Tâche #21686
Mis à jour par Fabrice Barconnière il y a plus de 6 ans
Afin d'étendre l'interopérabilité avec des systèmes tiers, nous proposons l'ajout des algorithmes d'encryption/authentication *aes128-sha256* pour esp pour être utilisés dans les connections ipsec.
Nous avons récemment eu ce besoin en voulant établir des tunnels ipsec entre Sphynx et un équipement Stormshield basé également sur strongswan. Malheureusement, les modifications apportées au fichier ipsec.conf pour permettre le fonctionnement lors de l'échange mutuel des algorithmes supportés ne sont pas persistantes et la conf d'origine est écrasée à chaque modification faite dans ARV.
Voici la modification dont nous avons eu besoin dans notre cas:
esp = aes128gcm128,aes192gcm128,aes128-sha256
Logs de charon avant la modification:
<pre>
2017-10-09T12:11:05.629735+02:00 sphynx01.agr.ac-aix-marseille.fr charon: 25[IKE] no acceptable proposal found
2017-10-09T12:11:15.623953+02:00 sphynx01.agr.ac-aix-marseille.fr charon: 61[CFG] received proposals: ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ
2017-10-09T12:11:15.623972+02:00 sphynx01.agr.ac-aix-marseille.fr charon: 61[CFG] configured proposals: ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_16_192/NO_EXT_SEQ, ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/BLOWFISH_CBC_256/HMAC_SHA1_96/AES_XCBC_96/HMAC_MD5_96/NO_EXT_SEQ
</pre>
Merci