[LuKePicci]

L'errore è questo:

Codice: [Seleziona]

no IKE config found for INDIRIZZO IP CASA...INDIRIZZO IP TELEFONO, sending NO_PROPOSAL_CHOSEN
C'è qualcosa che non va nel file di config di strongswan. Non hai nessuna config che corrisponda all'ip del cellulare. Controlla i parametri inerenti il lato "right"

[a1pollo]

Prova a ricontrollare la configurazione deltelefono con cui ti stai connettendo:

06[NET] received packet: from INDIRIZZO IP TELEFONO[26522] to INDIRIZZO IP CASA[500] (716 bytes)

qui ti dice che ha ricevuto il pacchetto con cui deve negoziare la connessione

06[IKE] no IKE config found for INDIRIZZO IP CASA...INDIRIZZO IP TELEFONO, sending NO_PROPOSAL_CHOSEN

qui ti dice che non trova la configurazione NO_PROPOSAL_CHOSEN

09[ENC] generating IKE_SA_INIT response 0 [ N(NO_PROP) ]

qui rifiuta la tua connessione .

questa e' la mia connessione "roadwarrior" con certificati:

Codice: [Seleziona]

Mon Mar 16 22:26:10 2020 daemon.info syslog: 05[NET] received packet: from 37.160.184.63[2524] to 93.38.122.x[500] (464 bytes)
Mon Mar 16 22:26:10 2020 daemon.info syslog: 05[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Mon Mar 16 22:26:10 2020 daemon.info syslog: 05[IKE] 37.160.184.63 is initiating an IKE_SA
Mon Mar 16 22:26:10 2020 authpriv.info syslog: 05[IKE] 37.160.184.63 is initiating an IKE_SA
Mon Mar 16 22:26:10 2020 daemon.info syslog: 05[IKE] remote host is behind NAT
Mon Mar 16 22:26:10 2020 daemon.info syslog: 05[IKE] sending cert request for "C=US, O=openwrt, CN=myvpn"
Mon Mar 16 22:26:10 2020 daemon.info syslog: 05[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Mon Mar 16 22:26:10 2020 daemon.info syslog: 05[NET] sending packet: from 93.38.122.x[500] to 37.160.184.63[2524] (489 bytes)
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[NET] received packet: from 37.160.184.63[2530] to 93.38.122.x[4500] (1356 bytes)
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] received cert request for "C=US, O=openwrt, CN=myvpn"
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] received end entity cert "C=US, O=openwrt, CN=x"
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] looking for peer configs matching 93.38.122.x[%any]...37.160.184.63[C=US, O=openwrt, CN=x]
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] selected peer config 'roadwarriorPUBKEY'
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG]   using certificate "C=US, O=openwrt, CN=x"
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG]   using trusted ca certificate "C=US, O=openwrt, CN=myvpn"
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] checking certificate status of "C=US, O=openwrt, CN=x"
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] certificate status is not available
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG]   reached self-signed root ca with a path length of 0
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] authentication of 'C=US, O=openwrt, CN=x' with RSA_EMSA_PKCS1_SHA256 successful
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] peer supports MOBIKE
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] authentication of 'il mio ddns' (myself) with RSA_EMSA_PKCS1_SHA256 successful
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] IKE_SA roadwarriorPUBKEY[28] established between 93.38.122.x[a1pollo.myddns.rocks]...37.160.184.63[C=US, O=openwrt, CN=x]
Mon Mar 16 22:26:11 2020 authpriv.info syslog: 02[IKE] IKE_SA roadwarriorPUBKEY[28] established between 93.38.122.x[a1pollo.myddns.rocks]...37.160.184.63[C=US, O=openwrt, CN=x]
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] scheduling reauthentication in 10114s
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] maximum IKE_SA lifetime 10654s
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] sending end entity cert "C=US, O=openwrt, CN=il mio ddns"
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] peer requested virtual IP %any
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] sending DHCP DISCOVER to 192.168.1.255
Mon Mar 16 22:26:11 2020 daemon.info syslog: 10[CFG] received DHCP OFFER 192.168.1.16 from 192.168.1.1
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] sending DHCP REQUEST for 192.168.1.16 to 192.168.1.1
Mon Mar 16 22:26:11 2020 daemon.info syslog: 03[CFG] received DHCP ACK for 192.168.1.16
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] assigning virtual IP 192.168.1.16 to peer 'C=US, O=openwrt, CN=x'
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] peer requested virtual IP %any6
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] no virtual IP found for %any6 requested by 'C=US, O=openwrt, CN=x'
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] CHILD_SA roadwarriorPUBKEY{25} established with SPIs c88c873d_i 4f4195b3_o and TS 0.0.0.0/0 ::/0 === 192.168.1.16/32
Mon Mar 16 22:26:11 2020 authpriv.info syslog: 02[IKE] CHILD_SA roadwarriorPUBKEY{25} established with SPIs c88c873d_i 4f4195b3_o and TS 0.0.0.0/0 ::/0 === 192.168.1.16/32
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS NBNS DNS) SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) ]
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[ENC] splitting IKE message with length of 1132 bytes into 3 fragments
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[ENC] generating IKE_AUTH response 1 [ EF(1/3) ]
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[ENC] generating IKE_AUTH response 1 [ EF(2/3) ]
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[ENC] generating IKE_AUTH response 1 [ EF(3/3) ]
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[NET] sending packet: from 93.38.122.x[4500] to 37.160.184.63[2530] (544 bytes)
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[NET] sending packet: from 93.38.122.x[4500] to 37.160.184.63[2530] (544 bytes)
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[NET] sending packet: from 93.38.122.x[4500] to 37.160.184.63[2530] (176 bytes)


[satigno]

 Ma la configurazione si fa da GUI e basta? Se si, beh credo di aver fatto tutto. Cosa dovrei impostare di piu? 

[a1pollo]

prova questo:

ps | grep xl2tp

Si la configurazione la fa' in automatico la gui, l'unica cosa che devi ricontrollare sono le password e user sullo smartphone.
Potrebbe essere che il driver xl2tpd non sia compatibile.
Io ho il fastgate dga4131 ed ho installato strongswan che non ha bisogno del driver sopra citato, funziona benissimo ed ha anche una ottima banda, ci collego fino a 8 dispositivi , la configurazione e' un po' piu lunga e rognosa, ma ne vale la pena.

https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior

[satigno]

Output:

Codice: [Seleziona]

root@modemtim:~# ps | grep xl2tp
 4604 root      2056 S    xl2tpd -D -l -p /var/run/xl2tpd.pid
26777 root      3324 S    grep xl2tp

Eh mi piaceva avere tutto da UI, senza problemi di configurazione lunga e problematica da rifare in caso di reset del router.

[a1pollo]

Sembra tutto ok. Io di piu' non riesco, chiedi aiuto a Francyesco o a LuKe, che ne capiscono piu di me.

[satigno]

Grazie mille 

[FrancYescO]

La configurazione di questa variante di VPN, si si fa solo da GUI, ma io l'ho testato al 100% solo sui TG78x, spiega meglio "/etc/init.d/ipsec restart non è successo nulla" ... è andato oltre o è rimasto lì senza ridarti il prompt? perchè io è lì che mi ero arreso dui DGA al capire sul perchè non funzionasse, ma non credo fosse un problema insormontabile...

inoltre mentre ti connetti con il cellulare prova a restare in ascolto sul log con logread -f almeno vedi se qualcosa risponde (e scrive sul log), o comunque dai un logread -l100 per vedere se c'è qualcosa di utile nelle ultime 100 righe del log...

Per Strongswan con le chiavi già gliel'ho segnalato, anche se forse alcuni dei post qui precedenti riguardano comunque quello, abbiamo il topic (e lo script) dedicato: https://www.ilpuntotecnico.com/forum/index.php/topic,82673.msg255196.html#msg255196

[satigno]

Ho dato il comando una volta e c'era scritto che il servizio non era attivo e lo ha attivato. Dopo la prima volta non mi ha più dato output, anche dopo aver riavviato il tim hub.
Nel log che ho postato prima è incluso il "momento" in cui provo a connettermi da cellulare. Grazie

[FrancYescO]

giusto per la stavo riprovando su un 789 e ho questo errore che comunque non sembra il tuo, ma per ora ci ho sbattutto gia' troppo la testa, parto con il fixare una cosa e ne trovo altre 10 rotte per la strada...

Codice: [Seleziona]

daemon.debug xl2tpd[21854]: control_finish: Denied connection to unauthorized peer
comunque controlla che i daemon di ipsec siano partiti (dopo che da GUI l'hai messa come abilitata la VPN), dai un po un occhio in giro a se sta generando bene le config...

questi son un po di output sul 789:

Codice: [Seleziona]

root@dsldevice:~# ps | grep ips
22733 root      1932 S    /usr/lib/ipsec/starter --daemon charon
22734 root     38076 S    /usr/lib/ipsec/charon --use-syslog
23354 root      1912 S    grep ips
root@dsldevice:~# ps | grep xl
21854 root      1272 S    xl2tpd
23411 root      1912 S    grep xl
root@dsldevice:~# cat /etc/ipsec.secrets
# /etc/ipsec.secrets - strongSwan IPsec secrets file
include /var/ipsec/ipsec.secrets
root@dsldevice:~# cat /var/ipsec/ipsec.secrets
# generated by /etc/init.d/ipsec
78.12.x.x %any : PSK "vpn_user"
root@dsldevice:~# cat /var/ipsec/ipsec.conf
# generated by /etc/init.d/ipsec
version 2

conn l2tp-server
  left=%any
  right=%any
  leftsubnet=0.0.0.0/0[udp/l2tp]
  leftfirewall=yes
  ikelifetime=60m
  lifetime=60m
  margintime=9m
  keyingtries=3
  dpdaction=clear
  dpddelay=0
  leftauth=psk
  rightauth=psk
  rightsubnet=0.0.0.0/0[udp/%any]
  auto=add
  keyexchange=ike
  esp=aes128-sha1
  ike=3des-sha1-modp1024,aes128-sha1
  type=transport


[satigno]

Ho provato a dare uno start e un restart e questo è l'output:

Codice: [Seleziona]

root@modemtim:~# ipsec restart
Stopping strongSwan IPsec...
Starting strongSwan 5.6.3 IPsec [starter]...
root@modemtim:~# ipsec start
Starting strongSwan 5.6.3 IPsec [starter]...
charon is already running (/var/run/charon.pid exists) -- skipping daemon start
starter is already running (/var/run/starter.charon.pid exists) -- no fork done

Dovrei potrei guardare per capire se sta configurando bene?
Potrei seguire questa guida per configurare la VPN? https://www.digitalocean.com/community/tutorials/how-to-set-up-an-ikev2-vpn-server-with-strongswan-on-ubuntu-16-04

[LuKePicci]

Non mischiare le cose. La card da gui di cui si parla qui riguarda L2TP/IPsec (IKEv1). La parte Ipsec è fatta da strongswan.

La guida che hai indicato tu è per una vpn non L2TP, ma pura IPsec su IKEv2, e anche in questo caso la parte IPsec è fatta da strongswan. Questa non la puoi configurare da gui. Ti hanno già indicato il topic in cui se ne parla.

Devi scegliere, convincerti che sia la scelta giusta e dedicarti ad una delle due.

PS: riguardo la L2TP/IPsec di cui si parla qui, secondo me c'è qualcosa che non va nello starter script del servizio ipsec. In particolare a me sembra che lo starter script in uso sul suo router sia quello standard di strongswan che sostanzialmente non va a prendersi le config fatte da uci/gui. Per prendere le impostazioni è necessario lo starter script patchato da technicolor, bisogna metterlo al posto di quello di default presente nel pacchetto strongswan, e bisogna sperare che funzioni anche con la versione di strongswan che hai installato. Se configuri tutto a mano, nella condizione in cui sei ora, secondo me riesci a configurarla tranquillamente.

[satigno]

Grazie per il chiarimento. Informandomi un po' mi è sembrato di capire che la L2TP/IPsec è un po' meno sicura della IKEv2 ma vorrei proseguire con il metodo di questo post in quanto mi sembra facile da configurare (in teoria). Avrei un HDD collegato via USB al mio TIM HUB e vorrei usare la VPN per accedere facilmente ai file da remoto: a livello di sicurezza entrambi i metodi mi danno una buona sicurezza, ammesso che si scelgano chiaramente password e/o certificati robusti?

In ogni caso io sono arrivato al punto indicato nel mio post precedente e non saprei come andare avanti :/

[LuKePicci]

Ti ho aggiunto qualche dettaglio al post precedente.

La sicurezza è identica. Tra una L2TP/IPsec (IKEv1) e una IPsec (IKEv2) ci sono solo differenze in termini di funzionalità. Ad esempio la seconda supporta il roaming ed è più indicata da usare da client mobile. La prima di contro ti fornisce un tunnel L2, quindi di da altri vantaggi per determinate altre situazioni. Quello che serve a te si può fare con entrambe.

Io sono del parere che IPsec IKEv2 sia da preferire sempre e comunque, ma se uno ha a che fare con roba vecchia che non lo supporta (ormai è supportato su qualsiasi device recente), allora L2TP/IPsec è una buona seconda scelta.

[FrancYescO]

Come accennato da Luke, il restart di ipsec è da fare con /etc/init.d/ipsec restart e non ipsec restart, lo script in init.d, così come lo ha pensato technicolor,  si occupa anche di costruire la config in base a quello messo da GUI, ci credo che ti mancano..