[FreeBSD 7] IPsec tout bête

Le
Patrick Lamaizière
Bonsoir,

J'essaye de faire de l'ipsec entre deux machines tout bête mais avec
un cryptage aes. Juste en utilisant setkey. Il faudrait aussi que
j'essaye les différents hmac possibles.

add 192.168.1.21 192.168.1.200 esp 1011 -E aes-ctr "AAA";

Marche pas, j'ai toujours une "parse error" ou "invalid" ou "syntax
error". Dans racoon ils parlent juste d'aes, sans plus. Ça correspond
à quoi vis à vis de setkey ? Comment rentrer la clef ?

Bref je ne vois pas comment faire

Je suis en train de porter le driver glxsb (AMD Geode LX
security bloc) d'OpenBSD sous FreeBSD et il me reste l'ipsec à tester.
Le matériel accélère juste l'aes-128-cbc et le driver fourni en soft les
différents cryptages hmac pour être utilisable avec IPsec. Comme fait
padlock(4).
Pour l'instant ça marche avec OpenSSL et le générateur de nombre
aléatoire doit être bon.

S'il y a des aventuriers qui souhaiteraient essayer c'est là (7-STABLE):
http://user.lamaiziere.net/patrick/glxsb-110608.tar.gz

Merci.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Eric Masson
Le #6947481
Patrick Lamaizière
'Lut,

add 192.168.1.21 192.168.1.200 esp 1011 -E aes-ctr "AAA";

Marche pas, j'ai toujours une "parse error" ou "invalid" ou "syntax
error". Dans racoon ils parlent juste d'aes, sans plus. Ça correspond
à quoi vis à vis de setkey ? Comment rentrer la clef ?


Tu as ce point que ta ligne ne respecte pas :
"Add an SAD entry. add can fail with multiple reasons, including when
the key length does not match the specified algorithm."

Donc, pour aes-ctr, spécifier 20 caractères pour 160 bits ne serait
probablement pas une mauvaise idée.

S'il y a des aventuriers qui souhaiteraient essayer c'est là (7-STABLE):
http://user.lamaiziere.net/patrick/glxsb-110608.tar.gz


Applicable à une NET4501 ? C'est le seul truc à base VIA dont je dispose
atm.

--
DV: Depuis que j'ai enregistré MacSoup, il arrête pas de geler.
GC: Attends le printemps.
-+- GV in Guide du Macounet Pervers : faites chauffer MacSoup ! -+-

Patrick Lamaizière
Le #6965151
Le Thu, 12 Jun 2008 00:40:08 +0200,

add 192.168.1.21 192.168.1.200 esp 1011 -E aes-ctr "AAA";

Marche pas, j'ai toujours une "parse error" ou "invalid" ou "syntax
error". Dans racoon ils parlent juste d'aes, sans plus. Ça
correspond à quoi vis à vis de setkey ? Comment rentrer la clef ?


Tu as ce point que ta ligne ne respecte pas :
"Add an SAD entry. add can fail with multiple reasons, including when
the key length does not match the specified algorithm."

Donc, pour aes-ctr, spécifier 20 caractères pour 160 bits ne serait
probablement pas une mauvaise idée.


Ah merci ! J'essaye ça ce soir.

S'il y a des aventuriers qui souhaiteraient essayer c'est là
(7-STABLE): http://user.lamaiziere.net/patrick/glxsb-110608.tar.gz


Applicable à une NET4501 ? C'est le seul truc à base VIA dont je
dispose atm.


Non c'est pour le processeur AMD Geode LX, Soekris Net5501. Il y a
des cartes Alix qui l'utilisent aussi.


VANHULLEBUS Yvan
Le #6989221
Patrick Lamaizière
Salut.

[...]
Donc, pour aes-ctr, spécifier 20 caractères pour 160 bits ne serait
probablement pas une mauvaise idée.


Ah merci ! J'essaye ça ce soir.


Et ca devrait nettement mieux fonctionner :-)

Normalement je devrais meme rajouter que ca sera encore top mega mieux
avec un tunnel dynamique (via racoon), mais apparemment c'est vraiment
juste pour du test...


S'il y a des aventuriers qui souhaiteraient essayer c'est là
(7-STABLE): http://user.lamaiziere.net/patrick/glxsb-110608.tar.gz


Applicable à une NET4501 ? C'est le seul truc à base VIA dont je
dispose atm.


Non c'est pour le processeur AMD Geode LX, Soekris Net5501. Il y a
des cartes Alix qui l'utilisent aussi.


Me semblait bien que ca me disait quelquechose, un Geode LX :-)

Allez, ce WE je recompile le noyal de mon 5501 avec ton patch et je te
dis si ca marche bien avec FAST_IPSEC !


A +

VANHU.



Patrick Lamaizière
Le #6991411
Le 12 Jun 2008 17:32:40 +0200,

[...]
Donc, pour aes-ctr, spécifier 20 caractères pour 160 bits ne
serait probablement pas une mauvaise idée.


Ah merci ! J'essaye ça ce soir.


Et ca devrait nettement mieux fonctionner :-)

Normalement je devrais meme rajouter que ca sera encore top mega mieux
avec un tunnel dynamique (via racoon), mais apparemment c'est vraiment
juste pour du test...


Oui. Merci.

Bon j'ai fini par réussir. Pour faire de l'aes-128-cbc il faut spécifier
rijndael-cbc en fait (faut le savoir!).

Me semblait bien que ca me disait quelquechose, un Geode LX :-)

Allez, ce WE je recompile le noyal de mon 5501 avec ton patch et je te
dis si ca marche bien avec FAST_IPSEC !


Merci ce serait cool. Pour l'instant c'est un module, il suffit de le
compiler et de le charger.

Il y a un sysctl hw.glxsb.debug pour afficher des messages sur la
console. Pour que Ipsec utilise le driver il faut recharcher les
clefs.

J'ai essayé sur un ping et ça a l'air de marcher. Par contre sur un
ping -s 4000 j'obtiens une panic à 100% avec ou sans le module.
J'ai essayé en des-cbc et en aes-128-cbc.

Il y a un petit bug au déchargement du module, si une session est
ouverte ça provoque un memory leak.



Publicité
Poster une réponse
Anonyme