IPSec Key Lifetime?

radiohead

Well-Known Member
Hi,

gibt es eine Moeglichkeit die Keylifetimes der beiden IPSec Phasen irgendwie in der ipsec.conf zu setzen? In der manpage steht davon nichts drin. Mein Tunnel schafft naemlich das re-keying mit einer WatchGuard nicht. Kann man auch zusaetzlich zur Lifetime in Sekunden eine in Mbyte angeben?

Mein System ist ein OpenBSD 4.1
 
Also in der ipsec.conf wohl leider nicht direkt, aber es gibt vom isakmpd ja noch die POLICY File, wo man einiges einstellen kann. Es ist aber halt die Frage, ob die Datei überhaupt ausgewertet wird, wenn man die viel einfachere ipsec.conf nutzt.
 
Hm, ja davon habe ich auch schon gehoert. Ich meine es so verstanden zu haben, dass entweder das eine oder das andere geht, nicht jedoch beide zusammen. Im WatchGuard Log kommt dann immer sowas wie No Proposal Chosen. Aber ich habe auch das Gefuehl, dass die Verbindung vor erreichen der Lifetime (8h) abbricht. Wirklich was im Logfile auf dem BSD System zu sehen gibt es aber nicht.
 
Ich habe mal vor einiger Zeit mit OpenBSD IPSec und Cisco IPSec rumgespielt. Funktionieren tut das schon, nur können einen diese nichtsagenden Fehlermeldungen in den Wahnsinn treiben. Auch -vvvv sonst was war da nicht sehr hilfreich. Ich hoffe ja auch immer noch, das man in Zukunft mehr Möglichkeiten mit der ipsec.conf und ipsecctl hat. Zur Zeit ist es ja leider auch nicht möglich eine Verbindung mit ESP UND AH zu sichern, wenn man ipsecctl nutzt.
 
Naja, vielleicht passiert da ja nochwas. Es ist nur schade, dass die Verbindung so instabil ist. Wozu moechtest du denn ESP und AH zur selben Zeit nutzen? ESP ist doch komplett verschluesselt und das sollte man doch nehmen?
 
Aber AH dient doch nur der Integritaet der Daten, waehrend ESP zusaetzlich dazu noch die Verschluesselung uebernimmt. Ich habe noch nie davon gehoert, beides auf einmal zu nutzen.
 
Back
Top