[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

  • 107 Risposte
  • 3375 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2120
Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware
« Risposta #105 il: 23 Giugno 2020, 13:47 »
Sto preparando un 4130 da mettere nell'altra casa, mi sono imbattuto in un problema con strongswan quando usato in dhcp con ip della lan. In pratica c' un servizio dosprotect - che credo abbia a che fare col chip wireless 5GHz - che rompe le scatole. La VPN si collegava correttamente ma poi non passava quasi nulla tranne qualche ping. Non ne sono sicuro, ma credo si ricordi i mac address che blocca, infatti provando a connettermi prima in locale e poi in remoto comunque la connessione non funzionava, mentre cambiando mac del client vpn (cio disabilitando identity_lease)  ha preso a funzionare in remoto, ma non in locale. Provo a capire se c' modo di lasciare dosprotect attivo con una configurazione pi opportuna.

PS in aes128 ho toccato i 140Mbit/s

PS2 @FrancYescO niente da fare per wireguard

Offline a1pollo

  • Membro Anziano
  • ***
  • 128
Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware
« Risposta #106 il: 27 Giugno 2020, 07:19 »
"Non ne sono sicuro, ma credo si ricordi i mac address che blocca, infatti provando a connettermi prima in locale e poi in remoto comunque la connessione non funzionava".

Anche a me e' successo un problema simile al tuo, mi trovavo fuori casa al rientro trovo il secondo router (collegato come estensione della lan,) su cui girava il solo il server strongswan, in bootlooop, lo riattivo e niente strongswan non mi fa accedere, riprovo sul primario chiudendo le porte e anche qui' non mi fa' accedere.
Cambio i settaggi da rightsourceip=%dhcp a rightsourceip=192.168.1.120/32 , e riprende a funzionare.
Quindi il problema ha a che fare col dhcp, anche su luci prima vedevo il fake mac con l'indirizzo assegnato, ora non piu'.

PS  Su strongswan possiamo anche configurare l'accensione di un led, usando uno di quelli mappati:
Codice: [Seleziona]
/etc/strongswan.d/charon/led.conf:

led {

    activity_led = ambient1:white

    blink_time = 50 #non lampeggia

    # Whether to load the plugin. Can also be an integer to increase the
    # priority of this plugin.
    load = yes

}

Per la velocita' mi va' in media a 75, anche sul router scarico e con aes128.

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2120
Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware
« Risposta #107 il: 27 Giugno 2020, 08:49 »
Quella cosa del crash subito dopo la connessione (appena inizia a scambiare traffico) me la fa solo con acceleratore hw attivo e se come primo client vpn connetto windows via dhcp. Se prima di lui connetto android (app strongswan, stesso certificato, quindi stessa identity) sempre in dhcp, poi anche windows si connette normalmente. E questo me lo fa sia sul 4131 che sul 4130, non ho per indagato se disattivando identity_lease la cosa cambia. Sospetto ci sia qualche magagna con i mac address dei pacchetti che accelera perch l'SPU non accelera solo la crittografia aes ma tutta la gestione di ESP per IPsec.. Di fatto il mio 4131 fa uptime di qualche mese quando non sto a sperimentare cose nuove, quindi quando mi connetto da fuori casa assai probabile io abbia connesso almeno una volta android prima di quel momento.

Il problema di rpfilter (attivato in dosprotect solo nel 4130/2 e non nel 4131) non ha a che fare col reboot e n con l'acceleratore hw, si presenta solo usando dhcp, semplicemente blocca qualsiasi traffico con sorgente ip di lan che non proviene da interfaccia lan. Ho deciso di poter vivere anche senza rpfilter e l'ho disabilitato.

Invece ho visto che sempre in dosprotect c' un limite ai pacchetti UDP, ho rimosso quelle regole (ora ce l'ho come sono impostati tcp ed esp) e l'upload mi si sbloccato oltre i 10mbit a cui era limitato.