[Willy2195]

ho installato prima l'ultimo aggiornamento alla GUI ansuel 9.5.38 e poi la mod gui vpn ho anche disinstallato e rinstallato ma il tab nulla.

edit

Risolto, reinstallato la gui e rinstallato mod gui vpn, ora è uscito il tab e funziona.
Grazie

[lorenzocanalelc]

Novità sull'integrazione nella GUI? O integrare almeno un workaround per evitare che sparisca ogni aggiornamento... Anche perché con gli ultimi aggiornamenti del pacchetto ho provato l'installazione sia su un DGA4130 che su un DGA4131 appena sbloccati con GUI e ha funzionato tutto a primo colpo senza nessuna configurazione particolare

[lorenzocanalelc]

Mi sono reso conto oggi che con questa VPN non riesco più a far passare tutto il traffico internet del client verso la VPN (Cosa che riuscivo a fare con la configurazione di strongswan con i certificati), ci sono configurazioni particolari da attivare?

[FrancYescO]

A memoria ricordo di aver visto una flag su qualche client del tipo "route all traffic through VPN"

[lorenzocanalelc]

Si la flag è attiva, ma mentre funzionava, ad esempio con la VPN L2TP della VSR non funziona con questa VPN... Pensi che il problema sia da ricercare nel client?
EDIT: E in effetti avevi ragione, l'iPhone non mi ha dato problemi, grazie 

[Boynet]

serve "aiutino"...
ho istallato il tutto su un 789vac v2 (istruzioni post n.1) con GUI di Ansuel (9.5.xx), configurato il server tramite GUI, ma non mi si connettono i client...

il 789 è dietro un router (il DGA4131 non modificato) su cui ho impostato il port forwarding per la 1701 TCP, 500 e 4500 UDP. Porte scelte navigando nel web perché nel modem ho trovato riferimento solo per la 1701 (xl2tpd.conf)
penso che il problema sia qui: come dovrei configurare le porte?

inoltre:
per provare sto usando un client android. Dopo sarà un TPLink MR200 a connettersi come client la cui GUI NON ha la possibilità di inserire nome e password dell'utente che si connette. Come configuro il 789 per evitare di chiederli?

aggiungo:
ipsec statusall:
no files found matching '/etc/strongswan.d/*.conf'
Status of IKE charon daemon (strongSwan 5.3.3, Linux 3.4.11-rt19, mips):
  uptime: 79 minutes, since May 22 22:18:10 2020
  malloc: sbrk 196608, mmap 0, used 110688, free 85920
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
  loaded plugins: charon aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default stroke updown xauth-generic
Listening IP addresses:
Connections:
 l2tp-server:  %any...%any  IKEv1/2
 l2tp-server:   local:  uses pre-shared key authentication
 l2tp-server:   remote: uses pre-shared key authentication
 l2tp-server:   child:  0.0.0.0/0[udp/l2f] === 0.0.0.0/0[udp] TRANSPORT

logread -f (mentre si connette un client windows 10), unica riga:
Fri May 22 23:40:19 2020 daemon.notice [4214]: [mobiled] (WaitingForDevice) runs WaitingForDevice-Main.check(timeout, 1)

e Windows riporta:
"tentativo connessione non riuscito. il livello si sicurezza ha rilevato errore di elaborazione durante le negoziazioni iniziali con il computer remoto"

[FrancYescO]

porta 1723

anzi no credo sia questo che non so come si rediretta https://github.com/FrancYescO/sharing_tg789/blob/modgui-vpn/modgui-vpn/lib/functions/firewall-l2tp-ipsec-server.sh#L35

[Boynet]

@FrancYescO
forward anche porta 1723 = non connette
DMZ sul Fastgate su IP del "tuo" 789 = non connette

nel 789 ho il file del link che hai messo e riguarda le porte standard (1701, 4500, 500) già col forward attivo sul Fastgate (standard, non modificato). il 789 ha firewall impostato su "basso"

da Android ho anche provato a connettere VPN arrivando da "dentro" (cioè già con IP interno della LAN, non accedendo da Internet al fastgate), ma niente

[FrancYescO]

ripeto, oltre a quelle porte udp devi fare il redirect di quel protocollo esp per farlo funzionare su un device in cascata, immagino la cosa necessiti di un helper apposito sul DGA4131

inoltre non credo che sulla lan sia abilitato al listen, di sicuro con quel logread lui non sta ricevendo un bel niente quindi è qualcosa a livello networking e di firewall che non passa più che applicativo

[Boynet]

"devi fare il redirect di quel protocollo esp [cut] immagino la cosa necessiti di un helper apposito sul DGA4131"
che non so fare...
ma, domanda, se attivo DMZ sull'IP del 789, non dovrebbe "passargli" tutto senza controlli?

[LuKePicci]

No il DMZ lascialo perdere. Per far funzionare il "server" IPsec sul 789 in cascata devi fare sul 4131 il normale forward di quelle porte, ovvero UDP 500 e 4500, più la UDP 1701 nel caso tu ci stia facendo passare sopra una L2TP, come in questo caso.

A quel punto ti metti da "fuori", quindi da smartphone su rete mobile e provi. Una IPsec pura funziona anche in locale tra client connesso al 789 e "server" IPsec al suo interno, ma con L2TP non saprei dirti.

E' comunque strano che il tplink abbia un client L2TP che non ti fa scegliere una nome utente e password, sicuro sia davvero L2TP? dal manuale a me sembra tanto una vecchia IPsec con IKEv1 senza nè L2TP nè Xauth

PS: a parte il divertimento di riuscirci a prescindere, se installi strongswan sul 4131 su firmware 18.x funziona molto meglio, accetta ciphersuite più moderne e va sui 100 megabit/s.

[Boynet]

@LuKePicci
il 4131 è "operativo" = non lo tocco
il 789 è "smanettabile"... :-)

Riprovato anche adesso (da android fuori LAN) aprendo 1701 sia TCP, sia UDP (avevo aperto solo la TCP) = niente
secondo FrancYescO il 789 non riceve richieste

ri-domando: ma se imposto la DMZ, anche solo per prova, il 4131 dovrebbe diventare totalmente trasparente, o no?

Approfondisco il discorso TPlink, ma anche android non si connette al 789.

[LuKePicci]

Compra un altro 4131 e smanetta su quello. Il "DMZ simulato" come inteso su questi aggeggi consumer non rende trasparente un fico secco. Cosa faccia di rpeciso sul 4131 non l'ho mai guardato ma è una di quelle feature come le famose "bridge mode" che i produttori interpretano ognuno a modo loro e la cui sostanza cambia da caso a caso.

(edit: eccolo qua https://github.com/FrancYescO/tch_firmware_extracted/blob/AGTHP_2.2.1_003_CLOSED/lib/functions/dmz.sh
per capirci, un DMZ un minimo più serio - anche se comunque non del tutto aderente alla definizione di DMZ - è quello spiegato al primo post qui: https://forum.openwrt.org/t/guide-to-set-up-dmz-via-luci/21616/1)

IPsec è fatto da ESP, AH e qualcosa su UDP. Solo per quest'ultimo esiste il concetto di porta. Ti direi di provare prima senza L2TP che richiede qualche forward in più (anche GRE credo), giusto per capire se il 4131 sta o meno tappando ESP ed AH.

[Boynet]

@LuKePicci
escludo di comprare un altro 4131... vado di risparmio (modem di Fastweb) & riciclo (789)
100 Mb.. magari! qui da me solo VDSL da 30Mb...

"Ti direi di provare prima senza L2TP che richiede qualche forward in più (anche GRE credo), giusto per capire se il 4131 sta o meno tappando ESP ed AH."
grazie, ma.... devi tradurmelo in "ignorantese" !
come imposto il port forwarding sul 4131?
e sulla Ansuel GUI del 789?

[LuKePicci]

Sul 4131 senza root non puoi forwardare nient'altro che tcp e udp, e l'hai già fatto. Sul 789 non c'è nulla da forwardare. C'è un thread per ipsec puro su strongswan per questi device, vedi lì che si dice.

Nei primi post c'è indicata una guida per IPsec su IKEv2, puoi iniziare con da lì e poi cambiare in IPsec IKEv1 (senza L2TP) se il tplink supporta solo quello.
https://www.ilpuntotecnico.com/forum/index.php/topic,82673.0.html