Post Friends My journal
klink0v

Android + IPSec = печалька

May 22, 2024 22:04


... Наконец-то дошел до ручки дозрел до мысли, что надо бы мне как-то попадать в свою домашнюю локалку со смартфона. Причем не в ту локалку, где жужжит HP Microserver, а в другую локалку, где круглосуточно работающих x86-машин нет.

Зато там есть древний как говно мамонта Juniper SRX-100H2 с прошивкой 12.3 (свежее под него уже не бывает) и Mi Router 3G rev.1, перепрошитый под OpenWRT.

С одной стороны, можно напрячь Mi Router. Но через OpenVPN он сильно много не прокачает. Можно было бы использовать аппаратное криптоускорение eip93. В сентябре прошлого года патч таки вмержили в мастер, но до стабильных веток он пока что так и не добрался. Сам я пробовал пересобирать master, меня потом как всегда отвлекли на что-то другое, так и не завершил начатое.

Juniper SRX, понятное дело, в OpenVPN не умеет. Но с ним тоже далеко всё хорошо.

Взял свой свежайший распоследний смартфон с Android 13 на борту, попробовал сперва настроить IPSec встроенными средствами. Выяснилось, что он умеет максимум RSA-ключи. В 2024-м году-то, когда все прогрессивные уже давным-давно перешли на эллиптику. Ладно, что поделаешь, скачал "родной" StrongSWAN-овский клиент. И охренел от перечня его ограничений.

Самыми болезненными для меня в том списке оказались два пункта. Причем не по отдельности, а именно что в совокупности.
  1. Поддерживается только IKEv2.
  2. В момент подключения клиент хочет получить IP-адрес "внутри тоннеля" при помощи фичи протокола под названием "Configuration payloads".

Так вот, эти самые "Configuration payloads" (точнее, выделение адресов) поддерживаются в JunOS начиная только с 20-й версии (а у меня 12-ая). Есть аналогичная фича "mode config" в расширении XAuth, но оно требует включения режима IKEv1 + aggresive mode, который не дружит уже с клиентом.

Вот теперь у меня непонятный выбор. То ли таки ещё раз попытаться пересобрать OpenWRT с eip93 (непонятно сколько времени уйдет и дойдут ли руки), то ли купить на условном "Авито" Juniper SRX300 (видел кто-то спихивает четыре штуки за 19 килорублей, что подозрительно дешево).

Шо то фигня, шо это фигня.

ipsec, ссылки, juniper, сети, android, технологии

Leave a comment

Read comments 7
Previous post Next post
Up
Homepage Read journal... Full version Help Русская версия
© 1999-2024 LiveJournal, Inc.