[LuKePicci]

3des va proprio tolto, che aes256 prenda più risorse di aes128 è sicuro ma la banda non capisco da cosa sia inficiata, forse da altro, a me con entrambi fa 25 in down e 40 in up da speedtest con pc connesso tramite lan in ipsec al 4131. E di sicuro sta facendo tutto sul kenrel via software. Il 4130 dovrebbe usare l'spu e andare più forte/usare meno/non usare affatto cpu.

[FrancYescO]

Ok tolto tutti i 3ds e modp1024, aes128-sha256-modp3072 come auth e aes128-sha1-modp2048 per il trasporto
ma direi che ho qualcosa che non va.. http://eolo.speedtestcustom.com/result/1e2da620-6a1f-11ea-b4fb-53ebc63077f1

[satigno]

Ho notato che se vado nel file /var/ppp/chap-secrets trovo username con password non criptata. E' normale e sicura questa cosa?

[LuKePicci]

è normale, e no, non è sicura, perciò io preferisco sempre i certificati. In quel caso l'unico segreto salvato "in chiaro" sul router è la chiave privata del server, quindi anche rubandomela non possono connettersi alla mia rete in VPN, possono solo (se proprio ci tengono) organizzare in altro modo un dirottamento della connessione fatta dal mio dispositivo e grazie a quella chiave convincermi di star parlando col mio server.

[satigno]

 Non è sicura nemmeno se l'accesso SSH è disattivato da WAN?
E' possibile creare un certificato da accostare alla password?

[LuKePicci]

E' insicura perchè fa dipendere la possibilità di rubare quelle credenziali da fatto che il router sia o meno stato compromesso. Più il router è inaccessibile è più è improbabile, ma con un certificato la chiave sul router non c'è proprio quindi è evidentemente meglio fin dal principio. SSH da wan c'entra relativamente poco, basta compromettere un qualsiasi dispositivo nella tua rete e poi da lì accedere al router via lan e sei fritto.

So che è possibile fare in strongswan doppia autenticazione sia certificato che password, ma questa cosa la supportano pochissimi client, tra cui strongswan ovviamente, quindi non la consiglio. Una volta che hai il certificato con la chiave per l'utente basta quello, a quel punto la password è inutile e pure scomoda da inserire se complessa o fatta di caratteri non visualizzabili a schermo/inseribili da tastiera..

[satigno]

Ho capito. Quindi volendo mantenere questa configurazione non è possibile aggiungere un certificato per stare più tranquilli.
In teoria però, ipotizzando che un dispositivo venga compromesso, dovrebbero comunque riuscire ad accedere alla configurazione del router o tramite il suo ip locale (da GUI) o tramite ssh, cosa non scontata se ho modificato le password e le ho messe belle robuste.
Sbaglio?

[LuKePicci]

Non sbagli, ma come dicevo, per quanto tu possa sforzarti di tenerlo al sicuro, in base a quanto sappiamo ora in merito alla sicurezza di questi aggeggi, è ovvio che un sistema col quale non si pone proprio il problema vinca su tutta la linea.

Ripeto, non è impossibile aggiungere un ulteriore round di autenticazione IPsec su certificato, è semplicemente insensato. La config in queste pagine si basa comunque su due round di autenticazione, uno sulla PSK di IPsec uguale per tutti, ed uno su nome utente/password CHAP di PPP diverse per utente. Purtroppo anche la PSK di IPsec è salvata in chiaro. Una cosa che puoi fare (ma non so dirti quando fastidio dia ai vari client in circolazione) è sostituire il round PSK di IPsec con uno basato su certificato. Rimpiazzare il CHAP di PPP con altro la vedo difficile

[satigno]

Afferrato il concetto
Grazie della spiegazione!

[andrew65]

Prerequisiti:
Assicuratevi di avere dei feed da cui è possibile scaricare xl2tpd e strongswan (alcuni firmware Technicolor Includono entrambi), in linea di massima se avete la GUI installata c'è buona probabilità son stati già inseriti, assicuratevi con un opkg update siano aggiornati e funzionanti.

Effettuando il comando indicato, l'operazione non viene portata a termine perchè il link non è disponibile .
La directory" http://downloads.openwrt.org/chaos_calmer/15.05.1/brcm63xx-tch
/VANTF/packages/Packages.gz" è corretta fino a  "http://downloads.openwrt.org/chaos_calmer/15.05.1/" , il resto non c'è.

Possibile scaricare il pacchetto da un altro link?

[FrancYescO]

puoi ignorare e andare oltre, i feed importanti sono gli altri che da quanto ho capito ti ha scaricato senza problemi.

[andrew65]

questo quanto riporta la console:

root@dsldevice:~# curl -s https://raw.githubusercontent.com/FrancYescO/sharing_t
g789/modgui-vpn/modgui-vpn_1.0-0_all.ipk -o /tmp/modgui-vpn_1.0-0_all.ipk
root@dsldevice:~# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Installing modgui-vpn (1.0-0) to root...
Collected errors:
 * satisfy_dependencies_for: Cannot satisfy the following dependencies for modgui-vpn:
 *      xl2tpd *        strongswan-default *
 * opkg_install_cmd: Cannot install package modgui-vpn.

Pensando di aver fatto casini ho resettato il modem ripartendo da zero con il firmware UNOUK, ma nulla da fare.

[FrancYescO]

aspetta, mi sa ho frainteso: se quello di prima è l'unico output del comando opkg update i feed non ci sono, se hai la gui modificata metti la dev che ci sono vari fix a riguardo il setup dei feed

Se non la hai questi sono i feed da usare https://github.com/FrancYescO/789vacv2_opkg/ e devi installare preventivamente openssl-util per sistemare il download di feed https

[Willy2195]

Salve ragazzi, ho effettuato la procedura in prima pagina, non mi è uscito nessun errore e tutto è filato liscio. avevo gia fatto questa procedura su un altro router ma ora non vuole saperne niente di apparire la tab, qualcuno mi può aiutare su cosa controllare?
grazie anticipatamente

[FrancYescO]

hai la GUI? l'hai aggiornata post installazione di questo pacchetto? disintalla e reinstalla.