StrongSwan 5.0.0: nová verze implementace IPsec

30. června vyšla nová hlavní verze IPsec IKE démona jménem strongSwan. O dva dny později o tom vyšel zápisek na vývojářském blogu. K dispozici je build pro Fedoru 17 a EPEL 6. Nová verze používá stejné konfigurační soubory a konfigurace je zpětně kompatibilní. Přesto ji pravděpodobně ponechám v testovací fázi delší dobu než obvykle.

Hlavní změny

Změnou, která si vysloužila nové číslo hlavní verze, je odstranění IKEv1 démona pluto. Tímto krokem se strongSwan zbavuje kódu odvozeného z původního projektu FreeS/WAN, ze kterého rovněž vychází Openswan. Od verze 5.0.0 tedy strongSwan a Openswan sdílí prakticky jen formát konfiguračních souborů.

Tomuto kroku předcházela implementace IKEv1 pro démona charon, který byl už v předchozích verzích používán pro protokol IKEv2. Pro vývojáře to znamená možnost soustředit veškeré síly na vývoj jediného víceprotokolového démona.

Další významnou novinkou je přepracování pluginu do NetworkManageru, který konečně funguje s aktuální řadou 0.9. Ostatní změny jsou povětšinou drobná vylepšení či opravy chyb.

Nové buildy pro Fedoru a EPEL mají navíc zapnutou podporu knihovny OpenSSL. To nám pomůže vyvarovat se bezpečnostních chyb typu CVE-2012-2388. Pokud by vám chybělo něco užitečného v konfiguračních volbách, nahlašte to prosím do bugzilly.

Spolupráce s upstreamem

Přidání strongSwanu do Fedory umožnilo experimentování s konfiguracemi, které na předchozích implementacích nefungují. Zatím nebylo potřeba řešit mnoho věcí s upstream projektem. Nicméně za úspěch se dá považovat i to, že mi vývojáři ulehčili práci s přejmenováním skriptu ipsec na strongswan. Přejmenování je nutné pro odstranění konfliktu s Openswanem a problémů s SELinuxem. Další patch v jednání je více či méně univerzální skript pro sysvinit použitelný pro EPEL 6.

Testování a chyby

Vypadá to, že nebudu mít moc času balíček testovat, takže to, jak je u Fedory zvykem, zůstane na vás uživatelích. Příklady konfigurace můžete najít v testech, které používá upstream, nebo v předchozím článku. Změny v konfiguraci IKEv1 oproti předchozí verzi jsou zdokumentované.

yum install strongswan stronsgwan-NetworkManager --enablerepo=updates-testing

Problémy se dají očekávat v návaznosti právě na přejmenování ovládacího skriptu, o kterém nevím, jestli byl v upstreamu vůbec nějak testován. V řadě 4.6.x se tento problém objevuje u démona pluto, který je ve verzi 5.0.0 odstraněn. Další věc, která stojí za pozornost, je interoperabilita s jinými implementacemi IKEv1 a IKEv2.