Nesmysl? Proc je to nesmysl? Nikdo Vase kvalitni PSK nezakazuje, ale obecne neni _doporucene_ PSK pouzivat prave proto, ze muzete utocit slovnikem.
http://www.openbsd.org/cgi-bin/cvsweb/src/etc/iked.conf?rev=1.2 posledni radek
"Argumentovat nesmysly" opet nechapu - ja si pod "kvalitni PSK" predstavim neco, co nechci opisovat znak po znaku. Tudiz to nejak bezpecne zkopiruju. A jestli kopiruju tricetiznakove heslo z pwgenu nebo petiradkovy klic v PEM je mi opravdu uplne jedno; do meho clipboardu se to vejde. Ale at si PSK kdo chce pouziva, od toho to tam je...
To, ze road-warrior s main-mode neumi Racoon jeste neznamena, ze to nejde. Ja napisu do ipsec.conf(5) "ike esp passive from em0 to any psk heslo" a mam na adresach interfejsu "em0" road-warrior-like setup. Mozna ten pravy duvod, proc to autori racoonu nenapsali, je, ze nechteji PSK moc rozsirovat ;-)
Dokonce jsem tohle nastaveni pouzival k vyuce Administrace UNIXu na MFF - studenti meli za ukol sve stroje k VPN pripojit a nastavit tunelovani ze sve site do me site. (tzn. SAcka host-host i net-net) A protoze PKI jsme si uzili pri konfiguraci SMTP+TLS, rozhodl jsem se pouzit PSK. Realne ten ukol nekolik studentu zvladlo.
[...] znamena "without any implied constraints on the protocol or port numbers allowed, unless client identifiers are specified in Quick Mode."
-- Opravdu nevidim nic zajimaveho. Kdyz klient nastavi svuj identifier v quick mode (srcid/dstid, leftid/rightid), nema to na IP adresu tunelu vliv. Identifier si muzu vybrat jaky chci (pouziva se maximalne ke kontrole subjectAltName pri X.509). Lepe receno, je to zavisle na konkretni implementaci, nebo nevim, kde je specifikovano jinak.
Jake _bezpecnostni_ problemy IKEv1 ma? Nevim, co je "hlavni" duvod vyvoje IKEv2, podle me je to zjednoduseni protokolu z duvodu blbych adminu, kterym radsi vyhovuje za 5min vygooglit "openvpn linux howto" nez se naucit pouzivat realna reseni ;-) (nekteri vyrobci maji IPsec na 10GE switchich/routerech, o OpenVPN nevim) a take nekompatibilita nekterych implementaci kvuli nejasnym definicim. A jako feature navrch zrychlili SA establishment, pridali EAP, ...
