放置していたstrongSwanのバージョンアップをしました。
環境:
CentOS Stream 8
strongSwan 5.9.5 → 5.9.8
自分に影響した変更点
5.9.6~8の変更点はリリースノート通りですが、自分に影響があった変更は以下でした。
- ローカルからVPN接続できなくなった
これはDOSへの対策で、ローカルIPをIPスプーフィングと判断し、応答が無くなっているのだと思います。ログにも残りませんでした。
攻撃対策としては良い変更ではあると思いますが、ローカルでの接続テストが出来なくなったため、今後の問題発生時の切り分けが困難になるなと。
まあセキュリティのためにはバージョンアップすべきです。
ビルド
# wget https://github.com/strongswan/strongswan/releases/download/5.9.8/strongswan-5.9.8.tar.bz2 # tar -xf strongswan-5.9.8.tar.bz2 # cd strongswan-5.9.8 # ./configure --prefix=/usr --sysconfdir=/etc --enable-eap-mschapv2 --enable-openssl --enable-eap-identity --enable-aesni # make # systemctl stop strongswan-starter # cd ../strongswan-5.9.5 # make uninstall # cd ../strongswan-5.9.8 # make install # systemctl start strongswan-starter # ipsec statusall Status of IKE charon daemon (strongSwan 5.9.8, Linux 4.18.0-408.el8.x86_64, x86_64): uptime: 29 hours, since Oct 29 09:08:29 2022 malloc: sbrk 2813952, mmap 0, used 832992, free 1980960 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0 loaded plugins: charon aesni aes des rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs12 pgp dnskey sshkey pem openssl pkcs8 fips-prf gmp curve25519 xcbc cmac hmac kdf gcm drbg attr kernel-netlink resolve socket-default stroke vici updown eap-identity eap-mschapv2 xauth-generic counters Virtual IP pools (size/online/offline): (snip)
問題なく使用できました。