8
Pfsense meldet "Deprecated Code" in FreeBSD13
Liebe Gemeinde,
auf der Linuxkonsole präsentiert pfsense seit dem letzten Update immer wiederholend die Meldung:
"deprecated code (to be removed in freebsd 13) 3des cipher for ipsec" -
-> also gibt es da wohl igendwo abgelaufenen Code für meine ipsec-Verbindungen
Aber wie finde ich den? Habe ich Handlungsbedarf oder geht das mehr an die pfsense-Entwickler?
Im Pfsense-Frontend sehe ich jedenfalls keine Hinweise ...
Ratlos
Georg
auf der Linuxkonsole präsentiert pfsense seit dem letzten Update immer wiederholend die Meldung:
"deprecated code (to be removed in freebsd 13) 3des cipher for ipsec" -
-> also gibt es da wohl igendwo abgelaufenen Code für meine ipsec-Verbindungen
Aber wie finde ich den? Habe ich Handlungsbedarf oder geht das mehr an die pfsense-Entwickler?
Im Pfsense-Frontend sehe ich jedenfalls keine Hinweise ...
Ratlos
Georg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665034
Url: https://administrator.de/contentid/665034
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
8 Kommentare
Neuester Kommentar
Zitat von @george44:
auf der Linuxkonsole präsentiert pfsense seit dem letzten Update immer wiederholend die Meldung:
"deprecated code (to be removed in freebsd 13) 3des cipher for ipsec" -
-> also gibt es da wohl igendwo abgelaufenen Code für meine ipsec-Verbindungen
Damit ist gemeint das die 3des Verschlüsselung als veraltet markiert wurde und zukünftig nicht mehr zur Verfügung stehen wird. Wenn du diese also noch in irgendeiner Form auf deiner pFSense nutzt (in VPN Verbindungen [IPSec/OpenVPN) oder anderen installierten Paketen) oder den Peers auch nur zur Nutzung anbietest solltest du in naher Zukunft besser die Cipher austauschen.auf der Linuxkonsole präsentiert pfsense seit dem letzten Update immer wiederholend die Meldung:
"deprecated code (to be removed in freebsd 13) 3des cipher for ipsec" -
-> also gibt es da wohl igendwo abgelaufenen Code für meine ipsec-Verbindungen
Aber wie finde ich den? Habe ich Handlungsbedarf oder geht das mehr an die pfsense-Entwickler?
Checke mal was du an angelegten VPN Verbindungen hast und ob dort in irgendeiner Form die 3DES Verschlüsselung noch aktiv den Peers anbietest. Wenn ja dann update die freigegebenen Ciphers. Zusätzlich prüfe was du sonst noch an AddOns installiert hast und ob diese die veraltete Cipher noch nutzen.Es ist halt ein Hinweis auf ein nahendes Supportende dieser Cipher in TLS und IPSec. Handlungsbedarf besteht nur wenn du es auch tatsächlich nutzt und in Zukunft keine Probleme bei Updates haben willst.
Gruß SK
Hallo SchmitzK,
Danke für die rasche, klare und gut nachvollziehbare Antwort.
Ich konnte das Problem lokalisieren: von meinen drei VPN-Konfigurationen benutze ich einmal noch 3DES - schon etwas länger ...
Werde das jetzt mal mit der anderen Seite besprechen müssen - welches neue Protokoll soll ich am besten vorschlagen?
Gruss
G
Danke für die rasche, klare und gut nachvollziehbare Antwort.
Ich konnte das Problem lokalisieren: von meinen drei VPN-Konfigurationen benutze ich einmal noch 3DES - schon etwas länger ...
Werde das jetzt mal mit der anderen Seite besprechen müssen - welches neue Protokoll soll ich am besten vorschlagen?
Gruss
G
welches neue Protokoll soll ich am besten vorschlagen?
Kommt drauf an wo Phase1, Phase2?!Üblich sind heute die AES Ciphers meist AES128/256 mit SHA1/SHA256, halt je nach Gegenstelle , aber das die grundlegenden AES Ciphers sollte heute eigentlich fast jedes Device anbieten. Beachten sollte man natürlich auch die Rechenanforderungen für die Hashberechnung, ein SHA512 bedeutet bspw. ein wesentlichen CPU-Mehraufwand gegenüber SHA1/256, auch wenn keine AES-Hardwareunterstützung vorhanden ist.
Im Moment läuft bei dieser IPSec-Verbindung in Phase 1 der 3DES/768 bit und in Phase 2 ist AES/256 mit SHA512 eingestellt. Die Parameter wurden mir so vorgegeben ...
Meine CPU bietet alle möglichen Verschlüsselungsunterstützungen:
lt. Dashboard: "Hardware crypto AES-CBC,AES-CCM,AES-GCM,AES-ICM,AES-XTS"
(pfsense läuft virtualisiert auf einem Xeon-Server)
Aber da bin ich ja wohl auch von der anderen Seite abhängig.
Meine CPU bietet alle möglichen Verschlüsselungsunterstützungen:
lt. Dashboard: "Hardware crypto AES-CBC,AES-CCM,AES-GCM,AES-ICM,AES-XTS"
(pfsense läuft virtualisiert auf einem Xeon-Server)
Aber da bin ich ja wohl auch von der anderen Seite abhängig.
Die Parameter wurden mir so vorgegeben ...
Ist ja wie gesagt auch kein Problem so lange man die pFSense nicht unvorbereitet aktualisiert, aber das Protokoll ist inzwischen wirklich uralt. Also das mal auf die pfSense Agenda schreiben und vor dem nächsten Update die Release Notes studieren ob diesbezüglich eine Entfernung aus den Ciphers vorgenommen wurde damit man damit dann nicht auf die Nase fällt 
.Aber da bin ich ja wohl auch von der anderen Seite abhängig.
Wohl war.
Nein, nicht zwingend. Sofern die andere Seite mehrere Cipher Suites anbietet und du deine Seite auf Auto hast handeln die das jeweils Beste aus was sie gemeinsam können. Aber letztendlich ist es die andere Seite.
Du kannst den Admin ja mal fragen welch komische Logik ihn geritten hat im P1 ein uraltes unsicheres Verfahren zu wählen, in der P2 dann aber was halbwegs modernes. Geht irgendwie ja nicht wirklich zusammen....aber egal.
Du kannst den Admin ja mal fragen welch komische Logik ihn geritten hat im P1 ein uraltes unsicheres Verfahren zu wählen, in der P2 dann aber was halbwegs modernes. Geht irgendwie ja nicht wirklich zusammen....aber egal.
Du kannst den Admin ja mal fragen welch komische Logik ihn geritten hat im P1 ein uraltes unsicheres Verfahren zu wählen, in der P2 dann aber was halbwegs modernes. Geht irgendwie ja nicht wirklich zusammen....aber egal.
Ich glaube, das wur nur die copy/paste Übernahme irgendeiner vorhandenen Konfiguration. Und dann haben wir auf der P2-Seite die Verschlüsselung irgendwann mal upgegradet ...
Wie gruselig !
