
#3
09.02.2024 15:20:00
Ах, проверьте, извините. Нам понадобился вариант AES-GCM-128 для некоторых конкретных туннелей (используя UDM Pro-SE).
 
 
 
#4
08.02.2024 17:50:00
Это ужасно.😡
 
 
 
#5
08.02.2024 17:48:00
К сожалению, эта новая функция не была перенесена на USG.
 
 
 
#6
08.02.2024 17:42:00
Очень сомневаюсь, что это добавят для Vintage Gateways, так что, возможно, в этом и проблема. https://help.ui.com/hc/en-us/articles/1500001268521-Ubiquiti-s-Vintage-and-Legacy-Products
 
 
 
#7
08.02.2024 17:33:00
USG4 Pro
 
 
 
#8
08.02.2024 16:56:00
Какой у тебя шлюз?
 
 
 
#9
08.02.2024 16:47:00
У меня есть и то, и другое, но не вижу вариантов для выбора.
 
 
 
#10
08.02.2024 16:17:00
Тебе нужно использовать UniFi OS версии 3.2.12 и UniFi Network Application версии 8.1.104. Ты точно уверен, что у тебя есть и то, и другое?
 
 
 
#11
08.02.2024 16:04:00
Никто не знает? Я не вижу...
 
 
 
#12
07.02.2024 09:24:00
Этот поток посвящён OpenVPN. А какие из них нужны для IPsec? Судя по моему UXG-Pro на туннеле IKEv2, он уже, кажется, использует AES-256-CBC.
 
 
 
#13
07.02.2024 09:07:00
Эти шифры ограничены только туннелями OpenVPN? Потому что нам как раз нужны были именно эти шифры для IPSec S2S VPN.
 
 
 
#14
06.02.2024 23:03:00
@UI-Marcus Я только что установил UniFI OS версии 3.2.12 и UniFi Network Application 8.1.104. Не вижу ни одной опции для выбора шифров для OpenVPN site-to-site. Где её можно найти?
 
 
 
#15
01.02.2024 14:38:00
3.2.12 UniFI OS и UniFi Network Application версии 8.1.104 находятся в режиме Early Access (EA). Если у вас установлены обе, вы можете выбирать шифры для OpenVPN site-to-site.
 
 
 
#16
13.01.2024 17:20:00
Также подписываюсь под этим, не могу обновить pfsense из-за слабых шифров. @UI-Marcus, можешь подтвердить, будет ли добавлена поддержка TLS?
 
 
 
#17
09.01.2024 13:28:00
Привет, ребята! Поддержка этой функции была добавлена в UniFi Network 8.1, который скоро должен выйти в ранний доступ.
 
 
 
#18
09.01.2024 07:53:00
Это слишком долго (чтобы добавить элемент интерфейса, который ничего толком не меняет?), да и многое другое вместе взятое — я сдаюсь с UDM. Продаю оставшиеся (3 корпуса) и перейду на VYOS на amd64-платформах. Чтобы быть по теме — VYOS уже поддерживает OpenVPN DCO, что в некоторых случаях даже быстрее Wireguard. Но для работы нужна настройка OpenVPN с TLS-сертификатами и шифрованием AES. Ребята, я люблю ваши Wi-Fi точки доступа, именно поэтому и купил UDM. Точки доступа я по-прежнему буду любить, но маршрутизация и файрвол — это явно не ваша сильная сторона. Ваша линейка EdgeOS (в основе vyatta, как и vyos) была крутая, но слабо оснащённая по мощности. Линейка UDM UnifiOS наполовину недоделана, хоть железо и лучше. Пора двигаться дальше.
 
 
 
#19
15.12.2023 09:45:00
@UI-Marcus У нас сейчас сбой, потому что наши pfSense-машины обновились с удалением шифров. Как я могу сменить шифр в dream machine? Есть команда в CLI для этого? Потому что в интерфейсе это пока не поддерживается.
 
 
 
#20
29.11.2023 10:48:00
@UI-Marcus, когда выйдет новая прошивка? Мы сейчас не можем обновить наш кластер PFSense из-за этих слабых шифров.
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)