[satigno]

Benissimo, grazie ancora delle risposte. Dunque dovrei semplicemente capire se effettivamente la config inserita da GUI è stata scritta.

Codice: [Seleziona]

root@modemtim:~# /etc/init.d/ipsec restart
Stopping strongSwan IPsec...
Starting strongSwan 5.6.3 IPsec [starter]...

Se vado a vedere il file in /etc/xl2tpd/xl2tpd.conf trovo

Codice: [Seleziona]

[global]
port = 1701
auth file = /etc/xl2tpd/xl2tp-secrets
access control = no

[lns default]
exclusive = yes
local ip = 192.168.1.80
ip range = 192.168.1.246-192.168.1.253
;hidden bit = no
length bit = yes
refuse authentication = yes
name = tchvpn
;ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd

E trovo le stesse impostazioni settate da GUI.
Il file /etc/xl2tpd/xl2tp-secrets sembra invece vuoto:

Codice: [Seleziona]

# Secrets for authenticating l2tp tunnels
# us them secret
# * marko blah2
# zeus marko blah
# * * interop


[LuKePicci]

si ma questi due sono file di xl2tpd, controlla quelli di strongswan

[satigno]

In /var/ipsec/ipsec.secrets c'è l'ip del router e la chiave IPSec precondivisa che ho impostato da GUI.

In /var/ipsec/ipsec.conf c'è:

Codice: [Seleziona]

# generated by /etc/init.d/ipsec
version 2

conn l2tp-server
  left=%any
  right=%any
  leftsubnet=0.0.0.0/0[udp/l2tp]
  leftfirewall=yes
  ikelifetime=60m
  lifetime=60m
  margintime=9m
  keyingtries=3
  dpdaction=clear
  dpddelay=0
  leftauth=psk
  rightauth=psk
  rightsubnet=0.0.0.0/0[udp/%any]
  auto=add
  keyexchange=ike
  esp=aes128-sha1
  ike=3des-sha1-modp1024,aes128-sha1
  type=transport

In etc/ipsec.conf

Codice: [Seleziona]

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
# strictcrlpolicy=yes
# uniqueids = no

# Add connections here.

# Sample VPN connections

#conn sample-self-signed
#      leftsubnet=10.1.0.0/16
#      leftcert=selfCert.der
#      leftsendcert=never
#      right=192.168.0.2
#      rightsubnet=10.2.0.0/16
#      rightcert=peerCert.der
#      auto=start

#conn sample-with-ca-cert
#      leftsubnet=10.1.0.0/16
#      leftcert=myCert.pem
#      right=192.168.0.2
#      rightsubnet=10.2.0.0/16
#      rightid="C=CH, O=Linux strongSwan CN=peer name"
#      auto=start
include /var/ipsec/ipsec.conf

Dando il comando ipsec statusall ottengo:

Codice: [Seleziona]

root@modemtim:~# ipsec statusall
Status of IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l):
  uptime: 113 minutes, since Mar 17 13:09:14 2020
  malloc: sbrk 638976, mmap 0, used 131976, free 507000
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
  loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default connmark stroke updown xauth-generic
Listening IP addresses:
IP DEL MIO ROUTER
Connections:
Security Associations (0 up, 0 connecting):
  none


[LuKePicci]

Strano, da statusall dovresti vedere la "l2tp-server" definita in /var/ipsec/ipsec.conf sotto "Connections:"

Prova a fare "/etc/init.d/ipsec restart && logread -f" e vedi cosa dice, vedi se dice di stare caricando le configurazioni correttamente o meno, dovresti vederlo caricare la conn l2tp-server

[satigno]

Possibile che debba modificare qualcosa in quel file? Vedo che gli indirizzi sono 0.0.0.0

Dando il comando /etc/init.d/ipsec restart && logread -f non succede nulla. Si blocca e non ottengo output.

EDIT:

Codice: [Seleziona]

root@modemtim:~# /etc/init.d/ipsec restart && logread -f
^[[A^[[A^[[A^[[A^C
root@modemtim:~# ipsec restart
Stopping strongSwan IPsec...
Starting strongSwan 5.6.3 IPsec [starter]...
iroot@modemtim:~# ipsec start
Starting strongSwan 5.6.3 IPsec [starter]...
charon is already running (/var/run/charon.pid exists) -- skipping daemon start
starter is already running (/var/run/starter.charon.pid exists) -- no fork done
root@modemtim:~# /etc/init.d/ipsec restart && logread -f
Stopping strongSwan IPsec...
Starting strongSwan 5.6.3 IPsec [starter]...
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loading ca certificates fr                                                                                                                                                             om '/etc/ipsec.d/cacerts'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loading ca certificates from                                                                                                                                                              '/etc/ipsec.d/cacerts'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loading aa certificates fr                                                                                                                                                             om '/etc/ipsec.d/aacerts'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loading aa certificates from                                                                                                                                                              '/etc/ipsec.d/aacerts'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loading ocsp signer certif                                                                                                                                                             icates from '/etc/ipsec.d/ocspcerts'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loading ocsp signer certific                                                                                                                                                             ates from '/etc/ipsec.d/ocspcerts'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loading attribute certific                                                                                                                                                             ates from '/etc/ipsec.d/acerts'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loading attribute certificat                                                                                                                                                             es from '/etc/ipsec.d/acerts'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loading crls from '/etc/ip                                                                                                                                                             sec.d/crls'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loading crls from '/etc/ipse                                                                                                                                                             c.d/crls'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loading secrets from '/etc                                                                                                                                                             /ipsec.secrets'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loading secrets from '/etc/i                                                                                                                                                             psec.secrets'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loading secrets from '/var                                                                                                                                                             /ipsec/ipsec.secrets'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loading secrets from '/var/i                                                                                                                                                             psec/ipsec.secrets'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG]   loaded IKE secret for 95                                                                                                                                                             .250.72.180 %any
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG]   loaded IKE secret for 95.2                                                                                                                                                             50.72.180 %any
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[LIB] loaded plugins: charon aes                                                                                                                                                              des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp                                                                                                                                                              dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-def                                                                                                                                                             ault connmark stroke updown xauth-generic
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[LIB] loaded plugins: charon aes d                                                                                                                                                             es rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp d                                                                                                                                                             nskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-defau                                                                                                                                                             lt connmark stroke updown xauth-generic
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[JOB] spawning 16 worker threads
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[JOB] spawning 16 worker threads
Tue Mar 17 15:52:38 2020 authpriv.info ipsec_starter[10691]: charon (10692) star                                                                                                                                                             ted after 80 ms
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 07[CFG] received stroke: add conne                                                                                                                                                             ction 'l2tp-server'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 07[CFG] received stroke: add connect                                                                                                                                                             ion 'l2tp-server'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 07[CFG] a DH group is mandatory in                                                                                                                                                              IKE proposals
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 07[CFG] a DH group is mandatory in I                                                                                                                                                             KE proposals
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 07[CFG] skipped invalid proposal s                                                                                                                                                             tring: aes128-sha1
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 07[CFG] skipped invalid proposal str                                                                                                                                                             ing: aes128-sha1
Tue Mar 17 15:52:42 2020 daemon.notice hostapd: [HAPD] STA 00:00:00:00:00:00 - W                                                                                                                                                             PS Enrollee sending msg type M1
Tue Mar 17 15:52:57 2020 daemon.info odhcpd[3105]: Using a RA lifetime of 0 seconds on br-lan

Sembra che etc/init.d/ipsec restart non funzioni. Funziona solamente se prima do ipsec restart.

EDIT 2:

Codice: [Seleziona]

root@modemtim:~# ipsec statusall
Status of IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l):
  uptime: 2 minutes, since Mar 17 15:52:38 2020
  malloc: sbrk 638976, mmap 0, used 131976, free 507000
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
  loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default connmark stroke updown xauth-generic
Listening IP addresses:
  95.250.72.180
Connections:
Security Associations (0 up, 0 connecting):
  none


[LuKePicci]

E allora c'è qualcosa di rotto nello starter script, come detto in prima pagina. Quando usi direttamente ipsec restart in pratica tu vai a saltare tutta la parte di starter script aggiunta da technicolor che dovrebbe prendere le config fatte da gui e applicarle. Qualche volta che l'hai lanciato qualcosa è stato applicato ma le config di strongswan per qualche motivo non le prende o a strongswan non piacciono, perchè altrimenti le vedresti apparire. Se scopri dov'è il bug faccelo sapere, o aspetta che @FrancYescO lo scovi.

[satigno]

Non credo di essere in grado di trovare il problema. Posso fare qualche test se @FrancYescO mi da indicazioni precise. Se riuscissimo a trovare il problema credo che tutti sarebbero contenti di avere una semplice config per la VPN per i DGA 413x sulla 2.2.0.

[a1pollo]

@LuKePicci
Buongiorno a tutti, scusate se mi intrometto, cosi' per prova, ho messo stronswan sul mio secondo router(FASTGate DGA4131 (VBNT-O) aggiornato alla versione 18, con cui condivide i feed con quelli di satigno, ho importato le config uguali al primo router con versione 17.., e non va' ,ossia il servizio e' ok,ma non connette nessun device remoto. Cambia la versione di strongswan prima era 5.3 ora e' 5.6.3,nella cartella strongswan.d compare un charon.conf, invece nella sub cartella charon mancano molti files .conf ad esempio dhcp.conf(che io usavo per farmi assegnare lo stesso indirizzo ip) poiche' deprecato, eap-identity.con e tanti altri, che il problema sia li?

[FrancYescO]

il ripristino delle conf non ripristina anche i pacchetti dopo un upgrade firmware: devi reinstallare tutto dopo essere passato dalla 17 alla 18 e il ripristino delle config puo aver fatto solo danni, ti consiglierei di partire da 0 in modo da scansare a priori altri danni collaterali.

comunque il debug da fare è lo stesso fatto con satigno negli ultimi post... in primis.. /etc/init.d/ipsec restart funziona?

piu' che altro quindi sul firmware 17 lo hai installato e funzionava senza problemi? xl2tpd (che è quello che mi mancava su 4130/2) è già integrato?

[satigno]

Nel percorso /etc/strongswan.d/charon/ ho i seguenti file:

Codice: [Seleziona]

aes.conf
attr.conf
connmark.conf
constraints.conf
des.conf
dnskey.conf
fips-prf.conf
gmp.conf
hmac.conf
kernel-netlink.conf
md5.conf
nonce.conf
pem.conf
pgp.conf
pkcs1.conf
pubkey.conf
random.conf
rc2.conf
resolve.conf
revocation.conf
sha1.conf
sha2.conf
socket-default.conf
sshkey.conf
stroke.conf
updown.conf
x509.conf
xauth-generic.conf
xcbc.conf

[a1pollo]

Scusami forse mi sono spiegato male, ho installato strongswan dai feed di ansuel kernel-4.1 per la versione 18,e l'installazione e' ok.
Poi ho preso i settaggi dei vari files (ipsec.conf,strongswan.conf etc), i certificati ,che ho memorizzato sul pc  (in caso di reset imprevisti),e che ho gia' riutilizzato dopo aver ripristinato varie volte il router alla versione 17,e funzionanti tuttora. E sulla versione 18 non vanno.

Dimenticavo posseggo 2 FASTGate DGA4131 (VBNT-O)
1 di mia proprieta' aggiornato alla versione 18
1 di fastweb versione 17 con strongswan perfettamente funzionante

[FrancYescO]

Cercando di approfondire la questione.. è tutto molto strano è lo stop che lo fa bloccare, se prima di fare lo stop da init.d si da ipsec stop .. funziona

@a1pollo anche se credo ci stiamo per scontrare con lo stesso problema, mi sa che stai parlando della versione IKEv2, spostiamoci qui https://www.ilpuntotecnico.com/forum/index.php/topic,82673.0.html e teniamo questo thread solo per la versione "con GUI" direi come prima cosa serve un logread mentre ti connetti per capire cosa succede

[satigno]

Pensate che debba abbandonare l'idea di fare funzionare questo metodo e migrare sull'altro topic? :/

[FrancYescO]

Codice: [Seleziona]

11412 root      3456 S    {ipsec} /bin/sh /etc/rc.common /etc/init.d/ipsec stop
11416 root      1980 S    flock 1000il colpevole di questa storia del freeze sullo stop è questo flock 1000 ... killandolo due volte lo stop riesce, ma continuo a non capire da cosa scaturisce tutto ciò

[satigno]

e fatto ciò dovrei riuscire a far funzionare il tutto?