Create accountLogin

Recent searches

No recent searches

Search options

Only available when logged in.
mstdn.social is one of the many independent Mastodon servers you can use to participate in the fediverse.
A general-purpose Mastodon server with a 500 character limit. All languages are welcome.

Administered by:

Server stats:

14K
active users

mstdn.social: AboutStatusProfiles directoryPrivacy policy

Mastodon: AboutGet the appKeyboard shortcutsView source codev4.3.8

#strongswan

0 posts0 participants0 posts today
Public
Habr

Харденинг strongSwan на всякий постквантовый

strongSwan — опенсорсная имплементация IPsec, фреймворка VPN. Несмотря на полувековой стаж, проект продолжает развиваться: последняя на сегодня версия приложения вышла в декабре. У него подробная документация , есть блог с CVE и публичная база тестов . По полезной пропускной способности, задержке и утилизации CPU strongSwan превосходит Wireguard, но остаётся в тени — из-за сложности и малой пригодности для обхода блокировок. Зато перед теми, кто не ленится, он открывает широкий простор для экспериментов.

habr.com/ru/articles/887458/

ХабрХарденинг strongSwan на всякий постквантовыйstrongSwan — опенсорсная имплементация IPsec, фреймворка VPN. Несмотря на двадцатилетний стаж, проект продолжает развиваться: последняя на сегодня версия приложения вышла в декабре. У него подробная...
#strongswan#mlkem#ppk
Replied in thread
Public
bls

@lns Amen! I use strongSwan (maybe even more complex than ovpn?) but have it all tooled up, and not that impressed with #wg except on #pi4 and earlier where it smokes. But both #ovpn and #strongswan pretty much match it on a #pi5. I also like that literally EVERY OS has built-in drivers for strongSwan (#ipsec). github.com/gitbls/pistrong

Simplified CA and device cert manager for strongSwan VPN - gitbls/pistrong
GitHubGitHub - gitbls/pistrong: Simplified CA and device cert manager for strongSwan VPNSimplified CA and device cert manager for strongSwan VPN - gitbls/pistrong
Public
Habr

Мониторинг ipsec strongSwan

Всем привет! Работая DevOps-инженером, я задумался о мониторинге IPsec-туннелей, которых у нас уже накопилось достаточно. Они в основном используются для связи между облаками, так как инфраструктура разнесена — например, dev и prod живут у разных облачных провайдеров. Также есть интеграции со сторонними организациями, кластеры Kubernetes в AWS, GCP и т.д. Основная цель — получать алерты о падении туннеля раньше, чем сработают алерты о недоступности сервисов. Это особенно важно, поскольку Prometheus у нас один, он живёт в одном из облаков, а prometheus-stack в Kubernetes-кластерах работают в режиме агентов. Первая проблема - выбор экспортера или разработка своего Изначально наткнулся на экспортер от dennisstritzke , но проект уже архивный, последний релиз датируется сентябрем 2021 года, в README автор рекомендует использовать более свежий и поддерживаемый экспортер . Однако он использует VICI , соответственно необходима миграция с более старого подхода конфигурирования с помощью ipsec.conf на swanctl.conf. В документации есть подробное описание , и даже ссылка на скрипт-конвертор . Но зачем ломать то, что уже работает, пусть даже и deprecated? В итоге написал свой python скрипт, который дергает ipsec status, парсит вывод и формирует необходимые мне метрики для Prometheus.

habr.com/ru/articles/862506/

ХабрМониторинг ipsec strongSwanВсем привет! Работая DevOps-инженером, я задумался о мониторинге IPsec-туннелей, которых у нас уже накопилось достаточно. Они в основном используются для связи между облаками, так как инфраструктура...
#prometheus#ipsec#strongswan
Public
The Last Psion | Alex

Bouncing around a few things today.

- Building custom #OpenWrt images for $dayjob to run on modified BT Home Hub 5a units
- Connecting to a test BT Hub 5a over TTL to see what's going on during boot
- Trying to remember #Strongswan configs for talking to Cisco ASAs over IPsec VPN, again for $dayjob
- Building #MAME 0.266 on #HaikuOS R1B5 in the background, because MAME 0.269 and 0.270 are failing and I don't know why
- Dipping into #CTRAN's #ObjectPascal source when I want a break (!!!)

Public
Habr

Интеграция защищённого контура в Yandex Cloud: делимся опытом

В этой небольшой статье расскажу, как мы организовали нашему клиенту закрытый контур в Yandex Cloud. Если конкретнее: покажу, как настроить StrongSwan site-to-site IKEv2 ipsec tunnel, а потом — инфраструктуру, состоящую в основном из кластера Kubernetes, GitLab, Vault и Keycloak. Приятного чтения! Посмотреть, как реализован закрытый контур

habr.com/ru/companies/nixys/ar

ХабрИнтеграция защищённого контура в Yandex Cloud: делимся опытомВсем привет! Nixys на связи! С нами (в основном, со мной) произошёл очередной интересный кейс. Нашему клиенту (условимся называть его Заказчик ) была необходима готовая среда разработки «под ключ»....
#yandexcloud#закрытый_контур#импортозамещение
Public
equi

When we implemented live log display in #FRR|'s CLI client, it was an amazing feature but I didn't think much of it. Now I've seen #strongSwan|'s swanctl do even better (it seems to explicitly show logs related to the SA you're dealing with), and it's driving me to a conclusion:

All long-running daemons with a control interface need to do this. It's a basic UX requirement.

And this shouldn't just be "tail -f" on the log, it should show context-relevant low priority messages disabled elsewhere.

Public *
Kensan

If anyone bothered to read the actual advisory (CVE-2023-41913) and asked themselves if the #strongSwan update was actually needed: no, it most probably was pointless because most Distros¹ do not even build charon-tkm ¯\_(ツ)_/¯

Blog post with full details:
strongswan.org/blog/2023/11/20
__
¹ Looking at you Debian…

www.strongswan.orgstrongSwan - strongSwan Vulnerability (CVE-2023-41913)
ExploreLive feeds
About