Re: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
Salut,
Le 08/11/2018 à 10:24, Joel DEREFINKO a écrit :
J'ai également eu un retour de la part de l'APNF indiquant que les ASR
1001/1002 peuvent être une alternative (on en a).
Je pense que ça nécessite des ASR 1001-*X* / 1002-*X *pour du hashage
sha256*.
*
Pour un autre besoin, je me suis pris la tête à essayer de faire le plus
robuste possible entre un ISR4331 et un ASR1001 sous IOS-XE 3.16.xS.
En ikev1, j'ai pas réussi à faire mieux que :
- policy isakmp : aes256 / group 16
- transform set ESP : aes256 / sha1
Sur les plateformes ASR1001 (pas X), j'ai bien l'impression que :
- les algos DH à courbes elliptiques ne sont pas utilisables pour la
négo isakmp
- le hashage SHA256 et supérieur n'est pas utilisable pour le tunnel
Voir la note 5 là dessus :
https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/116055-technote-ios-crypto.html#anc5
Le pire est que la cli te laisse utiliser toutes les combinaisons
possibles !
Le tunnel ne monte pas et tu loggues via un debug ipsec ce type de
message :
IPSEC(ipsec_process_proposal): transform not supported by encryption
hardware:
{esp-aes esp-sha256-hmac }
ça devait être trop dur chez Cisco de traiter le cas par plateforme pour
refuser le paramétrage en cli directement
Si quelqu'un a une expérience plus heureuse, je prend ! :-)
A+
--
Jérôme BERTHIER
---
Liste de diffusion du FRnOG
http://www.frnog.org/
RE: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
Bonjour, Merci à tous pour vos retour on et off liste. J'ai également eu un retour de la part de l'APNF indiquant que les ASR 1001/1002 peuvent être une alternative (on en a). Je vais donc voir en interne quelle options serait préférée. Merci encore ! Joël -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Denis Fondras Envoyé : mercredi 7 novembre 2018 18:59 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ? On Wed, Nov 07, 2018 at 04:00:46PM +, Joel DEREFINKO wrote: > Donc en gros je suis à la recherche de quelque chose "d'enterprise-grade" que > mes amis anglais seraient à même de tolérer... (je ne pense pas que Mikrotik > serait accepté par exemple, mais je peux toujours tenter ma chance...) > Qu'est-ce que c'est Entreprise-Grade ? C'est à partir d'un certain nombre de milliers d'euros ? Parce qu'une Alix APU2d4 avec OpenBSD, la stack IPsec est solide et supporte les paramètres demandés. La conf IPsec se fait en 2 lignes. Ca s'installe en 15 minutes et ça coute moins de 200€ (tu peux utiliser le reste de budget pour faire un don à la fondation OpenBSD :o). Ca se pose dans un coin et ça s'oublie. En bonus, ça supporte EIGRP. Si vous utilisez OpenSSH et trouvez ça "Entreprise-Grade" alors ne cherche pas plus loin. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
Chez nous ça marche bien sur Ubiquiti.
Le mer. 7 nov. 2018 à 18:52, Hugues Voiturier a
écrit :
> N’hésites pas à demander aux gars de l’APNF, ils m’ont donné les
> références de ce qui marche chez eux. A noter qu’ils utilisent du
> Checkpoint, donc si tu veux pas t’embêter, suffit de prendre la même chose
>
> Sent from my iPhone
>
> > On 7 Nov 2018, at 18:15, Joel DEREFINKO
> wrote:
> >
> > Merci,
> >
> > Je note Fortinet dans un coin.
> >
> > Pour la gamme Cisco ISR, un petit coup d'œil dans la doc de la gamme que
> nous possédons (2911 et 3945) a douché mes espoirs.
> >
> https://www.cisco.com/c/en/us/td/docs/routers/access/1900/software/configuration/guide/Software_Configuration/Secconf1.html
> >
> > Je retrouve les mêmes possibilités (et limites) que sur mes ASA.
> >
> > 2. encryption { des | 3des | aes | aes 192 | aes 256}
> > 3. hash { md5 | sha }
> > 5. group { 1 | 2 | 5 }
> >
> > A voir si des gammes plus récentes offrent plus de paramètres...
> >
> >
> > Joël
> >
> > -Message d'origine-
> > De : Michael Bazy [mailto:mb...@exclusive-networks.com]
> > Envoyé : mercredi 7 novembre 2018 17:28
> > À : Hugues Voiturier; Joel DEREFINKO
> > Cc : frnog-t...@frnog.org
> > Objet : RE: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
> >
> > Quelqu'un finira probablement par le citer, donc pour info, voici les
> paramètres que supporte un (pourtant petit) FortiGate:
> >
> > IKE v1 & v2
> > DH Group 1 -> 31
> > DES/3DES/AES128-192-256
> > MD5/SHA1-256-384-512
> >
> > Par contre, pas de support de l'EIGRP.
> >
> > Et je ne pense pas que ton ingénierie aux UKs vienne dire que ce n'est
> pas "Enterprise-Grade" (certification CC, toussa)
> >
> > Michael
> >
> > -Message d'origine-
> > De : frnog-requ...@frnog.org De la part de
> Hugues Voiturier
> > Envoyé : mercredi 7 novembre 2018 17:08
> > À : Joel DEREFINKO
> > Cc : frnog-t...@frnog.org
> > Objet : Re: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
> >
> > Ah tiens, ravi de voir que je ne suis pas le seul à avoir des soucis
> avec l’APNF et IPSEC !
> >
> > Tu as essayé de regarder chez Cisco, mais dans la gamme de routeurs
> classiques (ISR par exemple) ?
> >
> > Il me semble que mon contact là bas m’avait dit que ça marchait.
> >
> > @+
> >
> > Hugues
> > AS57199 - AS50628
> >
> >> On 7 Nov 2018, at 17:00, Joel DEREFINKO
> wrote:
> >>
> >> Bonjour à tous !
> >>
> >> Petit résumé de notre situation : nous sommes raccordés comme beaucoup
> à l'APNF via un tunnel IPSEC.
> >> Nous ne sommes que consommateurs de données à des fins de facturation.
> >> L'APNF a lancé (il y longtemps déjà) une campagne de migration des
> tunnels vers d'autres paramètres IPSEC plus robustes.
> >>
> >> Notre souci, c'est que faisant partie d'un groupe américain qui a élevé
> Cisco au rang de religion, notre parc comporte essentiellement des ASA.
> >> (Pour l'anecdote le routage interne est, entre autres, en EIGRP...)
> >>
> >> Or ces petites bestioles (y compris celles renouvelées en 2018) ne
> proposent pas IKEv1/DH14/AES-256/SHA-256.
> >> Ces paramètres sont dispo en IKEv2 mais Steria ne supporte pas IKEv2.
> >>
> >> Je suis donc à la recherche d'alternatives HW pour héberger ce tunnel.
> >>
> >> Petites précisions qui compliquent un peu le sujet, j'ai commencé à
> regarder OpenSWAN / LibreSWAN, mais mon ingénierie réseau basée en UK m'a
> gentiment fait comprendre que si je veux déployer de l'open-source, je me
> démerde de bout en bout (et je suis loin d'être expert...).
> >> Donc en gros je suis à la recherche de quelque chose
> "d'enterprise-grade" que mes amis anglais seraient à même de tolérer... (je
> ne pense pas que Mikrotik serait accepté par exemple, mais je peux toujours
> tenter ma chance...)
> >>
> >> Merci pour vos retours !
> >>
> >> Joël
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
On Wed, Nov 07, 2018 at 04:00:46PM +, Joel DEREFINKO wrote: > Donc en gros je suis à la recherche de quelque chose "d'enterprise-grade" que > mes amis anglais seraient à même de tolérer... (je ne pense pas que Mikrotik > serait accepté par exemple, mais je peux toujours tenter ma chance...) > Qu'est-ce que c'est Entreprise-Grade ? C'est à partir d'un certain nombre de milliers d'euros ? Parce qu'une Alix APU2d4 avec OpenBSD, la stack IPsec est solide et supporte les paramètres demandés. La conf IPsec se fait en 2 lignes. Ca s'installe en 15 minutes et ça coute moins de 200€ (tu peux utiliser le reste de budget pour faire un don à la fondation OpenBSD :o). Ca se pose dans un coin et ça s'oublie. En bonus, ça supporte EIGRP. Si vous utilisez OpenSSH et trouvez ça "Entreprise-Grade" alors ne cherche pas plus loin. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
N’hésites pas à demander aux gars de l’APNF, ils m’ont donné les références de
ce qui marche chez eux. A noter qu’ils utilisent du Checkpoint, donc si tu veux
pas t’embêter, suffit de prendre la même chose
Sent from my iPhone
> On 7 Nov 2018, at 18:15, Joel DEREFINKO wrote:
>
> Merci,
>
> Je note Fortinet dans un coin.
>
> Pour la gamme Cisco ISR, un petit coup d'œil dans la doc de la gamme que nous
> possédons (2911 et 3945) a douché mes espoirs.
> https://www.cisco.com/c/en/us/td/docs/routers/access/1900/software/configuration/guide/Software_Configuration/Secconf1.html
>
> Je retrouve les mêmes possibilités (et limites) que sur mes ASA.
>
> 2. encryption { des | 3des | aes | aes 192 | aes 256}
> 3. hash { md5 | sha }
> 5. group { 1 | 2 | 5 }
>
> A voir si des gammes plus récentes offrent plus de paramètres...
>
>
> Joël
>
> -Message d'origine-
> De : Michael Bazy [mailto:mb...@exclusive-networks.com]
> Envoyé : mercredi 7 novembre 2018 17:28
> À : Hugues Voiturier; Joel DEREFINKO
> Cc : frnog-t...@frnog.org
> Objet : RE: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
>
> Quelqu'un finira probablement par le citer, donc pour info, voici les
> paramètres que supporte un (pourtant petit) FortiGate:
>
> IKE v1 & v2
> DH Group 1 -> 31
> DES/3DES/AES128-192-256
> MD5/SHA1-256-384-512
>
> Par contre, pas de support de l'EIGRP.
>
> Et je ne pense pas que ton ingénierie aux UKs vienne dire que ce n'est pas
> "Enterprise-Grade" (certification CC, toussa)
>
> Michael
>
> -Message d'origine-
> De : frnog-requ...@frnog.org De la part de Hugues
> Voiturier
> Envoyé : mercredi 7 novembre 2018 17:08
> À : Joel DEREFINKO
> Cc : frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
>
> Ah tiens, ravi de voir que je ne suis pas le seul à avoir des soucis avec
> l’APNF et IPSEC !
>
> Tu as essayé de regarder chez Cisco, mais dans la gamme de routeurs
> classiques (ISR par exemple) ?
>
> Il me semble que mon contact là bas m’avait dit que ça marchait.
>
> @+
>
> Hugues
> AS57199 - AS50628
>
>> On 7 Nov 2018, at 17:00, Joel DEREFINKO wrote:
>>
>> Bonjour à tous !
>>
>> Petit résumé de notre situation : nous sommes raccordés comme beaucoup à
>> l'APNF via un tunnel IPSEC.
>> Nous ne sommes que consommateurs de données à des fins de facturation.
>> L'APNF a lancé (il y longtemps déjà) une campagne de migration des tunnels
>> vers d'autres paramètres IPSEC plus robustes.
>>
>> Notre souci, c'est que faisant partie d'un groupe américain qui a élevé
>> Cisco au rang de religion, notre parc comporte essentiellement des ASA.
>> (Pour l'anecdote le routage interne est, entre autres, en EIGRP...)
>>
>> Or ces petites bestioles (y compris celles renouvelées en 2018) ne proposent
>> pas IKEv1/DH14/AES-256/SHA-256.
>> Ces paramètres sont dispo en IKEv2 mais Steria ne supporte pas IKEv2.
>>
>> Je suis donc à la recherche d'alternatives HW pour héberger ce tunnel.
>>
>> Petites précisions qui compliquent un peu le sujet, j'ai commencé à regarder
>> OpenSWAN / LibreSWAN, mais mon ingénierie réseau basée en UK m'a gentiment
>> fait comprendre que si je veux déployer de l'open-source, je me démerde de
>> bout en bout (et je suis loin d'être expert...).
>> Donc en gros je suis à la recherche de quelque chose "d'enterprise-grade"
>> que mes amis anglais seraient à même de tolérer... (je ne pense pas que
>> Mikrotik serait accepté par exemple, mais je peux toujours tenter ma
>> chance...)
>>
>> Merci pour vos retours !
>>
>> Joël
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
RE: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
Merci,
Je note Fortinet dans un coin.
Pour la gamme Cisco ISR, un petit coup d'œil dans la doc de la gamme que nous
possédons (2911 et 3945) a douché mes espoirs.
https://www.cisco.com/c/en/us/td/docs/routers/access/1900/software/configuration/guide/Software_Configuration/Secconf1.html
Je retrouve les mêmes possibilités (et limites) que sur mes ASA.
2. encryption { des | 3des | aes | aes 192 | aes 256}
3. hash { md5 | sha }
5. group { 1 | 2 | 5 }
A voir si des gammes plus récentes offrent plus de paramètres...
Joël
-Message d'origine-
De : Michael Bazy [mailto:mb...@exclusive-networks.com]
Envoyé : mercredi 7 novembre 2018 17:28
À : Hugues Voiturier; Joel DEREFINKO
Cc : frnog-t...@frnog.org
Objet : RE: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
Quelqu'un finira probablement par le citer, donc pour info, voici les
paramètres que supporte un (pourtant petit) FortiGate:
IKE v1 & v2
DH Group 1 -> 31
DES/3DES/AES128-192-256
MD5/SHA1-256-384-512
Par contre, pas de support de l'EIGRP.
Et je ne pense pas que ton ingénierie aux UKs vienne dire que ce n'est pas
"Enterprise-Grade" (certification CC, toussa)
Michael
-Message d'origine-
De : frnog-requ...@frnog.org De la part de Hugues
Voiturier
Envoyé : mercredi 7 novembre 2018 17:08
À : Joel DEREFINKO
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
Ah tiens, ravi de voir que je ne suis pas le seul à avoir des soucis avec
l’APNF et IPSEC !
Tu as essayé de regarder chez Cisco, mais dans la gamme de routeurs classiques
(ISR par exemple) ?
Il me semble que mon contact là bas m’avait dit que ça marchait.
@+
Hugues
AS57199 - AS50628
> On 7 Nov 2018, at 17:00, Joel DEREFINKO wrote:
>
> Bonjour à tous !
>
> Petit résumé de notre situation : nous sommes raccordés comme beaucoup à
> l'APNF via un tunnel IPSEC.
> Nous ne sommes que consommateurs de données à des fins de facturation.
> L'APNF a lancé (il y longtemps déjà) une campagne de migration des tunnels
> vers d'autres paramètres IPSEC plus robustes.
>
> Notre souci, c'est que faisant partie d'un groupe américain qui a élevé Cisco
> au rang de religion, notre parc comporte essentiellement des ASA.
> (Pour l'anecdote le routage interne est, entre autres, en EIGRP...)
>
> Or ces petites bestioles (y compris celles renouvelées en 2018) ne proposent
> pas IKEv1/DH14/AES-256/SHA-256.
> Ces paramètres sont dispo en IKEv2 mais Steria ne supporte pas IKEv2.
>
> Je suis donc à la recherche d'alternatives HW pour héberger ce tunnel.
>
> Petites précisions qui compliquent un peu le sujet, j'ai commencé à regarder
> OpenSWAN / LibreSWAN, mais mon ingénierie réseau basée en UK m'a gentiment
> fait comprendre que si je veux déployer de l'open-source, je me démerde de
> bout en bout (et je suis loin d'être expert...).
> Donc en gros je suis à la recherche de quelque chose "d'enterprise-grade" que
> mes amis anglais seraient à même de tolérer... (je ne pense pas que Mikrotik
> serait accepté par exemple, mais je peux toujours tenter ma chance...)
>
> Merci pour vos retours !
>
> Joël
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
RE: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
Quelqu'un finira probablement par le citer, donc pour info, voici les paramètres que supporte un (pourtant petit) FortiGate: IKE v1 & v2 DH Group 1 -> 31 DES/3DES/AES128-192-256 MD5/SHA1-256-384-512 Par contre, pas de support de l'EIGRP. Et je ne pense pas que ton ingénierie aux UKs vienne dire que ce n'est pas "Enterprise-Grade" (certification CC, toussa) Michael -Message d'origine- De : frnog-requ...@frnog.org De la part de Hugues Voiturier Envoyé : mercredi 7 novembre 2018 17:08 À : Joel DEREFINKO Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ? Ah tiens, ravi de voir que je ne suis pas le seul à avoir des soucis avec l’APNF et IPSEC ! Tu as essayé de regarder chez Cisco, mais dans la gamme de routeurs classiques (ISR par exemple) ? Il me semble que mon contact là bas m’avait dit que ça marchait. @+ Hugues AS57199 - AS50628 > On 7 Nov 2018, at 17:00, Joel DEREFINKO wrote: > > Bonjour à tous ! > > Petit résumé de notre situation : nous sommes raccordés comme beaucoup à > l'APNF via un tunnel IPSEC. > Nous ne sommes que consommateurs de données à des fins de facturation. > L'APNF a lancé (il y longtemps déjà) une campagne de migration des tunnels > vers d'autres paramètres IPSEC plus robustes. > > Notre souci, c'est que faisant partie d'un groupe américain qui a élevé Cisco > au rang de religion, notre parc comporte essentiellement des ASA. > (Pour l'anecdote le routage interne est, entre autres, en EIGRP...) > > Or ces petites bestioles (y compris celles renouvelées en 2018) ne proposent > pas IKEv1/DH14/AES-256/SHA-256. > Ces paramètres sont dispo en IKEv2 mais Steria ne supporte pas IKEv2. > > Je suis donc à la recherche d'alternatives HW pour héberger ce tunnel. > > Petites précisions qui compliquent un peu le sujet, j'ai commencé à regarder > OpenSWAN / LibreSWAN, mais mon ingénierie réseau basée en UK m'a gentiment > fait comprendre que si je veux déployer de l'open-source, je me démerde de > bout en bout (et je suis loin d'être expert...). > Donc en gros je suis à la recherche de quelque chose "d'enterprise-grade" que > mes amis anglais seraient à même de tolérer... (je ne pense pas que Mikrotik > serait accepté par exemple, mais je peux toujours tenter ma chance...) > > Merci pour vos retours ! > > Joël > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
Ah tiens, ravi de voir que je ne suis pas le seul à avoir des soucis avec l’APNF et IPSEC ! Tu as essayé de regarder chez Cisco, mais dans la gamme de routeurs classiques (ISR par exemple) ? Il me semble que mon contact là bas m’avait dit que ça marchait. @+ Hugues AS57199 - AS50628 > On 7 Nov 2018, at 17:00, Joel DEREFINKO wrote: > > Bonjour à tous ! > > Petit résumé de notre situation : nous sommes raccordés comme beaucoup à > l'APNF via un tunnel IPSEC. > Nous ne sommes que consommateurs de données à des fins de facturation. > L'APNF a lancé (il y longtemps déjà) une campagne de migration des tunnels > vers d'autres paramètres IPSEC plus robustes. > > Notre souci, c'est que faisant partie d'un groupe américain qui a élevé Cisco > au rang de religion, notre parc comporte essentiellement des ASA. > (Pour l'anecdote le routage interne est, entre autres, en EIGRP...) > > Or ces petites bestioles (y compris celles renouvelées en 2018) ne proposent > pas IKEv1/DH14/AES-256/SHA-256. > Ces paramètres sont dispo en IKEv2 mais Steria ne supporte pas IKEv2. > > Je suis donc à la recherche d'alternatives HW pour héberger ce tunnel. > > Petites précisions qui compliquent un peu le sujet, j'ai commencé à regarder > OpenSWAN / LibreSWAN, mais mon ingénierie réseau basée en UK m'a gentiment > fait comprendre que si je veux déployer de l'open-source, je me démerde de > bout en bout (et je suis loin d'être expert...). > Donc en gros je suis à la recherche de quelque chose "d'enterprise-grade" que > mes amis anglais seraient à même de tolérer... (je ne pense pas que Mikrotik > serait accepté par exemple, mais je peux toujours tenter ma chance...) > > Merci pour vos retours ! > > Joël > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
Bonjour à tous ! Petit résumé de notre situation : nous sommes raccordés comme beaucoup à l'APNF via un tunnel IPSEC. Nous ne sommes que consommateurs de données à des fins de facturation. L'APNF a lancé (il y longtemps déjà) une campagne de migration des tunnels vers d'autres paramètres IPSEC plus robustes. Notre souci, c'est que faisant partie d'un groupe américain qui a élevé Cisco au rang de religion, notre parc comporte essentiellement des ASA. (Pour l'anecdote le routage interne est, entre autres, en EIGRP...) Or ces petites bestioles (y compris celles renouvelées en 2018) ne proposent pas IKEv1/DH14/AES-256/SHA-256. Ces paramètres sont dispo en IKEv2 mais Steria ne supporte pas IKEv2. Je suis donc à la recherche d'alternatives HW pour héberger ce tunnel. Petites précisions qui compliquent un peu le sujet, j'ai commencé à regarder OpenSWAN / LibreSWAN, mais mon ingénierie réseau basée en UK m'a gentiment fait comprendre que si je veux déployer de l'open-source, je me démerde de bout en bout (et je suis loin d'être expert...). Donc en gros je suis à la recherche de quelque chose "d'enterprise-grade" que mes amis anglais seraient à même de tolérer... (je ne pense pas que Mikrotik serait accepté par exemple, mais je peux toujours tenter ma chance...) Merci pour vos retours ! Joël --- Liste de diffusion du FRnOG http://www.frnog.org/
