[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x

  • 196 Risposte
  • 12767 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline lorenzocanalelc

  • Membro Anziano
  • ***
  • 369
  • Sesso: Maschio
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #15 il: 06 Ottobre 2019, 16:46 »
Firmware 2.2.0_002, ora non posso fare altre prove perché mi serve la VPN funzionante (Uso strongswan in questo momento). Comunque
Codice: [Seleziona]
/etc/init.d/ipsec restart questo comando sembrava impallarsi come dicevi tu, mentre
Codice: [Seleziona]
ipsec restart funzionava senza problemi. Non avevo controllato se xl2tp era avviato (Ma si era sicuramente installato).

Offline nice.guy12

  • Membro Anziano
  • ***
  • 229
  • Sesso: Maschio
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #16 il: 06 Ottobre 2019, 18:34 »
ok, sono riuscito anche io a instalarlo, pero sembra che manca qualcosa perche quando vado ad riaviare ipsec mi viene fuori


no files found matching '/etc/strongswan.d/*.conf'

Offline FrancYescO

  • VIP
  • *****
  • 2504
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #17 il: 06 Ottobre 2019, 19:42 »
Quello non dovrebbe essere un problema

Offline lucash78

  • Nuovo Iscritto
  • *
  • 41
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #18 il: 07 Ottobre 2019, 22:33 »
Confermo non essere un problema. Cerca dei files *.conf in /etc/strongswan.d/ da caricare, se non li trova, non essendo questi obbligatori, mostra quel messaggio ma strongswan funziona correttamente

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2129
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #19 il: 08 Ottobre 2019, 00:39 »
Sembra che sta selezionando un protocollo sbagliato..

E certo, perchè strongswan usa la magia nera per sapere che protocollo sta usando il client. Questo problema ce l'hai quando la configurazione di strongswan corrente contiene due possibili profili che matchano lo stesso scenario. Se strongswan riceve dal client un messaggio che lo porti a capire correttamente quale profilo usare va tutto bene, se invece ne hai due possibili e d un certo punto tocca a strongswan fare una scelta tra quelli possibili allora o sei fortunato e becca quello giusto )perchè magari è il primo nella lista di quelli possibili) o fa una scommessa a perdere e va in errore.

https://serverfault.com/questions/709228/when-and-with-which-parameters-does-strongswan-select-a-connection

Esempio: in una configurazione cert-based ikev2 a doppio protocollo (pubkey o EAP-TLS) come quella che ho sistemato sulla wiki di openwrt, lui non riesce a distinguere dai primi messaggi se si tratti di una autenticazione client mediante pubkey o eap, Ad ogni modo lui parte supponendo sia del primo tipo (pubkey). dando risposte che vadano bene per entrambi i protocolli, per questo entrambi devono usare autenticazione server mediante pubkey, altrimenti lui non saprebbe che informazioni inviare al client nei primi step. Una volta fatto, lui ancora non sa di che connessione si tratta, ad un certo punto riceve un messaggio dal client che dice "EAP-..." allora lui dice "ah ma allora volevi autenticarti con EAP, allora il profilo pubkey che ho scelto  quello sbagliato, vediamo che altro c'è, uh c'è un profilo EAP-TLS sarà questo, proviamo" e risponde.

Se tanto mi da tanto la L2TP/IPsec ha i primi step inconfondibili con quelli della IKEv2/IPsec, per cui non hai modo di tenere buoni entrambi i profili per gli stessi endpoint (si perchè in realtà prima ancora che il contenuto dei messaggi va a guardare e matchare le identità, le identità IKEv2 sono gli ip).

Sempre per questo motivo non si possono tenere buone due configurazioni per le stesse identity una che preveda un singolo round di client auth (tipo su pubkey) e un altra che ne preveda due (pubkey+EAP).

Offline a1pollo

  • Membro Anziano
  • ***
  • 130
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #20 il: 20 Novembre 2019, 17:24 »
@FrancYescO
Ciao, sono riuscito ad installarlo,su fastgate dga4131,inserendo i feedda te elencati, sulla gui mi compare anche la voce vpn.
In fase di installazione mi ha dato il seguente errore:
/usr/sbin/xl2tpd: line 4: syntax error: unexpected ")"

La avvio, pero non riesco ad accedere, sto provando con uno smartphone android,inserendo le credenziali scritte sulla gui vpn.
non so come controllare se la vpn e' avviata.





Offline FrancYescO

  • VIP
  • *****
  • 2504
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #21 il: 21 Novembre 2019, 10:15 »
ps a | grep xl2 e controlla se è avviato

Quell'errore mi sa tanto di bin non compatible (quindi non va bene quella repo)

Prova anche a dare /etc/init.d/ipsec restart per vedere che succede

Offline a1pollo

  • Membro Anziano
  • ***
  • 130
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #22 il: 21 Novembre 2019, 13:16 »
Ciao, ho piallato tutto e reinstallato solo la gui di ansuel, e il tuo pacchetto, non ho installato nemmeno libopenssl (che sia quello il problema?).

Codice: [Seleziona]
[email protected]:~# ps a | grep xl2
ps: invalid option -- a
BusyBox v1.23.2 (2018-12-14 20:54:18 UTC) multi-call binary.

Usage: ps

Show list of processes

        w       Wide output

[email protected]:~# /etc/init.d/ipsec restart
Stopping strongSwan IPsec failed: starter is not running
Command failed: Not found
/usr/lib/ipsec/starter: line 2: @: not found
/usr/lib/ipsec/starter: line 2: @@dt▒Q/lib/ld-uClibc.so.0▒▒Bt▒▒E▒G
@▒[email protected]▒@[email protected]: not found
/usr/lib/ipsec/starter: line 2: : not found
/usr/lib/ipsec/starter: line 2:[email protected],: not found
/usr/lib/ipsec/starter: line 3: syntax error: unexpected "&"
[email protected]:~# PuTTYPuTTY

Durante l'installazione ora su putty l'unico problema :

Multiple packages (libpthread and libpthread) providing same name marked HOLD or  PREFER. Using latest.

tutto il resto sembra ok.

pero' non funziona
« Ultima modifica: 21 Novembre 2019, 13:48 da MisterFTTH »

Offline FrancYescO

  • VIP
  • *****
  • 2504
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #23 il: 21 Novembre 2019, 16:13 »
Anche i messaggi che ti escono dal restart stanno a significare semplicemente che quel feed non va bene per il 4131

Offline a1pollo

  • Membro Anziano
  • ***
  • 130
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #24 il: 21 Novembre 2019, 16:36 »
Ok, grazie lo stesso,ci abbiamo provato e non funziona.
Peccato, non mi funziona neanche la guida openvpn, mi va in bootloop.

Offline a1pollo

  • Membro Anziano
  • ***
  • 130
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #25 il: 21 Novembre 2019, 22:32 »
@FrancYescO
Ciao ancora, probabilmente sono riuscito ad installarlo:
[email protected]:~# ps | grep xl2tp
20619 root      1724 S    grep xl2tp
pero' ho un problema non riesco a connettermi
Quando vado a connettermi con lo smartphone android su 'visualizzatore eventi' scheda modem della gui di ansuel,
riesco a vedere lo smartphone che cerca di connettersi ma il server ipsec non lo fa entrare:


Codice: [Seleziona]
Data Funzione Processo Messaggio
Nov 21 22:13:14 authpriv.info ipsec 15[NET] sending packet: from 93.38.122.xxx[4500] to 37.160.28.43[20577] (84 bytes)
Nov 21 22:13:14 daemon.info ipsec 15[ENC] generating INFORMATIONAL_V1 request 4193327921 [ HASH N(AUTH_FAILED) ]
Nov 21 22:13:14 authpriv.info ipsec 15[ENC] generating INFORMATIONAL_V1 request 4193327921 [ HASH N(AUTH_FAILED) ]
Nov 21 22:13:14 daemon.info ipsec 15[IKE] found 1 matching config, but none allows HybridInitRSA authentication using Main Mode
Nov 21 22:13:14 authpriv.info ipsec 15[IKE] found 1 matching config, but none allows HybridInitRSA authentication using Main Mode
Nov 21 22:13:14 daemon.info ipsec 15[CFG] looking for HybridInitRSA peer configs matching 93.38.122.xxx...37.160.28.43[10.52.108.51]
Nov 21 22:13:14 authpriv.info ipsec 15[CFG] looking for HybridInitRSA peer configs matching 93.38.122.xxx...37.160.28.43[10.52.108.51]
Nov 21 22:13:14 daemon.info ipsec 15[ENC] parsed ID_PROT request 0 [ ID HASH ]

che protocollo devo usare per autenticarmi?
o devo usare un app particolare?
« Ultima modifica: 22 Novembre 2019, 10:40 da MisterFTTH »

Offline FrancYescO

  • VIP
  • *****
  • 2504
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #26 il: 22 Novembre 2019, 13:12 »
Il risultato del ps è solo grep stesso, quindi non è running x2ltp

Questa è la semplicissima config che ho usato su android


MacOS
« Ultima modifica: 19 Marzo 2020, 11:41 da FrancYescO »

Offline AnanasExpress

  • Nuovo Iscritto
  • *
  • 7
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #27 il: 24 Novembre 2019, 21:09 »
Ciao, volevo aggiungere il pacchetto VPN al mio TG789vac v2. Quanto do il comando opkg update mi escono questi errori.
Codice: [Seleziona]
Collected errors:
 * opkg_download: Failed to download https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/master/base/Packages.gz, wget returned 1.
 * opkg_download: Failed to download https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/master/packages/Packages.gz, wget returned 1.
 * opkg_download: Failed to download https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/master/luci/Packages.gz, wget returned 1.
 * opkg_download: Failed to download https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/master/routing/Packages.gz, wget returned 1.
 * opkg_download: Failed to download https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/master/telephony/Packages.gz, wget returned 1.
 * opkg_download: Failed to download https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/master/management/Packages.gz, wget returned 1.
 * opkg_download: Failed to download http://downloads.openwrt.org/chaos_calmer/15.05.1/brcm63xx-tch/VANTF/packages/Packages.gz, wget returned 1.

Sembra non trovare il fle packages.gz, che effettivamente manca nei repository

Posso installare comnque la vpn? Se do il comando opkg list i paccheti xl2tpd e strongswan li vedo

Grazie
« Ultima modifica: 25 Novembre 2019, 11:27 da MisterFTTH »

Offline larsen64it

  • Esperto
  • ****
  • 1653
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #28 il: 24 Novembre 2019, 21:35 »
Il problema è wget, cambia momentaneamente i repository con questi.
Codice: [Seleziona]
arch all 100
arch brcm63xx 200
arch brcm63xx-tch 300

src/gz chaos_calmer http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/base
src/gz luci http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/luci
src/gz management http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/management
src/gz routing http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/routing
src/gz packages http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages
src/gz telephony http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/telephony
opkg update
opkg install ca-certificates wget libopenssl
A questo punto reinserisci quelli che avevi e procedi come da guida

Offline a1pollo

  • Membro Anziano
  • ***
  • 130
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #29 il: 25 Novembre 2019, 11:44 »
@LuKePicci, ciao sto provando ad installare strongswan sul mio dgn4131, so' che tu ci sei riuscito io sono 1 settimana che sto provando, ho provato anche con l'altro script di francyesco ma non riesco, non e' che mi daresti una mano d'aiuto?