From c4221054cd798c35cb16fe005dbfd3b3734a2e5d Mon Sep 17 00:00:00 2001 From: Sergey Matveev Date: Mon, 16 Mar 2020 10:44:48 +0300 Subject: [PATCH] =?utf8?q?=D0=9E=D1=82=D0=BA=D0=BB=D1=8E=D1=87=D0=B5=D0=BD?= =?utf8?q?=D0=B8=D0=B5=20=D0=BF=D0=B5=D1=80=D0=B5=D0=B0=D1=83=D1=82=D0=B5?= =?utf8?q?=D0=BD=D1=82=D0=B8=D1=84=D0=B8=D0=BA=D0=B0=D1=86=D0=B8=D0=B8=20?= =?utf8?q?=D0=B2=20strongSwan?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit В IKEv1 протоколе есть штатная поддержка переаутентификации в пределах текущей сессии. В IKEv2 нету -- RFC предлагает просто создавать параллельно ещё одну IKE SA. На практике, при использовании PSK или X.509 сертификатов с приватными ключами на диске, я не знаю как можно скомпрометировать SA, но не скомпрометировать аутентификационные данные. Поэтому отключение reauth не представляет, как я это вижу, рисков (если речь не про смарт-карты, PKCS#11, и т.д.), а плюсом является то, что у меня вот уже длительное время нет ни одного лишнего IKE SA, которые часто бывают плодятся. -- 2.50.0