Представлен выпуск strongSwan 5.4.0, реализации IPsec для Linux, FreeBSD, Android, Windows и OS X. strongSwan является форком FreeS/WAN, одной из первых реализаций IPsec в Linux. В пятой версии strongSwan был переписан практически с нуля с оглядкой на современные стандарты, что выгодно отличает его от других форков FreeS/WAN.

IPsec обычно используется для создания VPN-сетей и представляет собой набор протоколов для реализации защищенной передачи данных по протоколу IP. IPsec состоит из двух частей: протокола обмена ключами IKE и протокола передачи шифрованного трафика ESP. strongSwan реализует протоколы IKEv1 и IKEv2, а реализация ESP находится в ядре ОС, благодаря чему достигается высокая производительность работы VPN. Если ядро не поддерживает ESP (как, например, в случае Android), strongSwan использует внутреннюю реализацию в пространстве пользователя.

Основные изменения:

  • Поддержка перенаправления IKEv2. Если сервер перегружен или находится на обслуживании, он может перенаправить клиентов на другой IKE-сервер.
  • Исправлена передача виртуальных IPv6, что потребовало изменения формата передачи. strongSwan может принимать сообщения в старом формате, но передача параметров в новом формате на старые версии клиентов может вызвать проблемы.
  • Возможность управлять сервисом с помощью протокола vici из программ на Perl. Ранее данная функциональность была реализована для Python и Ruby.
  • При использовании в Linux появилась возможность перенаправлять трафик в VPN только для определенных портов. Из-за ограничений ядра можно указывать исключительно такие диапазоны портов, которые можно представить в виде маски. Данную функцию можно настраивать в том числе и с помощью интерфейса vici.
  • Изменены параметры шифрования, которые strongSwan предлагает по умолчанию. Теперь это симметричное шифрование со 128-битным ключом, группы DH ecp256 или modp3072 и SHA2 для подписи. Для корректной работы новых настроек нужно ядро версии 2.6.33 или новее.
  • Группы DH отображаются в выводе ipsec statusall.
  • Идентификаторы SPI теперь отображаются с использованием сетевого порядка байт
  • Интерфейсы vici и swanctl включены по умолчанию. Различные улучшения в swanctl.
  • Из поставки убрана библиотека libhydra, за взаимодействие с ядром теперь отвечает libcharon.


Источник: http://www.opennet.ru/opennews/art.shtml?num=44100