Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 12057 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

When will the the UTM update to current StrongSWAN build?

coewar
Upgrade to modern version of StrongSWAN which uses charon instead of pluto

The ipsec binary in use today is from 2010 still. Wouldn't it be a good idea to be on top of the versions? Particularly since Sohpos is one of the big guys listed as sponsoring the StrongSWAN project, which is what gives IPSec VPN capabilities to the Astaro?


This thread was automatically locked due to age.
Parents
  • 0
    Well it seems I've come across enough web articles that simply point out that the old pluto implementation of ipsec VPN is just not good enough these days to be used by a router like Astaro/Sophos UTM and likely is the reason the VPN tunnels are less stable than present day hardware routers. Our challenge is that we have to set up many ipsec VPN's with third parties who could be using all different kinds of routers. Hardware routers for whatever reason don't play nice with that situation. But pluto sadly also does not, which is silly because it's supposed to be a standard defined protocol. I'm actually making plans to build my own router now so I can have current ipsec software that's not so ridiculously outdated so I am not locked into waiting and hoping Sophos upgrades it.

    Here are some references of people's experience in moving to the current StrongSWAN charon ipsec software.
    [Development] Strongswan 5.0.0
    planet.ipfire.org - IPFire Planet
    Known Problems on site to site vpn between Sophos (Astaro) UTM and Sonicwall - Spiceworks

    Some note worthy quotes from the references:
    "...it is not necessary to restart all IPsec connections any more when one connection is edited, created or removed. That leaves us with much more stability. Changing preferences and some smaller bits are much faster and don’t require to reconnect to all the remote parties. Data transfers cannot break during this time and that is very enjoyable for every admin who cares about a couple of busy IPsec connections."

    "We are expecting (and already experiencing) a magnificent improvement of the connection stability. Especially in difficult situations, for example behind a NAT router and connections with dynamic IP addresses which change very often are getting much more fun to use."

    "Any updates on this ? Success / failure ?
    My Astaro 9.x UTM is not doing it with a Sonicwall TZ210.
    The Sonicwall initiates the connection. IKE succeeds and then The Sonicwall reports "Incompatible with older firmware" and hangs up."

    Of course here is StrongSwan's page on the pluto removal:
    CharonPlutoIKEv1 - strongSwan - strongSwan - IKEv2/IPsec VPN for Linux, Android, FreeBSD, Mac OS X
    which covers a few still missing features. Of course, those missing features can be handled by also running the old version.. or probably better spent time in just helping the StrongSWAN team complete those features.
    Or at least upgrade to the latest 4.x version of StrongSWAN from 2012 while pushing to get their latest version totally ready.
Reply
  • 0
    Well it seems I've come across enough web articles that simply point out that the old pluto implementation of ipsec VPN is just not good enough these days to be used by a router like Astaro/Sophos UTM and likely is the reason the VPN tunnels are less stable than present day hardware routers. Our challenge is that we have to set up many ipsec VPN's with third parties who could be using all different kinds of routers. Hardware routers for whatever reason don't play nice with that situation. But pluto sadly also does not, which is silly because it's supposed to be a standard defined protocol. I'm actually making plans to build my own router now so I can have current ipsec software that's not so ridiculously outdated so I am not locked into waiting and hoping Sophos upgrades it.

    Here are some references of people's experience in moving to the current StrongSWAN charon ipsec software.
    [Development] Strongswan 5.0.0
    planet.ipfire.org - IPFire Planet
    Known Problems on site to site vpn between Sophos (Astaro) UTM and Sonicwall - Spiceworks

    Some note worthy quotes from the references:
    "...it is not necessary to restart all IPsec connections any more when one connection is edited, created or removed. That leaves us with much more stability. Changing preferences and some smaller bits are much faster and don’t require to reconnect to all the remote parties. Data transfers cannot break during this time and that is very enjoyable for every admin who cares about a couple of busy IPsec connections."

    "We are expecting (and already experiencing) a magnificent improvement of the connection stability. Especially in difficult situations, for example behind a NAT router and connections with dynamic IP addresses which change very often are getting much more fun to use."

    "Any updates on this ? Success / failure ?
    My Astaro 9.x UTM is not doing it with a Sonicwall TZ210.
    The Sonicwall initiates the connection. IKE succeeds and then The Sonicwall reports "Incompatible with older firmware" and hangs up."

    Of course here is StrongSwan's page on the pluto removal:
    CharonPlutoIKEv1 - strongSwan - strongSwan - IKEv2/IPsec VPN for Linux, Android, FreeBSD, Mac OS X
    which covers a few still missing features. Of course, those missing features can be handled by also running the old version.. or probably better spent time in just helping the StrongSWAN team complete those features.
    Or at least upgrade to the latest 4.x version of StrongSWAN from 2012 while pushing to get their latest version totally ready.
Children
No Data
Unfiltered HTML