[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x

LuKePicci · « **Risposta #45 il:** 28 Novembre 2019, 22:53 »

strongswan ha un suo tool "ipsec" per generare le chiavi, la guida ne fa uso (e poi fa anche uso di openssl pi� avanti), ma non sono per nulla convinto usasse openssl

larsen64it · « **Risposta #46 il:** 29 Novembre 2019, 04:10 »

Non � roba mia, non arrivo a tanto:
http://arons.github.io/hack/ipsec/vpn/ssl/2014/03/28/ipsec.html
https://serverfault.com/questions/906748/openssl-equivalent-of-libreswan-ipsec

a1pollo · « **Risposta #47 il:** 29 Novembre 2019, 07:44 »

@larsen64it, ciao si il tool da te postato le genera, non genera il file .p12, lo avevo gia' provato su macchina virtuale ubuntu. Io mi chiedo per generare le chiavi sul 4131 come da guida strongswan di quali pacchetti ho bisogno? qui entrano in gioco le libopenssl che nei vari feed sono differenti, e che quando le sostituisco mi danno altri problemi.
Installando la piastrella L2TP/IPSec le chiavi me le ha generate!!!! strongswan-pki non e' nei feed

larsen64it · « **Risposta #48 il:** 29 Novembre 2019, 09:12 »

Guardando qua i file p.12 sono un container generato da openssl.
https://wiki.strongswan.org/projects/strongswan/wiki/SimpleCA

Citazione

Installando la piastrella L2TP/IPSec le chiavi me le ha generate!!!!

Guardando la piastrella richiede xl2tpd, strongswan-default come dipendenze. strongswan-default non ha tra le dipendenze strongswan-pki.
https://openwrt.org/packages/pkgdata/strongswan-default

a1pollo · « **Risposta #49 il:** 29 Novembre 2019, 09:44 »

Si e' l'Unione di pi� certificati, per praticit�, su Android piazzo quello, e l'app strongswan lo ritrova sui settings.
Io sto combattento contro il "guerriero della strada", ma quello mi si � piazzato di fronte e non vuol saperne di farmi passare!!

larsen64it · « **Risposta #50 il:** 29 Novembre 2019, 10:01 »

La domanda sorge spontanea oltre Luke c'� qualcuno che lo ha installato e usato con successo sul dga4131? Se s� con quali repo.

a1pollo · « **Risposta #51 il:** 29 Novembre 2019, 10:32 »

Con quelli di roleo 1.1.0 li installa, ed il servizio viene avviato, strongswan-full, legge i certificati, e che proprio non mi fa entrare, ieri avevo anche problemi che ora non ricordo bene tipo Ash ....,sono fuori casa, li ho annotati su un TXT, ho cambiato le libopenssl le ho messe uguali a LuKe, ma mi hanno dato altri problemi, infatti stamattina il WiFi non si avviava , quindi gi� di reset completo, per fortuna non l'ho ancora briccato!!

larsen64it · « **Risposta #52 il:** 29 Novembre 2019, 10:42 »

Il problema credo che i 1.1.0 abbiano dei problemi con il 4131 anche luci si installa ma non funziona, se fossero stati compilati sui vecchi agtef o quelli di BoLaMN, a naso forse sarebbe stato meglio, ma ignoro le differenze.

a1pollo · « **Risposta #53 il:** 29 Novembre 2019, 11:04 »

Scusami ho sbagliato in alto, i certificati me li ha generato quando ho messo il file .sh creato da Francyesco dove appunto menzionava strongswan-pki nell' installazione, forse avevo messo anche i suoi feed e anche quelli di openwrt,ed installato le libopenssl, di quei feed.
Ora non ricordo pi� per� potrei riprovare, giusto per capire e che poi creo un sacco di confusione.

Io opero in questo modo: mi creo un TXT e appunto quello che faccio, con gli errori, ma poi quando vedo che ci� non � fattibile lo elimino e scrivo la non fattibilita' su un altro TXT che utilizzo quando riparto da un reset completo, per reinstallare ansuel gui, luci e il resto.

LuKePicci · « **Risposta #54 il:** 29 Novembre 2019, 15:13 »

Esatto. Il problema � che roleo ba aggiornato libopenssl nelle sue repo e quindi usandole si spacca un po' tutto.

Provate a prendere quello che vi serve dalle repo di BoLaMN o ditemelo e vi condivido lo zip con quelli compilati da me.

larsen64it · « **Risposta #55 il:** 29 Novembre 2019, 16:08 »

Non so se risolve ma io luci avevo usato questi repo misti:

Codice: [Seleziona]

dest root /
dest ram /tmp
lists_dir ext /var/opkg-lists
option overlay_root /overlay
src/gz base https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/base
src/gz luci https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/luci
#src/gz management https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/management
#src/gz packages https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/packages
src/gz routing https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/routing
#src/gz telephony https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/telephony

#src/gz base https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base
#src/gz luci https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/luci
src/gz management https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/management
src/gz packages https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/packages
#src/gz routing https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/routing
src/gz telephony https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/telephony

a1pollo · « **Risposta #56 il:** 29 Novembre 2019, 23:55 »

Codice: [Seleziona]

roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/
 libopenssl_1.0.2q-2_brcm63xx-tch.ipk     734
 openssl-util_1.0.2q-2_brcm63xx-tch.ipk   229
 ca-certificates_20161130+nmu1_all.ipk
 wget_1.17.1-1_brcm63xx-tch.ipk

roleo/public/agtef/1.1.0/brcm63xx-tch.old/packages/base/
 libopenssl_1.0.2q-2_brcm63xx-tch.ipk     734
 openssl-util_1.0.2q-2_brcm63xx-tch.ipk   229
 ca-certificates_20161130+nmu1_all.ipk
 wget_1.17.1-1_brcm63xx-tch.ipk

roleo/public/agtef/brcm63xx-tch/packages/base/
 libopenssl_1.0.2n-1_brcm63xx-tch.ipk     737
 openssl-util_1.0.2n-1_brcm63xx-tch.ipk   229
 ca-certificates_20161130+nmu1_all.ipk
 wget_1.17.1-1_brcm63xx-tch.ipk

http/141.54.159.13/brcm63xx-tch/packages/base (dovrebbe essere la copia di BoLaMN)
 libopenssl_1.0.2n-1_brcm63xx-tch.ipk     737
 openssl-util_1.0.2n-1_brcm63xx-tch.ipk   229
 ca-certificates_20161130+nmu1_all.ipk
 wget_1.17.1-1_brcm63xx-tch.ipk

http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/generic/packages/base/
 libopenssl_1.0.2g-1_brcm63xx-tch.ipk     670
 openssl-util_1.0.2g-1_brcm63xx-tch.ipk   191
 ca-certificates_20150426_brcm63xx.ipk
 wget_1.17.1-1_brcm63xx.ipk

FrancYescO/789vacv2_opkg/tree/master/base
 libopenssl_1.0.2g-1_brcm63xx-tch.ipk     670
 openssl-util_1.0.2g-1_brcm63xx-tch.ipk   191
 ca-certificates_20150426_brcm63xx-tch.ipk
 wget_1.16.3-1_brcm63xx-tch.ipk

I numeri sono la dimensione,libopenssl e openssl-util sono sempre accoppiati,io spesso li avevo differenti,
ha ragione LuKe,roleo 1.1.0 prima aveva sia n che q,infatti sul mio txt avevo segnato n come non piu' esistente.

a1pollo · « **Risposta #57 il:** 30 Novembre 2019, 07:58 »

I certificati sono riuscito a generarli:

Installate openssl-util e libopenssl di BoLaMN sul router ossia 1.0.2n-1
Bisogna fare un bel reboot del router altrimenti da' questi errori sia generando le chiavi che facendo un restart di ipsec:

opening AF_ALG socket failed: Address family not supported by protocol

Dopo il riavvio gli errori non ci sono piu' errori, e genera le chiavi e i certificati come da guida, e anche velocemente!

a1pollo · « **Risposta #58 il:** 01 Dicembre 2019, 08:26 »

@LuKePicci
Io non sono ancora riuscito ad avere una connessione, non capisco cosa sbaglio.
Ho confrontato i pacchetti di strongswan miei con i tuoi e sono identici strongswan-full, ossia tutti.
Ho fatto un sacco di prove, modificando ipsec.
Questa configurazione ora:

Codice: [Seleziona]

config setup

conn %default
 keyexchange=ikev2

conn roadwarriorPUBKEY
 left=%any

La configurazione e' cosi' come la vedi, anche il log ho solo messo" il mio ip",al posto dell ip pubblico.

Codice: [Seleziona]

 leftauth=pubkey
 leftcert=serverCert.pem
 leftid=xxx.dyndns.org
 leftsubnet=0.0.0.0/0,::/0
 #leftsendcert=always
 right=%any
 rightsourceip=10.0.1.0/24
 rightauth=pubkey
 rightcert=clientCert.pem
 #rightid="C=DE, O=xxx, CN=client"
 #rightauth2=eap-mschapv2
 #eap_identity=%any
 eap_identity=%identity
 auto=add

ipsec.secrets:

# /etc/ipsec.secrets - strongSwan IPsec secrets file
 : RSA serverKey.pem 
 guerriero : EAP "warrior"

log

Codice: [Seleziona]

Sun Dec  1 08:18:57 2019 daemon.info syslog: 01[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Dec  1 08:18:57 2019 daemon.info syslog: 01[IKE] 37.160.138.117 is initiating an IKE_SA
Sun Dec  1 08:18:57 2019 authpriv.info syslog: 01[IKE] 37.160.138.117 is initiating an IKE_SA
Sun Dec  1 08:18:57 2019 daemon.info syslog: 01[IKE] remote host is behind NAT
Sun Dec  1 08:18:57 2019 daemon.info syslog: 01[IKE] sending cert request for "C=DE, O=xxx, CN=xxxx"
Sun Dec  1 08:18:57 2019 daemon.info syslog: 01[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(MULT_AUTH) ]
Sun Dec  1 08:18:57 2019 daemon.info syslog: 01[NET] sending packet: from il mio ip[500] to 37.160.138.117[37872] (353 bytes)
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[NET] received packet: from 37.160.138.117[37873] to il mio ip[4500] (1456 bytes)
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) N(AUTH_FOLLOWS) ]
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[IKE] received cert request for "C=DE, O=xxx, CN=xxxx"
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[IKE] received end entity cert "C=DE, O=xxx, CN=client"
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[CFG] looking for peer configs matching il mio ip[%any]...37.160.138.117[C=DE, O=xxx, CN=client]
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[CFG] selected peer config 'roadwarriorPUBKEY'
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[CFG]   using trusted ca certificate "C=DE, O=xxx, CN=xxxx"
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[CFG] checking certificate status of "C=DE, O=xxx, CN=client"
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[CFG] certificate status is not available
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[CFG]   reached self-signed root ca with a path length of 0
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[CFG]   using trusted certificate "C=DE, O=xxx, CN=client"
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[IKE] authentication of 'C=DE, O=xxx, CN=client' with RSA_EMSA_PKCS1_SHA256 successful
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[IKE] peer supports MOBIKE
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[IKE] authentication of 'xxx.dyndns.org' (myself) with RSA_EMSA_PKCS1_SHA256 successful
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[IKE] sending end entity cert "C=DE, O=xxx, CN=xxx.dyndns.org"
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH ]
Sun Dec  1 08:18:57 2019 daemon.info syslog: 16[NET] sending packet: from il mio ip[4500] to 37.160.138.117[37873] (1216 bytes)
Sun Dec  1 08:18:57 2019 daemon.info syslog: 14[NET] received packet: from 37.160.138.117[37873] to il mio ip[4500] (96 bytes)
Sun Dec  1 08:18:57 2019 daemon.info syslog: 14[ENC] parsed IKE_AUTH request 2 [ IDi ]
Sun Dec  1 08:18:57 2019 daemon.info syslog: 14[IKE] peer requested EAP, config inacceptable
Sun Dec  1 08:18:57 2019 daemon.info syslog: 14[CFG] no alternative config found
Sun Dec  1 08:18:57 2019 daemon.info syslog: 14[ENC] generating IKE_AUTH response 2 [ N(AUTH_FAILED) ]
Sun Dec  1 08:18:57 2019 daemon.info syslog: 14[NET] sending packet: from il mio ip[4500] to 37.160.138.117[37873] (80 bytes)

La modifica modprobe $m || :, l'ho fatta.

LuKePicci · « **Risposta #59 il:** 01 Dicembre 2019, 12:18 »

Ora va molto meglio rispetto all'altra volta quando non avevi le ciphersuite. Non toccare pi� i pacchetti.

Il log � molto esplicito. L'autenticazione via certificato � a posto, non toccarli ulteriormente.

Codice: [Seleziona]

authentication of 'C=DE, O=xxx, CN=client' with RSA_EMSA_PKCS1_SHA256 successful
Ora hai solo un problema di configurazione: il tuo client sta richiedendo di autenticarsi tramite EAP:

Codice: [Seleziona]

peer requested EAP, config inacceptable
Ora, siccome la config proposta sulla wiki di openwrt pu� supportare (cos� com'� supporta contemporaneamente solo le due in grassetto):
-solo certificati
-EAP(certificati o password)
-certificati + EAP(certificati o password)

tu mi devi dire esattamente quale hai scelto e quale client vuoi usare e come l'hai configurato, altrimenti dirti "disabilita EAP sul client" potrebbe non corrispondere a quello che vuoi fare tu.

[GUIDA] xl2tpd/strongSwan per VPN L2TP/IPsec su DGA413x/TG78x

LuKePicci

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x

larsen64it

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x

a1pollo

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x

larsen64it

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x

a1pollo

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x

larsen64it

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x

a1pollo

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x

larsen64it

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x

a1pollo

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x

LuKePicci

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x

larsen64it

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x

a1pollo

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x

a1pollo

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x

a1pollo

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x

LuKePicci

Re:[Testing] VPN L2TP/IPSec DGA413x/TG78x