[Testing] VPN L2TP/IPSec DGA413x/TG78x

  • 98 Risposte
  • 4109 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline a1pollo

  • Membro Giovane
  • **
  • 61
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #90 il: 05 Dicembre 2019, 18:25 »
Ciao, @LuKePicci, innanzitutto grazie per tutto il lavoraccio che hai fatto per me(e forse per qualcun'altro), a partire dal root,  fino ad ora.
Per la velocita' e' piu' che ottima,non faro' mai streaming. Ho rimesso a posto anche la configurazione del ddns, mi dava errore perche' cercava di autenticarsi in continuazione.Quindi ho rigenerato i certificati con il mio dominio ddns,messi nel posto giusto ed e' tutto ok,ho sostituito anche l'opzione rightca con quella rightcert, cosi' il sistema e' gia' pronto anche per gli altri utenti.

Cit. " E fu' cosi' che il guerriero della strada si arrese e mi fece entrare"  :clap:

Offline guyshi1995

  • Nuovo Iscritto
  • *
  • 16
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #91 il: 09 Febbraio 2020, 23:30 »
Ciao Ragazzi,

sono riuscito ad installare tutto senza problemi. Inizialmente ho provato a collegarmi utilizzando il client VPN integrato in android in modalità PSK, ed ha subito funzionato. Comunque poi ho eseguito lo script setup.sh che alla fine mi ha generato il file .p12 che ho importato in android.
Ho scaricato l'applicazione ( https://play.google.com/store/apps/details?id=org.strongswan.android ) ed ho creato il nuovo profilo ma non riesce a collegarsi. Dai log continuo a leggere

Codice: [Seleziona]
[IKE] establishing IKE_SA failed, peer not responding
[IKE] unable to terminate IKE_SA : ID 3 not found


Dai log router vedo :
Codice: [Seleziona]
un Feb  9 22:21:51 2020 daemon.info ipsec: 09[CFG]   using trusted ca certificate "C=US, O=Technicolor, CN=CATechnicolor"
Sun Feb  9 22:21:51 2020 authpriv.info ipsec: 09[CFG] checking certificate status of "C=US, O=Technicolor, CN=myvpnclient"
Sun Feb  9 22:21:51 2020 daemon.info ipsec: 09[CFG] checking certificate status of "C=US, O=Technicolor, CN=myvpnclient"
Sun Feb  9 22:21:51 2020 authpriv.info ipsec: 09[CFG] certificate status is not available
Sun Feb  9 22:21:51 2020 daemon.info ipsec: 09[CFG] certificate status is not available
Sun Feb  9 22:21:51 2020 authpriv.info ipsec: 09[CFG]   reached self-signed root ca with a path length of 0
Sun Feb  9 22:21:51 2020 daemon.info ipsec: 09[CFG]   reached self-signed root ca with a path length of 0
Sun Feb  9 22:21:51 2020 authpriv.info ipsec: 09[CFG]   using trusted certificate "C=US, O=Technicolor, CN=myvpnclient"
Sun Feb  9 22:21:51 2020 daemon.info ipsec: 09[CFG]   using trusted certificate "C=US, O=Technicolor, CN=myvpnclient"
Sun Feb  9 22:21:51 2020 authpriv.info ipsec: 09[IKE] authentication of 'C=US, O=Technicolor, CN=myvpnclient' with RSA_EMSA_PKCS1_SHA256 successful
Sun Feb  9 22:21:51 2020 daemon.info ipsec: 09[IKE] authentication of 'C=US, O=Technicolor, CN=myvpnclient' with RSA_EMSA_PKCS1_SHA256 successful
Sun Feb  9 22:21:51 2020 authpriv.info ipsec: 09[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sun Feb  9 22:21:51 2020 daemon.info ipsec: 09[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sun Feb  9 22:21:51 2020 authpriv.info ipsec: 09[IKE] peer supports MOBIKE
Sun Feb  9 22:21:51 2020 daemon.info ipsec: 09[IKE] peer supports MOBIKE

Certificate status is not available. Potrebbe essere questo il problema?

Offline LuKePicci

  • Esperto
  • ****
  • 1412
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #92 il: 10 Febbraio 2020, 00:43 »
No, il problema è quello sotto. Hai selezionato "IKEv2 Certificate" sull'app o hai messo qualcos'altro tipo EAP?

Offline guyshi1995

  • Nuovo Iscritto
  • *
  • 16
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #93 il: 10 Febbraio 2020, 00:50 »
In VPN Type seleziono IKEv2 Certificate, ed ho come risultato quei log.
Se invece seleziono "IKEv2 Certificate + EAP (Username e password)" ed inserisco le credenziali contenute nel file /etc/ipsec.secrets, mi restituisce AUTHENTICATION_FAILED notify error

Questo è il mio ipsec.conf:
Codice: [Seleziona]
config setup

conn %default
 keyexchange=ikev2

conn roadwarrior
 left=%any
 leftauth=pubkey
 leftcert=serverCert.pem
 [email protected]
 leftsubnet=0.0.0.0/0,::/0
 right=%any
 [email protected]
 rightsourceip=%dhcp
 rightauth=pubkey
 rightcert=clientCert.pem
 #rightauth2=eap-mschapv2
 auto=add

include /var/ipsec/ipsec.conf
« Ultima modifica: 10 Febbraio 2020, 22:17 da MisterFTTH »

Offline LuKePicci

  • Esperto
  • ****
  • 1412
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #94 il: 10 Febbraio 2020, 01:55 »
Se la config è per sola pubkey è normale che non ti funzioni selezionando "IKEv2 Certificate + EAP" per quello ti servirebbe il secondo round.

Comunque fai sempre riferimento alla guida originale che è più aggiornata: https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior

Offline guyshi1995

  • Nuovo Iscritto
  • *
  • 16
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #95 il: 10 Febbraio 2020, 22:00 »
Niente da fare... alla fine nei log ho questo ma non vuole collegarsi

Codice: [Seleziona]
Mon Feb 10 20:58:02 2020 daemon.info syslog: 14[IKE] received end entity cert "C=US, O=Technicolor, CN=myvpnclient"
Mon Feb 10 20:58:02 2020 daemon.info syslog: 14[CFG] looking for peer configs matching 123.456.789.123[%any]...123.456.789.123[C=US, O=Technicolor, CN=myvpnclient]
Mon Feb 10 20:58:02 2020 daemon.info syslog: 14[CFG] selected peer config 'roadwarriorPUBKEY'
Mon Feb 10 20:58:02 2020 daemon.info syslog: 14[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Mon Feb 10 20:58:02 2020 daemon.info syslog: 14[IKE] peer supports MOBIKE
Mon Feb 10 20:58:02 2020 daemon.info syslog: 14[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Mon Feb 10 20:58:02 2020 daemon.info syslog: 14[NET] sending packet: from 123.456.789.123[4500] to 123.456.789.123[14463] (80 bytes)
« Ultima modifica: 10 Febbraio 2020, 22:17 da MisterFTTH »

Offline LuKePicci

  • Esperto
  • ****
  • 1412
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #96 il: 11 Febbraio 2020, 02:12 »
Ma stai provando a connetterti da remoto vero? Sei sicuro che l'host usato per la config combaci con quello nel certificato? Cos'è quel "@mio.dominio.it" che vedo nella config?
« Ultima modifica: 11 Febbraio 2020, 02:18 da LuKePicci »

Offline a1pollo

  • Membro Giovane
  • **
  • 61
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #97 il: 11 Febbraio 2020, 05:52 »
Devi mettere leftid=il tuo dominio senza @

sulla app :

nome e server il tuo dominio

Offline LuKePicci

  • Esperto
  • ****
  • 1412
Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x
« Risposta #98 il: 11 Febbraio 2020, 12:21 »
Esattamente, o al limite puoi metterci un ip se ce l'hai statico.