[Testing] VPN L2TP/IPSec DGA413x/TG78x

  • 98 Risposte
  • 4113 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline AnanasExpress

  • Nuovo Iscritto
  • *
  • 7
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #30 il: 25 Novembre 2019, 20:13 »
Grazie! Tutto ok, non ho errori.. tranne che non compare la "piastrella" vpn e non so come configurarlo.. Anche se non comparisse come verifico che sia funzionante? Ci sono parametri da modificare, magari tramite ssh, per la configurazione?

la mia configurazione: Firmware UNO versione Mint 17.2 con gui Ansuel su tg789 vac2 su rete FTTC TIM
« Ultima modifica: 26 Novembre 2019, 07:54 da MisterFTTH »

Offline FrancYescO

  • Esperto
  • ****
  • 1714
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #31 il: 25 Novembre 2019, 20:34 »
@AnanasExpress ma l'installazione, come da primo post, ha dato errori?

@a1pollo pero' non confondere le cose: lo script che ho postato qui https://www.ilpuntotecnico.com/forum/index.php/topic,77856.msg255196.html#msg255196 non e' la stessa cosa di quello di questo topic, anche se ha paccheti in comune, il problema del 4131 e' che non abbiamo un feed valido da usare.

Offline a1pollo

  • Membro Giovane
  • **
  • 61
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #32 il: 25 Novembre 2019, 22:03 »
@FrancYescO, scusami se l'ho postato qui, non volevo aprire un'altra discussione, so che sono diversi, abbiamo 3 tipi di vpn : L2TP/IPSec , dove probabilmente L2TP non e' compatibile col 4131, openvpn che va in bootloop, ed infine strongswan che dovrebbe funzionare, dove tu hai creato un altro script parzialmente utilizzabile col 4131 , e comunque @LuKePicci e' riuscito a settarlo. So' di non essere ai vostri livelli, pero' grazie a voi ho imparato tante cose.

Offline LuKePicci

  • Esperto
  • ****
  • 1412
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #33 il: 25 Novembre 2019, 23:39 »
A parte per il fatto che si basa sulla vecchia versione della guida senza supporto ad EAP-TLS e senza fix per il natting su ipsec lo script di @FrancYescO dovrebbe funzionare a patto di recuperare pacchetti adeguati al tuo device. Io non ho condiviso quelli che ho compilato perch dovrebbero essere analoghi a quelli che sono qui: https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/ se cos non fosse dimmelo e ti mando i miei.
Strongswan serve a fare il setup deile policy ipsec,  che sia pura IPsec IKEv1+xauth, che sia pura IPsec IKEv2+EAP, o che sia L2TP su IPsec strongswan serve sempre, l'unica differenza che in quest'ultimo caso ti serve anche il demone l2tp da farci passare sopra.

Offline AnanasExpress

  • Nuovo Iscritto
  • *
  • 7
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #34 il: 26 Novembre 2019, 13:28 »
@AnanasExpress ma l'installazione, come da primo post, ha dato errori?

Nessun errore, ho provato ora a disinstallare e reinstallare

Codice: [Seleziona]
[email protected]:~# opkg remove modgui-vpn
Removing package modgui-vpn from root...
xl2tpd stop ..
[email protected]:~# curl -s https://raw.githubusercontent.com/FrancYescO/sharing_tg789/modgui-vpn/modgui-vpn_1.0-0_all.ipk -o /tmp/modgui-vpn_1.0-0_all.ipk
[email protected]:~# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Installing modgui-vpn (1.0-0) to root...
Configuring modgui-vpn.
[email protected]:~# rm /tmp/modgui-vpn_1.0-0_all.ipk
[email protected]:~#

Nessun errore.

Offline FrancYescO

  • Esperto
  • ****
  • 1714
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #35 il: 26 Novembre 2019, 14:55 »
ok immagino senza GUI bisogna andare a mettere anche le regole nel file /etc/config/web..

Offline a1pollo

  • Membro Giovane
  • **
  • 61
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #36 il: 26 Novembre 2019, 21:56 »
@LuKePicci, ciao si io utilizzo quei feed e quelli di BoLaMN, strongswan lo installa e sembra tutto ok ,infatti da luci il servizio e' attivo, ma non riesco a connettermi, i due script di FrancYescO li ho provati per capire che pacchetti metteva differentemente da quelli 1.1.0, e per capire il funzionamento, e posso dire che comunque ha fatto un ottimo lavoro, a prescindere dal non funzionamento sul 4131.
Questo quando faccio ipsec restart:

Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] attr-sql plugin: database URI not set
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG]   loaded ca certificate "C=US, O=bla, CN=blaa" from '/etc/ipsec.d/cacerts/caCert.pem'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loading secrets from '/etc/ipsec.secrets'# qui ho messo test test(per prova)
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG]   loaded RSA private key from '/etc/ipsec.d/private/serverKey.pem'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG]   loaded EAP secret for test
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] sql plugin: database URI not set
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loaded 0 RADIUS server configurations
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] HA config misses local/remote address
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] coupling file path unspecified
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[LIB] loaded plugins: charon test-vectors ldap pkcs11 aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp agent xcbc cmac hmac ctr ccm gcm curl mysql sqlite attr kernel-netlink resolve socket-default farp stroke smp updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic xauth-eap dhcp whitelist led duplicheck uci addrblock uniTue Nov 26 21:42:26 2019 daemon.info syslog: 00[JOB] spawning 16 worker threads
Tue Nov 26 21:42:26 2019 authpriv.info ipsec_starter[29161]: charon (29162) started after 420 ms
Tue Nov 26 21:42:26 2019 daemon.info syslog: 02[CFG] received stroke: add connection 'roadwarrior'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 02[CFG]   loaded certificate "C=US, O=bla, CN=mio ip" from 'serverCert.pem'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 02[CFG]   loaded certificate "C=US, O=bla, CN=blaa" from 'clientCert.pem'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 02[CFG]   id '%any' not confirmed by certificate, defaulting to 'C=US, O=bla, CN=blaa'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 02[CFG] added configuration 'roadwarrior'

il servizio e' up? non riesco ad entrare con android

ps. non riesco ad usare i bb code   O:-) O:-)

« Ultima modifica: 26 Novembre 2019, 22:10 da a1pollo »

Offline LuKePicci

  • Esperto
  • ****
  • 1412
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #37 il: 26 Novembre 2019, 23:45 »
Si il servizio up. Ora ammesso che la config per roadwarrior sia a posto sta tutto nella configurazione del client. La guida di riferimento per il setup questa: https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior

Per debuggare devi tenere aperto un logread -f e tentare la connessione. Prenditi dalla guida sia il fix al nat che le istruzioni per configurare android in PUBKEY.

Offline a1pollo

  • Membro Giovane
  • **
  • 61
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #38 il: 27 Novembre 2019, 23:27 »
@LuKePicci, ciao ancora io,scusami ancora, ma con le mie competenze non riesco ad andare oltre.
Ho ip pubblico

Wed Nov 27 22:58:11 2019 daemon.info syslog: 07[NET] received packet: from 37.163.232.13[55686] to mio ip[500] (336 bytes)
Wed Nov 27 22:58:11 2019 daemon.info syslog: 07[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Wed Nov 27 22:58:11 2019 daemon.info syslog: 07[IKE] 37.163.232.13 is initiating an IKE_SA
Wed Nov 27 22:58:11 2019 authpriv.info syslog: 07[IKE] 37.163.232.13 is initiating an IKE_SA
Wed Nov 27 22:58:11 2019 daemon.info syslog: 07[IKE] remote host is behind NAT
Wed Nov 27 22:58:11 2019 daemon.info syslog: 07[IKE] sending cert request for "C=US, O=bla, CN=bla2"
Wed Nov 27 22:58:11 2019 daemon.info syslog: 07[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(MULT_AUTH) ]
Wed Nov 27 22:58:11 2019 daemon.info syslog: 07[NET] sending packet: from mio ip[500] to 37.163.232.13[55686] (353 bytes)
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[NET] received packet: from 37.163.232.13[55687] to mio ip[4500] (1488 bytes)
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] received cert request for "C=US, O=bla, CN=bla2"
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] received end entity cert "C=US, O=bla, CN=bla1"
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] looking for peer configs matching mio ip[%any]...37.163.232.13[C=US, O=bla, CN=bla1]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] selected peer config 'roadwarriorPUBKEY'
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG]   using trusted ca certificate "C=US, O=bla, CN=bla2"
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] checking certificate status of "C=US, O=bla, CN=bla1"
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] certificate status is not available
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG]   reached self-signed root ca with a path length of 0
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG]   using trusted certificate "C=US, O=bla, CN=bla1"
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] authentication of 'C=US, O=bla, CN=bla1' with RSA_EMSA_PKCS1_SHA256 successful
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] peer supports MOBIKE
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] authentication of 'mio ip' (myself) with RSA_EMSA_PKCS1_SHA256 successful
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] IKE_SA roadwarriorPUBKEY[6] established between mio ip[mio ip]...37.163.232.13[C=US, O=bla, CN=bla1]
Wed Nov 27 22:58:12 2019 authpriv.info syslog: 04[IKE] IKE_SA roadwarriorPUBKEY[6] established between mio ip[mio ip]...37.163.232.13[C=US, O=bla, CN=bla1]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] scheduling reauthentication in 10097s
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] maximum IKE_SA lifetime 10637s
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] sending end entity cert "C=US, O=bla, CN=mio ip"
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] peer requested virtual IP %any
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] reassigning offline lease to 'C=US, O=bla, CN=bla1'
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] assigning virtual IP 10.0.1.1 to peer 'C=US, O=bla, CN=bla1'
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] peer requested virtual IP %any6
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] no virtual IP found for %any6 requested by 'C=US, O=bla, CN=bla1'
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] configured proposals: ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/BLOWFISH_CBC_256/HMAC_SHA1_96/AES_XCBC_96/HMAC_MD5_96/NO_EXT_SEQ
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] no acceptable proposal found
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] failed to establish CHILD_SA, keeping IKE_SA
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR) N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(NO_PROP) ]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[NET] sending packet: from mio ip[4500] to 37.163.232.13[55687] (1360 bytes)
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[NET] received packet: from 37.163.232.13[55687] to mio ip[4500] (80 bytes)
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[ENC] parsed INFORMATIONAL request 2 [ D ]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[IKE] received DELETE for IKE_SA roadwarriorPUBKEY[6]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[IKE] deleting IKE_SA roadwarriorPUBKEY[6] between mio ip[mio ip]...37.163.232.13[C=US, O=bla, CN=bla1]
Wed Nov 27 22:58:12 2019 authpriv.info syslog: 05[IKE] deleting IKE_SA roadwarriorPUBKEY[6] between mio ip[mio ip]...37.163.232.13[C=US, O=bla, CN=bla1]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[IKE] IKE_SA deleted
Wed Nov 27 22:58:12 2019 authpriv.info syslog: 05[IKE] IKE_SA deleted
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[ENC] generating INFORMATIONAL response 2 [ ]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[NET] sending packet: from mio ip[4500] to 37.163.232.13[55687] (80 bytes)
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[CFG] lease 10.0.1.1 by 'C=US, O=bla, CN=bla1' went offline
Wed Nov 27 22:58:19 2019 daemon.warn odhcpd[3489]: A default route is present but there is no public prefix on wl0_2 thus we don't announce a default route!

Questo il mio ipsec.conf

config setup

conn %default
 keyexchange=ikev2

conn roadwarriorPUBKEY
 left=%any
 leftauth=pubkey
 leftcert=serverCert.pem
 leftid=il mio ip
 leftsubnet=0.0.0.0/0,::/0
 #leftsendcert=always
 right=%any
 rightsourceip=10.0.1.0/24
 rightauth=pubkey
 rightcert=clientCert.pem
 #rightauth2=eap-mschapv2
 eap_identity=%identity
 auto=add


Su firewall e firewall user ho copiato da guida

Offline LuKePicci

  • Esperto
  • ****
  • 1412
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #39 il: 27 Novembre 2019, 23:44 »
Perch hai lasciato rightsourceip=10.0.1.0/24 ?

Comunque, il tuo problema la ciphersuite selezionata dal client, prova a rilassarne i requisiti o cerca di capire per quale motivo strongswan non la supporta. Ad occhio sembra mancare il supporto a sha2 e famiglia, verifica che non ci fosse da installare qualche altro pacchetto tipo strongswan-mod-sha2, e comunque tra quelle che hai installato ce ne sono alcune davvero inguardabili, devo assolutamente aggiungere a quella guida gli step necessari a disabilitarle.
« Ultima modifica: 27 Novembre 2019, 23:53 da LuKePicci »

Offline a1pollo

  • Membro Giovane
  • **
  • 61
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #40 il: 28 Novembre 2019, 07:28 »
@ LuKePicci, ieri sera ho rimosso strongswan poi l'ho reinstallato con questi problemi:
da luci installo strongswan, installa solo strongswan e null'altro. :facepalm:
Sempre da luci installo strongswan-default,ok lo installa, decido quindi di generare certificati e chiavi con copia incolla quelli della guida, errori: non genera. :facepalm:
Mi dico evvero nella guida c'e' scritto di installare strongswan-full, e ok installa tutto quanto,ma di generare chiavi e certificati niente, quindi lascio perdere e rimetto quelli generati in precedenza, qui non so cosa sbaglio.(Ho creato una macchina virtuale Ubuntu in precedenza per generarli).Quindi lascio i pacchetti cosi' come sono.
Ho pensato di nn discostarmi dalla guida:
Il pacchetto strongswan-mod-sha2 e' presente.
Perch hai lasciato rightsourceip=10.0.1.0/24 ?
Pensavo che charon funzionasse tipo demone e che assegnasse quella classe di indirizzi alle connessioni al di fuori della mia lan,per poi potervi accedere.
Dovrei mettere quelli della mia lan 192.168.1.1? e modificare anche strongswan.conf?

Offline LuKePicci

  • Esperto
  • ****
  • 1412
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #41 il: 28 Novembre 2019, 14:27 »
Pensavi bene, ti chiedevo solo perch hai preferito lasciare i client vpn su quella subnet rispetto a fargli assegnare indirizzi dal dhcp, insomma volevo essere sicuro tu avessi fatto una scelta oculata e non avessi lasciato l i valori di default a caso.


La situazione in cui eri prima mi sembrava corretta tranne per la mancanza di quella ciphersuite. Magari vediamo anche di scoprire se di norma ad esempio anche me quelle ciphersuite mancano, tu intanto cerca di tornare al punto in cui eri prima.

Offline a1pollo

  • Membro Giovane
  • **
  • 61
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #42 il: 28 Novembre 2019, 16:31 »
@LuKePicci, mi chiedo ancora perche' col gateway non riesco a generare i certificati e le chiavi, ho pensato che fosse a causa dei due pacchetti libopenssl e openssl utils presi dai feed di BoLaMN allora li ho sostituiti con quelli di roleo 1.1.0, ma non funziona lo stesso non genera.
Per le mie prove ho messo in rete disabilitando il dhcp il mio vecchio td-w8970 openwrt, ho installato il pacchetto strongswan-full e ho generato chiavi e certificati, poiche' lo spazio e' veramente piccolo l'ho disinstallato, poi l'ho reinstallato e anche li non ne vuol sapere di generare certificati e chiavi.
Di quali pacchetti ho bisogno per generare?
questi sono presenti sul gateway:

iptables-mod-ipsec    1.4.21-2 ------ sui feed di roleo c'e' una versione 1.6 la aggiorno?
kmod-ipsec            3.4.11-1
kmod-ipsec4    3.4.11-1
kmod-ipsec6    3.4.11-1
kmod-ipt-ipsec    3.4.11-1



Ma come hai fatto a compilarti i tuoi pacchetti senza sorgenti?

Offline LuKePicci

  • Esperto
  • ****
  • 1412
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #43 il: 28 Novembre 2019, 17:16 »
Ma si che ci sono i sorgenti, ci sono quelli che bastano a compilare quello che serve, e manca qualche script per usare i loro toolchain con due click ma a compilare si compila. Poi se i pacchetti nemmeno dipendono dal kernel o da parti che non sappiamo come sono fatte a che vuoi che servano i sorgenti di quei pezzi? Quando compili driver tun finisci col modulo che ti manda il router in kernel panic ma se devi solo compilare un demon IKEv2 sapendo che nel kernel ci sono i pezzi che servono vai dritto alla meta senza altre pippe

Sinceramente non mi ricordo come ho generato i certificati. Potrei averlo fatto sul pc e solo dopo aver capito come riuscirci anche sul device. Ma quelli che avevi generato tu andavano quasi sicuramente bene, non era l il problema.

Riguardo i pacchetti da installare, avevo selezionato manualmente tutti quelli inclusi in strongswan-full e loro dipendenze meno alcuni che ero sicuro non servissero a nulla e loro esclusive dipendenze. Se vuoi divertirti a confrontare uno alla volt ai pacchetti che ho io con quelli che hai tu qui c' la mia lista: https://pastebin.com/UD04z3by

Offline larsen64it

  • Esperto
  • ****
  • 1347
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #44 il: 28 Novembre 2019, 18:29 »
Prova veloce se libopenssl genera le chiavi

Codice: [Seleziona]
#!/bin/sh

vpnclientName="myvpnclient"
orgName="Technicolor"
caName="CATechnicolor"
ddns_domain="dyndns.it"

bit_rsa="1024" ## 1024 / 2048 / 4096

## authority cert

openssl req -new -x509 -days 3650 \
-newkey rsa:$bit_rsa -nodes \
-subj "/C=US/O=$orgName/CN=$caName" \
-keyout caKey.pem -out caCert.pem

## vpn server cert

openssl req -new -newkey rsa:$bit_rsa -nodes \
-subj "/C=US/O=$orgName/CN=$ddns_domain" \
-keyout serverKey.pem -out serverCert.pem

cat << EOF >> confile
[req_ext]
subjectAltName = DNS:$ddns_domain
extendedKeyUsage = 1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.8.2.2
EOF

openssl x509 -req -in serverCert.pem -days 1095 \
-CA caCert.pem -CAkey caKey.pem -CAcreateserial \
-out serverCert.pem  \
-extensions req_ext -extfile confile

## user cert

openssl req -new -newkey rsa:$bit_rsa -nodes \
-subj "/C=US/O=$orgName/CN=$vpnclientName" \
-keyout clientKey.pem -out clientCert.pem

openssl x509 -req -in clientCert.pem  -days 1095 \
-CA caCert.pem -CAkey caKey.pem -CAcreateserial \
-out clientCert.pem