KUSONEKOの見る世界

strongSwan 5.9.8 にバージョンアップ

放置していたstrongSwanのバージョンアップをしました。

環境:
CentOS Stream 8
strongSwan 5.9.5 → 5.9.8

自分に影響した変更点

5.9.6~8の変更点はリリースノート通りですが、自分に影響があった変更は以下でした。

  • ローカルからVPN接続できなくなった
これはDOSへの対策で、ローカルIPをIPスプーフィングと判断し、応答が無くなっているのだと思います。ログにも残りませんでした。
攻撃対策としては良い変更ではあると思いますが、ローカルでの接続テストが出来なくなったため、今後の問題発生時の切り分けが困難になるなと。

まあセキュリティのためにはバージョンアップすべきです。

ビルド

# wget https://github.com/strongswan/strongswan/releases/download/5.9.8/strongswan-5.9.8.tar.bz2
# tar -xf strongswan-5.9.8.tar.bz2
# cd strongswan-5.9.8
# ./configure --prefix=/usr --sysconfdir=/etc --enable-eap-mschapv2 --enable-openssl --enable-eap-identity --enable-aesni
# make
# systemctl stop strongswan-starter
# cd ../strongswan-5.9.5
# make uninstall
# cd ../strongswan-5.9.8
# make install
# systemctl start strongswan-starter
# ipsec statusall
Status of IKE charon daemon (strongSwan 5.9.8, Linux 4.18.0-408.el8.x86_64, x86_64):
  uptime: 29 hours, since Oct 29 09:08:29 2022
  malloc: sbrk 2813952, mmap 0, used 832992, free 1980960
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
  loaded plugins: charon aesni aes des rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs12 pgp dnskey sshkey pem openssl pkcs8 fips-prf gmp curve25519 xcbc cmac hmac kdf gcm drbg attr kernel-netlink resolve socket-default stroke vici updown eap-identity eap-mschapv2 xauth-generic counters
Virtual IP pools (size/online/offline):
(snip)

問題なく使用できました。