klink0v (klink0v) wrote,
klink0v
klink0v

Categories:

Juniper, Fortigate, IPSec

У меня заточен отдельный зуб на тех, кто использует у себя в проде всякие там микротики, убиквити, чекпойнты, фортигейты и прочие opnsense-ы. Но сейчас не об этом.

В ждунипере (Juniper) есть давно известный баг, который приводит к невозможности построить IPSec с использованием IKEv2 до оборудования другого вендора, если в криптодомене содержится более одной записи (больше одного traffic selector-а). Проявляется, когда с другой стороны стоят некоторые Cisco ASA, Checkpoint, Fortigate. С Cisco FirePower (FTD) работает нормально. Видимо, народ забодал техподдержку последних, и они включили какой-то workaround в свои актуальные прошивки.

Вариантов решения, к сожалению, немного.


  1. Откатываться на IKEv1, потеряв при этом возможность использовать современные криптоалгоритмы.

  2. Договариваться с вражеской стороной, чтобы в криптодомене присутствовала бы только одна запись. Например, "0.0.0.0/0", как вариант.

Мне вот искренне интересно, начиная с какой версии JunOS они исправили этот баг, и исправили ли вообще. Так-то это хороший повод обновить прошивку, но чё-то нет уверенности, что это не будет заменой шила на мыло.
Tags: juniper, грабли, железо, сети
Subscribe

  • Зависть

    На работу взяли совсем-совсем молоденькую девочку-юристку. Оная зашла к нам в админскую комнату. В это время PM (менеджер проектов) собирается…

  • Божьи одуванчики

    ... Есть в Подмосковье один небольшой городок с населением что-то около 30 тысяч человек всего. В советские времена там располагалась лёгкая…

  • ОколоITшный дыбр #19

    ... В одном из прошлых постов я уже рассказывал про заказчиков-дятлов, которые хотят чтобы им всё инсталлировали и запустили в лучшем виде, но при…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments