[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

  • 249 Risposte
  • 39522 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline lorenzocanalelc

  • Esperto
  • ****
  • 673
  • Sesso: Maschio
[GUIDA] strongSwan per IPsec su OpenWrt e Homeware
« il: 19 Agosto 2019, 12:30 »
@LuKePicci Posso chiederti di scrivere una guida completa su installazione e setup di strongswan? Ovviamente senza alcuna fretta e senza alcunissimo impegno, libero di rispondermi anche di no  O:-)
« Ultima modifica: 16 Marzo 2020, 15:42 da LuKePicci »

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2789
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #1 il: 19 Agosto 2019, 13:53 »
Per quello che occorre a te, serve un setup di tipo roadwarrior, preferibilmente in IKEv2, con autenticazione a scelta tra:
basata su EAP (password MS-CHAPv2 o certificati TLS),  basata su certificati, o entrambi.

La guida è quella sulla wiki di openwrt, non l'ho scritta io ma gli ho dato qualche sistemata un po' di tempo fa. I pacchetti li devi prendere dalle giuste repo per il tuo technicolor

Alternativamente ad IKEv2 che è sicuramente raccomandabile perchè funziona meglio, se hai problemi di compatibilità con altri dispositivi, sempre consultando le guide che trovi sulla wiki openwrt, puoi impostare strongSwan per funzionare in semplice IKEv1 (solitamente con autenticazione xauth, soprannominata a volte semplicemente "IPsec" da iOS, FritzBox, ProSafe, ecc.), oppure in abbinamento ad L2TP (comunemente nota come "L2TP/IPsec")
« Ultima modifica: 16 Novembre 2021, 01:43 da LuKePicci »

Offline lorenzocanalelc

  • Esperto
  • ****
  • 673
  • Sesso: Maschio
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #2 il: 19 Agosto 2019, 14:19 »
Ah perfetto allora, grazie  :clap:

Offline lucash78

  • Nuovo Iscritto
  • *
  • 49
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #3 il: 11 Settembre 2019, 17:30 »
Grazie per la risposta esaustiva, magari farò un tentativo. Ero felicissimo di essermi liberato della VSR, peccato per la vpn che la VSR aveva.


Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2789
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #4 il: 11 Settembre 2019, 17:42 »
Leggi qualche pagina più indietro, come ho detto dovrebbe essere invece possibile far girare strongswan in IKEv2 senza aggiungere alcun driver: https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior
Io ci sono riuscito sul dga4131 di fastweb ma sul tg789vac v2 penso sia uguale (prestazioni a parte). Se i pacchetti di strongswan mancano dal repo di roleo per mips, prendili a mano dal repo ufficiale forzandone l'installazione https://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp

Offline lucash78

  • Nuovo Iscritto
  • *
  • 49
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #5 il: 11 Settembre 2019, 17:48 »
Ho letto tutto il thread ma mi ero perso questo particolare! Grazie, proverò.

Offline lorenzocanalelc

  • Esperto
  • ****
  • 673
  • Sesso: Maschio
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #6 il: 11 Settembre 2019, 18:40 »
@lucash78 Ti confermo che io uso senza problemi strongswan su Tg789vac v2 con Firmware UNO l'ho installato dalla Repo di FrancYescO https://github.com/FrancYescO/789vacv2_opkg. Tra l'altro sempre @FrancYescO ha fatto anche uno script per l'installazione automatica (A patto di aver configurato correttamente i feed) https://github.com/FrancYescO/sharing_tg789/blob/strongswan/setup.sh
« Ultima modifica: 11 Settembre 2019, 18:42 da lorenzocanalelc »

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2789
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #7 il: 11 Settembre 2019, 23:15 »
Quanto regge il piccolino?

Offline lorenzocanalelc

  • Esperto
  • ****
  • 673
  • Sesso: Maschio
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #8 il: 12 Settembre 2019, 00:08 »
@LuKePicci Breve storia triste: ho una ADSL... Sicuramente 1 Mega lo regge  :rotfl:

Offline FrancYescO

  • VIP
  • *****
  • 3382
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #9 il: 12 Settembre 2019, 03:34 »
Direi che anche lui se la cava benone, forse anche troppo rapportato ai fratelli maggiori


Backlog:
-L'installazione l'ho fatta su firmware tiscali, non so nemmeno io perche'
-i feed usati sono quelli postati poco sopra, con anche "la patch" per usare quelli di openwrt ufficiali, ho dovuto preventivamente installare openssl altrimenti opkg non riusciva ad aggiornare i feed
-ho dovuto dare un "opkg remove --force-depends ip-full" altrimenti andava in conflitto con ip che tentava di installare (--force-depends perche' lo voleva mwan e me ne sono fregato)
-il comando ip comunque non funziona sul 789, motivo per cui ho dovuto mettere a mano l'indirizzo ip dhcp di broadcast in /etc/strongswan.d/charon/dhcp.conf (lo script che avevo fatto si basava su quello)
-dato che mi/gli voglio male tutti i certificati li ha generati lui in circa 20min
-avevo IPv6 abilitato nella LAN sul modem e per qualche motivo mi falliva l'handshake, appena disattivato subito si e' connesso dal client
-lo spazio occupato da tutto l'accrocchio e' circa 1,3MB

Offline larsen64it

  • VIP
  • *****
  • 2693
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #10 il: 12 Settembre 2019, 07:27 »
@FrancYescO Ottimo lavoro.
Metodo alternativo per generare i certificati usando openssl (da testare). Se funziona, stando a quanto dici tu, è molto più veloce a generare le key.
https://www.ilpuntotecnico.com/forum/index.php/topic,81221.msg254883.html#msg254883
Ip su UNO funziona forse perchè lo hai dovuto sostituire.
Metodo alternativo
Codice: [Seleziona]
ifconfig br-lan | grep Bcast: |cut -c40-54
o
ifconfig br-lan | awk '/inet / {print $3}' | cut -c7-21

« Ultima modifica: 12 Settembre 2019, 09:35 da larsen64it »

Offline lucash78

  • Nuovo Iscritto
  • *
  • 49
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #11 il: 12 Settembre 2019, 08:51 »
@lorenzocanalelc grazie

-il comando ip comunque non funziona sul 789, motivo per cui ho dovuto mettere a mano l'indirizzo ip dhcp di broadcast in /etc/strongswan.d/charon/dhcp.conf (lo script che avevo fatto si basava su quello)

Esattamente cosa intendi? Puoi postare la configurazione in questione? Non viene generata automaticamente dallo script che hai creato?
« Ultima modifica: 12 Settembre 2019, 09:22 da MisterFTTH »

Offline FrancYescO

  • VIP
  • *****
  • 3382
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #12 il: 12 Settembre 2019, 10:05 »
lo script si occupa di tutto ma in quella configurazione troverai una riga "server =" che dovrai far diventare qualcosa tipo "server = 192.168.1.255", oltre all'opkg remove --force-depends ip-full preventivo che non so se è necessario anche con altri firmware

appena mi torna voglia di perdeci tempo su provo a sistemare queste due eccezioni nello script e le alternative alla generazione dei certificati

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2789
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #13 il: 12 Settembre 2019, 10:38 »
Io non ho reinstallato il pacchetto col comando ip, avevo notato che quello di cui aveva bisogno del comando ip c'era già nella versione ridotta di quello già installato sul fastgate. Ovviamente però sul 789 non so come sia la situazione.

Offline lorenzocanalelc

  • Esperto
  • ****
  • 673
  • Sesso: Maschio
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #14 il: 12 Settembre 2019, 11:07 »
Sul firmware UNO ho appena testato e il comando ip funziona senza problemi