September 9th, 2020

Cat-light

IKEv2, IPSec, aes256-gcm, DH-group-20, PRF

Пытаемся строить IPSec-тоннель между Juniper SRX и Cisco ASA. Хотим использовать IKEv2 с шифрованием первой фазы алгоритмом aes256-gcm, обменом ключами по DH-group-20 и аутентификацией по Pre-Shared Key.

В такой постановке задачи именно с такой комбинацией параметров Juniper применяет Pseudo-Random Function (сокращенно PRF) hmac-sha384 и не позволяет её изменять. То есть, она там прибита гвоздями. Причём, нигде в документации вы не найдёте какой именно алгоритм используется в этой самой PRF.

Cisco ASA вполне допускает задание произвольной PRF, хоть SHA1 в конфиге ей назначай. Какую выставишь, такая и будет.

Вот мне теперь стало зело любопытно. Это Juniper такой негодяй, что нагло ограничивает сисадмина в выборе средств. Или это Cisco мурзилка, которая в нарушение каких-нибудь RFC разрешает переназначать то, что по-хорошему меняться не должно. Где бы это посмотреть?

Cat-light

Бомжацкие облака

В очередной раз "отстал от жизни".

Хочется на работе сделать облако-ебоблако для KVM-виртуалок. Для себя, не для продажи. Чтобы с живой миграцией, автоконфигурацией гостевой системы (Linux only), удобной админкой, распределенным хранилищем типа Ceph-а, блекджеком и [ну вы поняли]. И разумеется, нахаляву. Потому что работодатель не хочет vendor lock, да и башлять мегабаксы кому-то ни разу не готов.

Какие варианты пришли в голову "навскидку".

Collapse )