[lorenzocanalelc]

Buongiorno ragazzi, sono riuscito ad installare e ad instaurare una connessione tra il mio iPhone e il TG789vac con firmware UNO tramite Strongswan-full suggerito da @LuKePicci. Ho seguito la guida di openwrt (https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior) , purtroppo il Tg789vac non digerisce i certificati infatti non riesce a crearli tramite lo script suggerito nella guida di OpenWrt (Il log riporta opening AF_ALG socket failed: Address family not supported by protocol) e neanche a leggerli (il log riporta loaded ca certificate "bla bla bla" from '/etc/ipsec.d/cacerts/caCert.pem' file coded in unknown format, discarded), quindi ho usato giusto per provare l'autenticazione eap-mschapv2 e sono riuscito a connettermi con successo. Però non riesco ne a navigare su internet ne ad accedere alla lan (compreso il router), suppongo ci sia qualcos'altro da configurare nel firewall, chi mi può dare una mano? Inoltre c'è qualche modo per creare certificati che il tg789 digerisce?
 

[larsen64it]

https://lists.strongswan.org/pipermail/users/2013-September/005282.html
https://wiki.strongswan.org/projects/strongswan/wiki/IpsecPkiGen

[lorenzocanalelc]

Ottimo, nuovo problema, con openSSL ricevo questo output openssl: can't resolve symbol 'COMP_zlib_cleanup'. Funziona comunque o devo risolverlo?

[larsen64it]

Prova a vedere se ti funziona altrimenti devi sovrascrivere il pacchetto  libopenssl
https://github.com/FrancYescO/789vacv2_opkg/blob/master/base/libopenssl_1.0.2g-1_brcm63xx-tch.ipk
Con questo non da errore.

[lorenzocanalelc]

Ok perfetto, correggimi se sbaglio, questo comando

Codice: [Seleziona]

openssl genrsa -out nome.pem 2048 è equivalente a questo

Codice: [Seleziona]

ipsec pki --gen --outform pem > nome.pem (Anche se meno sicuro mi pare di aver capito) mentre per questi due comandi quali sono gli "equivalenti" in openssl?

Codice: [Seleziona]

ipsec pki --self --in caKey.pem --dn "C=US, O=yyy, CN=xxxx" --ca --outform pem > caCert.pem
ipsec pki --pub --in serverKey.pem | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "C=US, O=yyy, CN=myvpnserver.dyndns.org" --san="myvpnserver.dyndns.org" --flag serverAuth --flag ikeIntermediate --outform pem > serverCert.pem

[MisterFTTH]

(qualcuno utilizza davvero quel CN  )

[larsen64it]

L'esperto di strongswan è Luke.
Io al massimo, please click over

https://wiki.strongswan.org/projects/strongswan/wiki/SimpleCA

[lorenzocanalelc]

Allora, eccomi di nuovo qua, forse c'è qualcosa che non va sul mio iPhone, perché i certificati li ho generati, sono nelle giuste posizioni, ma non riesco ad autentificarmi, invece con eap-mschapv2 nessun problema, adesso riesco anche a navigare. Quando mi connetto con il certificato ricevo un errore di autenticazione, questo è il log

Codice: [Seleziona]

Thu Aug 22 22:31:14 2019 daemon.info syslog: 14[NET] received packet: from ipdelmioiphone[61940] to mioippublico[500] (604 bytes)
Thu Aug 22 22:31:14 2019 daemon.info syslog: 14[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Thu Aug 22 22:31:14 2019 daemon.info syslog: 14[IKE] ipdelmioiphone is initiating an IKE_SA
Thu Aug 22 22:31:14 2019 authpriv.info syslog: 14[IKE] ipdelmioiphone is initiating an IKE_SA
Thu Aug 22 22:31:15 2019 daemon.info syslog: 14[IKE] remote host is behind NAT
Thu Aug 22 22:31:15 2019 daemon.info syslog: 14[IKE] sending cert request for "C=bla, O=bla, CN=bla"
Thu Aug 22 22:31:15 2019 daemon.info syslog: 14[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
Thu Aug 22 22:31:15 2019 daemon.info syslog: 14[NET] sending packet: from mioippublico[500] to ipdelmioiphone[61940] (465 bytes)
Thu Aug 22 22:31:16 2019 daemon.info syslog: 12[NET] received packet: from ipdelmioiphone[61825] to mioippublico[4500] (1584 bytes)
Thu Aug 22 22:31:16 2019 daemon.info syslog: 12[ENC] unknown attribute type (25)
Thu Aug 22 22:31:16 2019 daemon.info syslog: 12[ENC] parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr AUTH CERT CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Thu Aug 22 22:31:16 2019 daemon.info syslog: 12[IKE] received end entity cert "C=bla, O=bla, CN=bla"
Thu Aug 22 22:31:16 2019 daemon.info syslog: 12[CFG] looking for peer configs matching mioippublico[miodns]...ipdelmioiphone[bla]
Thu Aug 22 22:31:16 2019 daemon.info syslog: 12[CFG] no matching peer config found
Thu Aug 22 22:31:16 2019 daemon.info syslog: 12[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Thu Aug 22 22:31:16 2019 daemon.info syslog: 12[IKE] peer supports MOBIKE
Thu Aug 22 22:31:16 2019 daemon.info syslog: 12[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Thu Aug 22 22:31:16 2019 daemon.info syslog: 12[NET] sending packet: from mioippublico[4500] to ipdelmioiphone[61825] (80 bytes)

edit

Ok, è questa impostazione nel file config

Codice: [Seleziona]

rightcert=clientCert.pemSe la elimino tutto funziona, perché?

PS:
Risolto!! Mi è bastato inserire questa opzione   

Codice: [Seleziona]

rightid=(nome dns che avevo dato al mio client nel certificato) in poche parole non associava il mio iPhone al certificato che aveva registrato! Grazie a tutti!

[larsen64it]

OK, bene bravo ed oserei dire ... bis.
Poi alla fine quale crittografia hai usato?
Visto che l'installazione di strongswan si tira giù una vagonata di dipendenze, quanto spazio occupa?
Per i poveretti del tg789, 2 righe caritatevoli sulle diversità tra il metodo da te usato e la guida di openwrt sarebbe di aiuto.
Scusa per le troppe richieste.

[lorenzocanalelc]

Accidenti, non avevo completamente guardato lo spazio occupato  , diciamo che attualmente ho installato, oltre che strongswan, la GUI Ansuel, Luci GUI e adesso ho solo 20MB di spazio libero... consigli di rimuovere qualcosa per evitare problemi? Per quanto riguarda la crittografia in realtà ho creato i certificati su un DGA4130 e poi li ho trapiantati  , ma credo che al di là dell'errore i certificati vengano generati anche dal TG789vac con quello script, infatti il problema era probabilmente legato alla configurazione del rightid e non del certificato in se

PS:
Scusate per il doppio post di ieri, neanche me ne ero reso conto.

[larsen64it]

Quindi non pesa nulla. Io sono come te -strongswan + bank_2(uno) + altri 2/3 pacchetti e sono a 18 MB free.

[lorenzocanalelc]

Ah bene  Comunque giusto poco fa ho provato e il VoIP Vodafone va senza problemi con la VPN!

[FrancYescO]

Comunque, se qualcuno fosse interessato a farlo, un bello script sh che si occupa di tutta la config/installazione tra le estensioni della gui ci sta proprio bene un server VPN

[yhcim86]

Verissimo @FrancYescO  si potrebbe in questo caso usare un client SIP sul telefono cellulare e registrare il numero di casa lì x ricevere le chiamate quando uno nn è in casa e non ha attivato il trasferimento di chiamata giusto???

[lorenzocanalelc]

@FrancYescO Però per renderlo completamente integrato nella GUI ci vorrebbe anche una tab da cui scaricare i certificati per i vari client, come anche gestire la subnet dedicata, uno switch per permettere l'accesso all'intera lan o al solo router, insomma non soltanto la semplice installazione (per fare una cosa "Pulita")