[FrancYescO]

Sì vabbhe si potrebbe fare un po' tutto ma già che faccia un semplice install del pacchetto e si preoccupa di piazzare un certificato da qualche parte come prima release potrebbe bastare

Per il VoIP sì si potrebbe usare ma io resto sempre per lasciare semplicemente asterisk a rispondere su Wan..

[lorenzocanalelc]

Ah certo per iniziare non sarebbe male, comunque se qualcuno vuole cimentarsi alla fine basta seguire questa guida https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior quindi un ipotetico script non dovrebbe fare altro che:
1-Installare il pacchetto strongswan (full o default che sia)
2-Scrivere nei vari file config come da guida (Sostituendo le varie subnet con quella corretta e inserendo il ddns in uso)
3-Creare le keys usando lo script già presente (Ovviamente modificando i vari parametri con quelli in uso dal router) e aggiungendo magari la copia del file clientCert.p12 e caCert.pem in un posto "sicuro" da cui fare il download alla fine
4-Abilitare e avviare il servizio

Credo che già facendo questo il servizio sia bello che pronto, magari rimandando alla guida per configurare i client

[FrancYescO]

Ho configurato su un 4130 fw2.2.0 ma con i feed/pacchetti a monte giusti dovrebbe essere universale come soluzione

https://github.com/FrancYescO/sharing_tg789/blob/strongswan/setup.sh

il risultato da client android in wifi da una FTTC 50/20 (4130 tiscali) verso una FTTC 150/20 (4130 2.2.0 server dietro un paio di ppp relay)
https://www.speedtest.net/result/a/5282572228

[lorenzocanalelc]

Ottimo!! Non resta che inserirlo tra le Estensioni della GUI

[MisterFTTH]

@FrancYescO ovviamente prestazioni mediocri (anche se negli scenari tipici di quella VPN non serve banda esagerata) comunque ottimo lavoro!

ps. it requireS 

[FrancYescO]

Bhe contando che nelle stesse condizioni di banda e con un fritz 7490 come server (che si fa 2 relay ppp in meno) i risultati son questi

direi che quello e' oro.. almeno uno stream FullHD lo si riesce a fare

[MisterFTTH]

A parte i risultati imbarazzanti del router AVM, chiarisco che il mio punto di riferimento sono le prestazioni in crittazione del mio serverino domestico 

[larsen64it]

Scopiazzando a destra e a manca questa dovrebbe essere la traduzione da ipsec a openssl per la creazione delle chiavi, con possibilità di variare la grandezza delle chiavi stesse, utile per sistemi poco potenti o per non sovraccaricare i sistemi stessi. (Un sistema sovraccarico è insicuro per natura)

Codice: [Seleziona]

bit_rsa="4096" ## 1024 / 2048 / 4096 

## authority cert

openssl req -new -x509 -days 3650 \
-newkey rsa:$bit_rsa -nodes \
-subj "/C=US/O=$orgName/CN=$caName" \
-keyout caKey.pem -out caCert.pem

## vpn server cert

openssl req -new -newkey rsa:$bit_rsa -nodes \
-subj "/C=US/O=$orgName/CN=$ddns_domain" \
-keyout serverKey.pem -out serverCert.pem

cat << EOF >> confile
[req_ext]
subjectAltName = DNS:$ddns_domain
extendedKeyUsage = 1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.8.2.2
EOF

openssl x509 -req -in serverCert.pem -days 1095 \
-CA caCert.pem -CAkey caKey.pem -CAcreateserial \
-out serverCert.pem  \
-extensions req_ext -extfile confile

## user cert

openssl req -new -newkey rsa:$bit_rsa -nodes \
-subj "/C=US/O=$orgName/CN=$vpnclientName" \
-keyout clientKey.pem -out clientCert.pem

openssl x509 -req -in clientCert.pem  -days 1095 \
-CA caCert.pem -CAkey caKey.pem -CAcreateserial \
-out clientCert.pem

Se qualcuno ha voglia di provare...

[lorenzocanalelc]

Ciao ragazzi, chiedo qua perché si tratta sempre della stessa cosa, mi sono reso conto che una volta connesso alla VPN non riesco a comunicare con gli altri dispositivi della LAN, quale impostazione/regola firewall devo inserire/modificare??

[a1pollo]

Ciao, a me ha aiutato LuKe con i settaggi, le regole sono quelle della wiki su openwrt:

Codice: [Seleziona]

impostare le regole firewall.user:

iptables -I INPUT  -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD  -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD  -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I OUTPUT   -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -t nat -I POSTROUTING -m policy --pol ipsec --dir out -j ACCEPT

aggiungere al firewall

config rule 'ipsec_esp'
option src 'wan'
option name 'IPSec ESP'
option proto 'esp'
option target 'ACCEPT'

config rule 'ipsec_ike'
option src 'wan'
option name 'IPSec IKE'
option proto 'udp'
option dest_port '500'
option target 'ACCEPT'

config rule 'ipsec_nat_traversal'
option src 'wan'
option name 'IPSec NAT-T'
option proto 'udp'
option dest_port '4500'
option target 'ACCEPT'

config rule 'ipsec_auth_header'
option src 'wan'
option name 'Auth Header'
option proto 'ah'
option target 'ACCEPT'

Poi dipende dalla classe di indirizzi, io uso gli stessi del dhcp.

[lorenzocanalelc]

Avevo già tutte le regole configurate in questo modo, ho risolto impostando queste regole qua suggerite da @lucash78 :

Codice: [Seleziona]

iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -o br-lan -m policy --dir out --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -o br-lan -j MASQUERADE

[a1pollo]

@lorenzocanalelc
 Tu utilizzi una classe di indirizzi differente da quelle assegnate dal dhcp?
se si riuscivi ad andare su internet, prima di queste modifiche?
Te lo chiedo perche' potrebbe servirmi in futuro.

[lorenzocanalelc]

No stessi indirizzi del DHCP, riuscivo a navigare senza problemi, ma non ad accedere alla rete interna.

PS. ho appena scoperto che avevo problemi a connettermi da determinate connessioni perché mi mancava l'opzione "fragmentation = yes" nel file IPSEC.conf. Adesso non ho più problemi a connettermi