[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x

  • 190 Risposte
  • 11061 Visite

0 Utenti e 2 Visitatori stanno visualizzando questo topic.

Offline Willy2195

  • Nuovo Iscritto
  • *
  • 7
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #180 il: 11 Aprile 2020, 14:42 »
ho installato prima l'ultimo aggiornamento alla GUI ansuel 9.5.38 e poi la mod gui vpn ho anche disinstallato e rinstallato ma il tab nulla.

edit

Risolto, reinstallato la gui e rinstallato mod gui vpn, ora è uscito il tab e funziona.
Grazie
« Ultima modifica: 11 Aprile 2020, 16:36 da MisterFTTH »

Offline lorenzocanalelc

  • Membro Anziano
  • ***
  • 360
  • Sesso: Maschio
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #181 il: 06 Maggio 2020, 22:47 »
Novità sull'integrazione nella GUI? O integrare almeno un workaround per evitare che sparisca ogni aggiornamento... Anche perché con gli ultimi aggiornamenti del pacchetto ho provato l'installazione sia su un DGA4130 che su un DGA4131 appena sbloccati con GUI e ha funzionato tutto a primo colpo senza nessuna configurazione particolare
« Ultima modifica: 14 Maggio 2020, 15:01 da lorenzocanalelc »

Offline lorenzocanalelc

  • Membro Anziano
  • ***
  • 360
  • Sesso: Maschio
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #182 il: 14 Maggio 2020, 15:01 »
Mi sono reso conto oggi che con questa VPN non riesco più a far passare tutto il traffico internet del client verso la VPN (Cosa che riuscivo a fare con la configurazione di strongswan con i certificati), ci sono configurazioni particolari da attivare?

Online FrancYescO

  • VIP
  • *****
  • 2379
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #183 il: 14 Maggio 2020, 16:37 »
A memoria ricordo di aver visto una flag su qualche client del tipo "route all traffic through VPN"

Offline lorenzocanalelc

  • Membro Anziano
  • ***
  • 360
  • Sesso: Maschio
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #184 il: 14 Maggio 2020, 17:02 »
Si la flag è attiva, ma mentre funzionava, ad esempio con la VPN L2TP della VSR non funziona con questa VPN... Pensi che il problema sia da ricercare nel client?
EDIT: E in effetti avevi ragione, l'iPhone non mi ha dato problemi, grazie  :rotfl:
« Ultima modifica: 14 Maggio 2020, 17:10 da lorenzocanalelc »

Offline Boynet

  • Nuovo Iscritto
  • *
  • 11
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #185 il: 22 Maggio 2020, 23:26 »
serve "aiutino"...
ho istallato il tutto su un 789vac v2 (istruzioni post n.1) con GUI di Ansuel (9.5.xx), configurato il server tramite GUI, ma non mi si connettono i client...

il 789 è dietro un router (il DGA4131 non modificato) su cui ho impostato il port forwarding per la 1701 TCP, 500 e 4500 UDP. Porte scelte navigando nel web perché nel modem ho trovato riferimento solo per la 1701 (xl2tpd.conf)
penso che il problema sia qui: come dovrei configurare le porte?

inoltre:
per provare sto usando un client android. Dopo sarà un TPLink MR200 a connettersi come client la cui GUI NON ha la possibilità di inserire nome e password dell'utente che si connette. Come configuro il 789 per evitare di chiederli?

aggiungo:
ipsec statusall:
no files found matching '/etc/strongswan.d/*.conf'
Status of IKE charon daemon (strongSwan 5.3.3, Linux 3.4.11-rt19, mips):
  uptime: 79 minutes, since May 22 22:18:10 2020
  malloc: sbrk 196608, mmap 0, used 110688, free 85920
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
  loaded plugins: charon aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default stroke updown xauth-generic
Listening IP addresses:
Connections:
 l2tp-server:  %any...%any  IKEv1/2
 l2tp-server:   local:  uses pre-shared key authentication
 l2tp-server:   remote: uses pre-shared key authentication
 l2tp-server:   child:  0.0.0.0/0[udp/l2f] === 0.0.0.0/0[udp] TRANSPORT

logread -f (mentre si connette un client windows 10), unica riga:
Fri May 22 23:40:19 2020 daemon.notice [4214]: [mobiled] (WaitingForDevice) runs WaitingForDevice-Main.check(timeout, 1)

e Windows riporta:
"tentativo connessione non riuscito. il livello si sicurezza ha rilevato errore di elaborazione durante le negoziazioni iniziali con il computer remoto"
« Ultima modifica: 22 Maggio 2020, 23:42 da Boynet »

Online FrancYescO

  • VIP
  • *****
  • 2379
« Ultima modifica: 23 Maggio 2020, 00:57 da FrancYescO »

Offline Boynet

  • Nuovo Iscritto
  • *
  • 11
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #187 il: 23 Maggio 2020, 11:10 »
@FrancYescO
forward anche porta 1723 = non connette
DMZ sul Fastgate su IP del "tuo" 789 = non connette

nel 789 ho il file del link che hai messo e riguarda le porte standard (1701, 4500, 500) già col forward attivo sul Fastgate (standard, non modificato). il 789 ha firewall impostato su "basso"

da Android ho anche provato a connettere VPN arrivando da "dentro" (cioè già con IP interno della LAN, non accedendo da Internet al fastgate), ma niente

Online FrancYescO

  • VIP
  • *****
  • 2379
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #188 il: 23 Maggio 2020, 11:58 »
ripeto, oltre a quelle porte udp devi fare il redirect di quel protocollo esp per farlo funzionare su un device in cascata, immagino la cosa necessiti di un helper apposito sul DGA4131

inoltre non credo che sulla lan sia abilitato al listen, di sicuro con quel logread lui non sta ricevendo un bel niente quindi è qualcosa a livello networking e di firewall che non passa più che applicativo

Offline Boynet

  • Nuovo Iscritto
  • *
  • 11
"devi fare il redirect di quel protocollo esp [cut] immagino la cosa necessiti di un helper apposito sul DGA4131"
che non so fare...
ma, domanda, se attivo DMZ sull'IP del 789, non dovrebbe "passargli" tutto senza controlli?

Online LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2003
No il DMZ lascialo perdere. Per far funzionare il "server" IPsec sul 789 in cascata devi fare sul 4131 il normale forward di quelle porte, ovvero UDP 500 e 4500, più la UDP 1701 nel caso tu ci stia facendo passare sopra una L2TP, come in questo caso.

A quel punto ti metti da "fuori", quindi da smartphone su rete mobile e provi. Una IPsec pura funziona anche in locale tra client connesso al 789 e "server" IPsec al suo interno, ma con L2TP non saprei dirti.

E' comunque strano che il tplink abbia un client L2TP che non ti fa scegliere una nome utente e password, sicuro sia davvero L2TP? dal manuale a me sembra tanto una vecchia IPsec con IKEv1 senza nè L2TP nè Xauth

PS: a parte il divertimento di riuscirci a prescindere, se installi strongswan sul 4131 su firmware 18.x funziona molto meglio, accetta ciphersuite più moderne e va sui 100 megabit/s.
« Ultima modifica: Ieri alle 13:59 da LuKePicci »