IPfire Update (90) macht die IPsec Konfiguration kaputt

Letzte Woche erschien das Update 2.17 – Core Update 91 für IPfire in dem eine Reihe von Aktualisierungen für den VPN Stack umgesetzt wurden:

StrongSwan-Verwundbarkeiten

In strongSwan 5.3.1 wurde eine Sicherheitslücke mit der Bezeichnung CVE-2015-3991 geschlossen. Mit speziellen IKE-Nachrichten war es möglich einen Denial-of-Service-Angriff durchzuführen und Code einzuschleusen.

IPFire kommt nun mit Version 5.3.2, die einen zweite Lücke (CVE-2015-4171) schließt.

Meine Policy sieht vor, Updates der Firewall ohne Rücksicht auf evtl. betroffene Partner umzusetzen. Meine Sicherheit geht hat eine höhere Priorität als die Verbindung zu evtl. Partnern (Ich habe noch einen Partner der VPN Tunnel nur mit md5 „verschlüsselt“). Gestern allerdings hatte ich einen Ah-Effekt nach dem das Update installiert war, tatsächlich aber noch vor dem eigentlich erforderlichen Reboot der Firewall:

Einer von zwei VPN Tunneln ist zusammengebrochen und lies sich nicht wieder auf die Beine stellen. OK, vielleicht ist der Reboot ja wirklich nötig, allerdings habe ich diesen erst heute in der Früh durchgeführt als ich noch allein im Büro war. VPN-Tunnel baut immer noch nicht wieder auf. Also mit der Gegenstelle telefoniert: „Ja, wir bekommen Fehler in der Firewall.“ Also alle VPN-Tunnelparameter verglichen. „Passt alles. Hm. OK, danke – ich melde mich nochmal.“.

Nach etwas Recherche habe ich herausgefunden, dass die Weboberfläche (und die Updateroutine selbst wohl auch, weil ich die Weboberfläche gestern garnicht nutzte) die IPsec Konfiguration zerschießt und in einem ungültigen Zustand hinterlässt. Für ESP fehlt die DH Gruppe. Die IPsec (/var/ipfire/vpn/ipsec.conf) config sah so aus:

In der esp= Zeile fehlt die modp… Angabe. Nach Änderung der Zeile in

und einem IPsec Neustart (/etc/init.d/ipsec restart) baute der VPN-Tunnel sofort auf.

Lt. dem IPfire Supportforum besteht der Fehler tatsächlich bereits seit dem Core Update 90 von Ende Mai. Da ich Update 90 aber noch nicht installiert hatte (Schande über mein Haupt), kam der Fehler bei mir erst jetzt zum Tragen.

Vielleicht hilft der Workaround dem ein oder anderen der auch in den Fehler läuft.

Veröffentlicht in Admin Kram Getagged mit: , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*