[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x

  • 253 Risposte
  • 32393 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline a1pollo

  • Membro Anziano
  • ***
  • 162
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #240 il: 13 Dicembre 2021, 18:29 »
@lucash78 @a1pollo questo fenomeno dell'avviare prima un client android (da app strongswan)  per farlo funzionare l'ho visto succedere solo attivando il driver per l'SPU, mentre il crash è sistematico  attivando sha256 per il traffico ESP (nessun problema invece con sha256 sull'handshake IKE). Se non hai attivato il driver per l'SPU il crash non è normale.

Ho il driver spu attivato, se faccio il primo collegamento su strongswan da windows si riavvia, invece con android no.
La cypher pero' e' piu' bassa,questo su windows:
Codice: [Seleziona]
[email protected]:~# ipsec statusall
Status of IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l):
  uptime: 20 hours, since Dec 12 21:52:25 2021
  malloc: sbrk 794624, mmap 0, used 369496, free 425128
  worker threads: 10 of 16 idle, 6/0/0/0 working, job queue: 0/0/0/0, scheduled: 1
  loaded plugins: charon test-vectors ldap pkcs11 aes des blowfish rc2 sha2 sha1 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp curve25519 agent xcbc cmac hmac ctr ccm gcm curl mysql sqlite attr kernel-netlink resolve socket-default connmark forecast farp stroke vici smp updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic xauth-eap whitelist led duplicheck addrblock unity
Virtual IP pools (size/online/offline):
  10.0.1.0/24: 254/1/1
  2001:b07:5d26:7aa2::/120: 254/1/1
Listening IP addresses:
  169.0.0.2
  192.168.78.1
  192.168.1.3
  2001:b07:5d26:7aa2::1
  93.38.xxx.xxx
  2001:b07:5d26:7aa2::1
  ::93.38.xxx.xxx
Connections:
roadwarriorPUBKEY:  %any...%any  IKEv2, dpddelay=300s
roadwarriorPUBKEY:   local:  [il mio ddns] uses public key authentication
roadwarriorPUBKEY:    cert:  "C=xxx, O=xxx, CN=il mio ddns"
roadwarriorPUBKEY:   remote: uses public key authentication
roadwarriorPUBKEY:    ca:    "C=xxx, O=xxx, CN=xxx"
roadwarriorPUBKEY:   child:  0.0.0.0/0 ::/0 === dynamic TUNNEL, dpdaction=clear
Security Associations (1 up, 0 connecting):
roadwarriorPUBKEY[5]: ESTABLISHED 2 minutes ago, 2001:b07:5d26:7aa2::1[il mio ddns]...2001:b07:5d26:7aa2:3828:7777:b2f0:110a[C=xxx, O=xxx, CN=xxx]
roadwarriorPUBKEY[5]: IKEv2 SPIs: 367ab6294f5da0ff_i fdf5d3c6e88995b4_r*, rekeying disabled
roadwarriorPUBKEY[5]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
roadwarriorPUBKEY{3}:  INSTALLED, TUNNEL, reqid 3, ESP SPIs: c644bd61_i 2267bef4_o
roadwarriorPUBKEY{3}:  AES_CBC_128/HMAC_SHA1_96, 48620 bytes_i (281 pkts, 1s ago), 40911 bytes_o (142 pkts, 1s ago), rekeying disabled
roadwarriorPUBKEY{3}:   0.0.0.0/0 ::/0 === 10.0.1.2/32 2001:b07:5d26:7aa2::2/128
@LuKePicci

Io ho un altro problema il router, si e' riavviato dopo un blackout, e strongswan non funziona piu' in dhcp, pero' funziona su un'altra subnet.

Poi ho notato degli errori sulla wiki di openwrt:
Codice: [Seleziona]
strongswan.conf

charon {
        load_modular=yes
        dns1 = 10.0.0.1 #dovrebbe essere10.0.1.0
        nbns1 = 10.0.0.1# anche qui' come sopra
        plugins {
                include strongswan.d/charon/*.conf
        }
}
include strongswan.d/*.conf

Offline lucash78

  • Nuovo Iscritto
  • *
  • 48
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #241 il: 13 Dicembre 2021, 18:43 »
Ho fatto un po' di prove ma nulla è cambiato.
Se da ssh do il comando spuctl stop ottengo questo:
Codice: [Seleziona]
[email protected]:~# spuctl stop
ERROR[OpenBcmSpuCfg.84]: SpuCtl: open error 2
di conseguenza il driver spu sembra rimanere funzionante:
Codice: [Seleziona]
[email protected]:~# spuctl showstats
ERROR[OpenBcmSpuCfg.84]: SpuCtl: open error 2

Encryption stats
     Ingress -1229992408
     Fallback 1
     Egress 1
     Error 264
     Dropped 0
Decryption stats
     Ingress -1231716128
     Fallback -1100173844
     Egress 0
     Error 135504
     Dropped -1100174228
Quindi non riesco a disattivarlo.

Ho provato a creare il file /etc/config/hardwarecrypto così:
Codice: [Seleziona]
config hardwarecrypto 'global'
        option enable '0'
Ho riavviato il router, pensando così di disattivarlo ma niente; se lancio il comando spuctl showstats mi ritorna dell'output tipo quello sopra.

Ho provato a cambiare il file ipsec.conf in modo da non usare SHA256 così:
Codice: [Seleziona]
esp=aes128-sha1-modp1024
ike=aes128-sha1-modp1024
ma potrebbe non essere giusto quello che ho scritto nel file .conf

Il risultato è che continuo ad avere il modem che si riavvia.


Offline a1pollo

  • Membro Anziano
  • ***
  • 162
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #242 il: 13 Dicembre 2021, 19:09 »
@lucash78
Il driver spu l'aveva compilato luke,e non si trova nei repository, se tu non l'hai installato non e' attivo.
Io le cyper su windows le avevo cambiate da PowerShell, perche' quelle di default sono piu' alte.

Offline lucash78

  • Nuovo Iscritto
  • *
  • 48
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #243 il: 13 Dicembre 2021, 19:13 »
Grazie delle info a1pollo. Il driver sicuramente non l'ho installato, di questo ne sono certo.
Proverò a cambiare le cipher tramite powershell non appena ho un attimo.

Edit:
ho modificato il file ipsec.conf così, in modo da forzare l'uso degli algoritmi specificati

Codice: [Seleziona]
esp=aes128-sha1-modp1024!
ike=aes128-sha1-modp1024!

e modificato la chiave di registro
Codice: [Seleziona]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\AllowL2TPWeakCrypto = 1
ma niente è cambiato

@a1pollo hai mica a portata di mano il comando PowerShell che avevi usato?

« Ultima modifica: 14 Dicembre 2021, 18:29 da lucash78 »

Offline e20italia

  • Nuovo Iscritto
  • *
  • 4
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #244 il: 15 Dicembre 2021, 23:49 »
Prova
rm -r /tmp/opkg-lists
opkg update
e provare ad installare un altro pacchetto  p.es. nano
opkg install nano
Fammi sapere se funziona.

nano me lo installa senza problemi mentre  la gui per la vpn e relative dipendenze no... sempre stessso errore

[email protected]:~# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Installing modgui-vpn (1.0-0) to root...
Collected errors:
 * opkg_install_pkg: Package modgui-vpn md5sum mismatch. Either the opkg or the package index are corrupt. Try 'opkg update'.
 * opkg_install_cmd: Cannot install package modgui-vpn.

Offline larsen64it

  • VIP
  • *****
  • 2419
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #245 il: 16 Dicembre 2021, 04:48 »
Capito. E' un pacchetto "alieno" inserito da @FrancYescO. Non sono sicuro per come è costruito sia installabile, per via dei script preinst postinst, che dovrebbero essere incompatibili con /lib/functions.sh presente nel firmware.

Offline a1pollo

  • Membro Anziano
  • ***
  • 162
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #246 il: 17 Dicembre 2021, 06:41 »
@lucash78
Non sono sicuro sia questa:

Codice: [Seleziona]
Set-VpnConnectionIPsecConfiguration -ConnectionName "il nome della tua connessione vpn" -AuthenticationTransformConstants None -CipherTransformConstants AES128 -EncryptionMethod AES128 -IntegrityCheckMethod SHA1 -PfsGroup None -DHGroup Group2 -PassThru -Force

Dai un occhiata qua:
Codice: [Seleziona]
https://docs.microsoft.com/en-us/powershell/module/vpnclient/set-vpnconnectionipsecconfiguration?view=win10-ps

Offline lucash78

  • Nuovo Iscritto
  • *
  • 48
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #247 il: 18 Dicembre 2021, 16:28 »
Grazie @a1pollo, ho provato col comando nudo e crudo che hai postato ma ricevo il messaggio di errore "payload non valido" quando provo a collegarmi, ma il comando era comunque corretto. Farò ulteriori tentativi.
Ho notato una cosa bizzarra; se instauro la connessione VPN via LAN, e non con una connessione esterna al router (tipo collegato in hotspot col cellulare), il modem non si riavvia!!
Strongswan è in ascolto anche sulla parte LAN, quindi la connessione avviene (ed infatti mi ritrovo 2 indirizzi ip diversi assegnati ma sulla stessa classe) ma il modem continua a funzionare.
Quindi questo rende il tutto più strano, perchè se fosse una questione di algoritmi dovrebbe riavviarsi anche se mi collego via LAN.


« Ultima modifica: 18 Dicembre 2021, 17:22 da lucash78 »

Offline rospy

  • Membro Giovane
  • **
  • 56
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #248 il: 13 Gennaio 2022, 16:03 »
Scusate se sbaglio thread.

Sul TimHub DGA4132 ho messo la root e fatto l'upgrade alla 2.2.1 con la Gui Ansuel 9.6.65. Ho una connessione Aruba FTTH 1Gb (890/280 da ookla) che per 17,49€/mese mi da anche un indirizzo IPV6 statico. Avevo pensato di usarlo per installare un server VPN sul TimHub in modo da poter avere accesso da remoto alla mia rete casalinga.

Ho letto tutto il thread ma la mia conoscenza è molto più ridotta di quella dei suoi partecipanti. So che chiedere la "pappa pronta" non è carino con chi si è dannato l'anima per raggiungere l'obiettivo ma volevo sapere se qualcuno utilizza il TimHub per questo scopo e se ci sono delle guide/wiki che possa seguire per capire di più sulla VPN e su come raggiungere il mio obiettivo.

Grazie  :help: :new:

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2731
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #249 il: 13 Gennaio 2022, 18:53 »
L'ipv6 è già configurato e funzionante? Se sì allora puoi provarci ma nessuno qui ha mai testimoniato ad usare strongswan su questi dispositivi in ipv6, magari funziona ma non saprei dirtelo in anticipo. Se ipv6 ancora non è configurato non credo tu debba chiedere in questo thread per la sua configurazione.

Offline rospy

  • Membro Giovane
  • **
  • 56
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #250 il: 13 Gennaio 2022, 21:05 »
L'ipv6 è già configurato e funzionante? Se sì allora puoi provarci ma nessuno qui ha mai testimoniato ad usare strongswan su questi dispositivi in ipv6, magari funziona ma non saprei dirtelo in anticipo. Se ipv6 ancora non è configurato non credo tu debba chiedere in questo thread per la sua configurazione.
Se la domanda è se IPV6 è attivo sul DGA4132 nella scheda Wan in connessione Ppoe e il suo indirizzo è visibile e nattato la risposta è sì. Cosa debba fare in realtà per verificarlo non so, forse un ping da un altro pc collegato a internet con una chiavetta?

Offline a1pollo

  • Membro Anziano
  • ***
  • 162
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #251 il: 14 Gennaio 2022, 07:16 »
Una guida utile e' questa
Codice: [Seleziona]
https://openwrt.org/docs/guide-user/services/vpn/strongswan/roadwarrior
"pappa pronta" e' questa controlla prima se hai i feeds settati, e dai un opkg update
Codice: [Seleziona]
curl https://raw.githubusercontent.com/FrancYescO/sharing_tg789/strongswan/setup.sh | sh
per aggiungere ipv6 devi modificare il file /etc/ipsec.conf e modificare
Codice: [Seleziona]
rightsourceip=%dhcp,metti dopo la virgola l'indirizzo ipv6
poi dai il comando /etc/init.d/ipsec stop   e poi /etc/init.d/ipsec start
« Ultima modifica: 14 Gennaio 2022, 07:32 da a1pollo »

Offline rospy

  • Membro Giovane
  • **
  • 56
Re:[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x
« Risposta #252 il: 14 Gennaio 2022, 13:30 »
Una guida utile e' questa
Codice: [Seleziona]
https://openwrt.org/docs/guide-user/services/vpn/strongswan/roadwarrior
"pappa pronta" e' questa controlla prima se hai i feeds settati, e dai un opkg update
Codice: [Seleziona]
curl https://raw.githubusercontent.com/FrancYescO/sharing_tg789/strongswan/setup.sh | sh
per aggiungere ipv6 devi modificare il file /etc/ipsec.conf e modificare
Codice: [Seleziona]
rightsourceip=%dhcp,metti dopo la virgola l'indirizzo ipv6
poi dai il comando /etc/init.d/ipsec stop   e poi /etc/init.d/ipsec start
Grazie mille, ora mi ci metto! Spero di riuscire a capirci qualcosa...  :)
« Ultima modifica: 14 Gennaio 2022, 13:38 da rospy »

Offline satigno

  • Membro Giovane
  • **
  • 84
Ciao ragazzi,

la VPN ha smesso di funzionare quindi ho provato a reinstallarla ma continua a non andare.
Ho aggiornato la GUI Ansuel all'ultima versione e provando a disinstallare la VPN si blocca tutto su xl2tpd stop.
Al momento mi risulta che la VPN sia installata ma la scheda non compare sulla GUI.
C'è modo di forzare la disinstallazione in altri modi?
Grazie.