[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x

  • 177 Risposte
  • 6965 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline LuKePicci

  • Global Moderator
  • Esperto
  • *****
  • 1597
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #165 il: 19 Marzo 2020, 19:12 »
3des va proprio tolto, che aes256 prenda più risorse di aes128 è sicuro ma la banda non capisco da cosa sia inficiata, forse da altro, a me con entrambi fa 25 in down e 40 in up da speedtest con pc connesso tramite lan in ipsec al 4131. E di sicuro sta facendo tutto sul kenrel via software. Il 4130 dovrebbe usare l'spu e andare più forte/usare meno/non usare affatto cpu.
« Ultima modifica: 19 Marzo 2020, 19:22 da LuKePicci »

Offline FrancYescO

  • Esperto
  • ****
  • 1934
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #166 il: 19 Marzo 2020, 21:34 »
Ok tolto tutti i 3ds e modp1024, aes128-sha256-modp3072 come auth e aes128-sha1-modp2048 per il trasporto
ma direi che ho qualcosa che non va.. http://eolo.speedtestcustom.com/result/1e2da620-6a1f-11ea-b4fb-53ebc63077f1

Offline satigno

  • Membro Giovane
  • **
  • 78
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #167 il: 20 Marzo 2020, 12:34 »
Ho notato che se vado nel file /var/ppp/chap-secrets trovo username con password non criptata. E' normale e sicura questa cosa?

Offline LuKePicci

  • Global Moderator
  • Esperto
  • *****
  • 1597
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #168 il: 20 Marzo 2020, 12:47 »
è normale, e no, non è sicura, perciò io preferisco sempre i certificati. In quel caso l'unico segreto salvato "in chiaro" sul router è la chiave privata del server, quindi anche rubandomela non possono connettersi alla mia rete in VPN, possono solo (se proprio ci tengono) organizzare in altro modo un dirottamento della connessione fatta dal mio dispositivo e grazie a quella chiave convincermi di star parlando col mio server.

Offline satigno

  • Membro Giovane
  • **
  • 78
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #169 il: 20 Marzo 2020, 13:02 »
 Non è sicura nemmeno se l'accesso SSH è disattivato da WAN?
E' possibile creare un certificato da accostare alla password?

Offline LuKePicci

  • Global Moderator
  • Esperto
  • *****
  • 1597
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #170 il: 20 Marzo 2020, 13:49 »
E' insicura perchè fa dipendere la possibilità di rubare quelle credenziali da fatto che il router sia o meno stato compromesso. Più il router è inaccessibile è più è improbabile, ma con un certificato la chiave sul router non c'è proprio quindi è evidentemente meglio fin dal principio. SSH da wan c'entra relativamente poco, basta compromettere un qualsiasi dispositivo nella tua rete e poi da lì accedere al router via lan e sei fritto.

So che è possibile fare in strongswan doppia autenticazione sia certificato che password, ma questa cosa la supportano pochissimi client, tra cui strongswan ovviamente, quindi non la consiglio. Una volta che hai il certificato con la chiave per l'utente basta quello, a quel punto la password è inutile e pure scomoda da inserire se complessa o fatta di caratteri non visualizzabili a schermo/inseribili da tastiera..

Offline satigno

  • Membro Giovane
  • **
  • 78
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #171 il: 20 Marzo 2020, 14:09 »
Ho capito. Quindi volendo mantenere questa configurazione non è possibile aggiungere un certificato per stare più tranquilli.
In teoria però, ipotizzando che un dispositivo venga compromesso, dovrebbero comunque riuscire ad accedere alla configurazione del router o tramite il suo ip locale (da GUI) o tramite ssh, cosa non scontata se ho modificato le password e le ho messe belle robuste.
Sbaglio?

Offline LuKePicci

  • Global Moderator
  • Esperto
  • *****
  • 1597
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #172 il: 20 Marzo 2020, 16:46 »
Non sbagli, ma come dicevo, per quanto tu possa sforzarti di tenerlo al sicuro, in base a quanto sappiamo ora in merito alla sicurezza di questi aggeggi, è ovvio che un sistema col quale non si pone proprio il problema vinca su tutta la linea.

Ripeto, non è impossibile aggiungere un ulteriore round di autenticazione IPsec su certificato, è semplicemente insensato. La config in queste pagine si basa comunque su due round di autenticazione, uno sulla PSK di IPsec uguale per tutti, ed uno su nome utente/password CHAP di PPP diverse per utente. Purtroppo anche la PSK di IPsec è salvata in chiaro. Una cosa che puoi fare (ma non so dirti quando fastidio dia ai vari client in circolazione) è sostituire il round PSK di IPsec con uno basato su certificato. Rimpiazzare il CHAP di PPP con altro la vedo difficile
« Ultima modifica: 20 Marzo 2020, 16:51 da LuKePicci »

Offline satigno

  • Membro Giovane
  • **
  • 78
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #173 il: 20 Marzo 2020, 16:48 »
Afferrato il concetto :)
Grazie della spiegazione!

Offline andrew65

  • Nuovo Iscritto
  • *
  • 36
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #174 il: 22 Marzo 2020, 18:31 »
Prerequisiti:
Assicuratevi di avere dei feed da cui è possibile scaricare xl2tpd e strongswan (alcuni firmware Technicolor Includono entrambi), in linea di massima se avete la GUI installata c'è buona probabilità son stati già inseriti, assicuratevi con un opkg update siano aggiornati e funzionanti.

Effettuando il comando indicato, l'operazione non viene portata a termine perchè il link non è disponibile .
La directory" http://downloads.openwrt.org/chaos_calmer/15.05.1/brcm63xx-tch
/VANTF/packages/Packages.gz" è corretta fino a  "http://downloads.openwrt.org/chaos_calmer/15.05.1/" , il resto non c'è.

Possibile scaricare il pacchetto da un altro link?

Offline FrancYescO

  • Esperto
  • ****
  • 1934
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #175 il: 22 Marzo 2020, 21:11 »
puoi ignorare e andare oltre, i feed importanti sono gli altri che da quanto ho capito ti ha scaricato senza problemi.

Offline andrew65

  • Nuovo Iscritto
  • *
  • 36
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #176 il: 22 Marzo 2020, 23:30 »
questo quanto riporta la console:

[email protected]:~# curl -s https://raw.githubusercontent.com/FrancYescO/sharing_t
g789/modgui-vpn/modgui-vpn_1.0-0_all.ipk -o /tmp/modgui-vpn_1.0-0_all.ipk
[email protected]:~# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Installing modgui-vpn (1.0-0) to root...
Collected errors:
 * satisfy_dependencies_for: Cannot satisfy the following dependencies for modgui-vpn:
 *      xl2tpd *        strongswan-default *
 * opkg_install_cmd: Cannot install package modgui-vpn.

Pensando di aver fatto casini ho resettato il modem ripartendo da zero con il firmware UNOUK, ma nulla da fare.



Offline FrancYescO

  • Esperto
  • ****
  • 1934
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #177 il: 23 Marzo 2020, 00:53 »
aspetta, mi sa ho frainteso: se quello di prima è l'unico output del comando opkg update i feed non ci sono, se hai la gui modificata metti la dev che ci sono vari fix a riguardo il setup dei feed

Se non la hai questi sono i feed da usare https://github.com/FrancYescO/789vacv2_opkg/ e devi installare preventivamente openssl-util per sistemare il download di feed https