[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

  • 107 Risposte
  • 4445 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline FrancYescO

  • VIP
  • *****
  • 2630
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #15 il: 12 Settembre 2019, 11:31 »
contando che il pacchetto che ho disinstallato si chiamava ip-full direi che aveva qualcosa in pi del normale, ma non so perch la testa in quel momento mi ha detto fregatene e disinstalla :D

Offline larsen64it

  • Esperto
  • ****
  • 1773
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #16 il: 12 Settembre 2019, 13:19 »
 ip-full contiene solo 1 file /usr/sbin/ip appunto e  Depends: libc, libssp, libnl-tiny

Offline lucash78

  • Nuovo Iscritto
  • *
  • 41
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #17 il: 16 Settembre 2019, 18:31 »
Direi che anche lui se la cava benone, forse anche troppo rapportato ai fratelli maggiori

Dopo varie peripezie sono riuscito a collegarmi ma con 2 ma:

1) nel file /etc/ipsec.conf se uso la direttiva rightsourceip=%dhcp non si apre il tunnel; specificando invece un indirizzo ip (ad es. 192.168.11.45/24) il tunnel si apre. Il file /etc/strongswan.d/charon/dhcp.conf cos configurato:
Codice: [Seleziona]
  force_server_address = yes
  load = yes
  server = 192.168.11.1
dove 192.168.11.1 l'indirizzo ip lato lan del router su cui configurato il server dhcp

2) una volta collegato riesco a pingare solo il router e non gli altri hosts della subnet
« Ultima modifica: 17 Settembre 2019, 08:26 da MisterFTTH »

Offline FrancYescO

  • VIP
  • *****
  • 2630
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #18 il: 16 Settembre 2019, 19:14 »
@lucash78 in server= ci va l'indirizzo di broadcast (dove il server DHCP interviene) quindi se sei sulla 192.168.11.0/24 devi inserire 192.168.11.255
« Ultima modifica: 16 Marzo 2020, 12:37 da LuKePicci »

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2196
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #19 il: 17 Settembre 2019, 01:49 »
@lucash78 e force_server_address deve stare su no

Offline lucash78

  • Nuovo Iscritto
  • *
  • 41
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #20 il: 17 Settembre 2019, 08:44 »
@LuKePicci ora funziona anche con dhcp e stando a quanto scritto sulla wiki di strongswan credo debba stare su "yes"
Codice: [Seleziona]
Note: If the DHCP server runs on the same host as the daemon with DHCP plugin, you may need to enable charon.plugins.dhcp.force_server_address
and then set charon.plugins.dhcp.server to the local broadcast address (e.g. 192.168.0.255). That's because some DHCP daemons do not listen on
the loopback interface and, thus, can't be reached via unicast (or even broadcast, 255.255.255.255) from the same host.

Mi rimane sempre il problema degli hosts dietro la vpn, non riesco a raggiungerli. Credo di dover agire su iptables e firewall ma non so come fare, sto cercando di capire.
@FrancYescO  e @lorenzocanalelc anche voi avete problemi di forwarding via vpn oppure vi funziona tutto?
« Ultima modifica: 17 Settembre 2019, 08:56 da lucash78 »

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2196
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #21 il: 17 Settembre 2019, 10:04 »
Quello che hai citato il motivo per cui devi usare l'indirizzo di broadcast, dice di mettere force_server_address perch in questo modo ti restringi a rifiutare qualunque offerta non proveniente dal dhcp server locale implementando sostanzialmente una richiesta unicast. Puoi lasciarlo su yes fintanto che charon e il server dhcp sono sollo stesso router, ma nel caso generale per far si che la configurazione funzioni alla stregua di un vero client in lan, come da normale funzionamento di dhcp, la richiesta deve andare in broadcast e tu devi accettare la prima offerta ricevuta, e questo lo fai lasciando l'opzione su no. Detta diversamente, una policy di restrizione che volendo puoi abilitare nel tuo caso ma non necessaria (a te funziona anche senza) e non generale (a molti non funzionerebbe). Per questo la trovi su no per default.

Il problema al ping che descrivi se ben ricordo fisiologico, non dovresti avere problemi a raggiungere gli altri host con normale traffico di altro tipo. Dipende dal fatto che i client in vpn appaiono al firewall come esistenti su una interfaccia diversa dagli altri (quella degli altri 'lan'), quindi per consentire questo tipo di ping dovresti creare delle regole che acconsentono al transito in entrambe le direzioni. Passi dal firewall ogni volta che vai da una interfaccia ad un'altra. Se dal client remoto fai un ping all'ip del router ottieni regolarmente una risposta perch non vi stai transitando. anche se l'ip quello assegnato all'interfaccia dall'altro lato del firewall.
« Ultima modifica: 17 Settembre 2019, 10:54 da LuKePicci »

Offline lucash78

  • Nuovo Iscritto
  • *
  • 41
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #22 il: 17 Settembre 2019, 10:26 »
@LuKePicci grazie della spiegazione, veramente esauriente, ora ho capito bene il funzionamento della direttiva. Per il traffico purtroppo non solo il ping, anche rdp, http, https ecc ecc non funzionano. Non passa nulla oltre il router

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2196
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #23 il: 17 Settembre 2019, 10:49 »
Questo strano, giusto ieri ho fatto delle prove con un collega e lui era connesso allo stesso modo in vpn e non aveva problemi a raggiungere da fuori un servizio http sul un host locale, e di sicuro non ho implementato nessuna ulteriore regola oltre quelle dette nella wiki.

Offline aezakmi123

  • Membro Anziano
  • ***
  • 196
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #24 il: 17 Settembre 2019, 13:48 »
Sto cercando di installare strongswan su DGA4130 fw AGTEF_2.1.0 ma generando le chiavi d errore building CRED_PRIVATE_KEY - RSA failed, tried 0 builders

Nella guida https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior ho notato che si fa riferimento ad alcuni files/cartelle
non ho la cartella /etc/ipsec.d e dentro /etc/strongswan.d non ho la cartella charon/ ma solo un file pki.conf praticamente vuoto:
Codice: [Seleziona]
pki {
    # Plugins to load in ipsec pki tool.
    # load =
}

Mi manca qualche pacchetto da installare o dovrebbe esserci tutto e sono io ad aver sbagliato qualcosa?

Offline FrancYescO

  • VIP
  • *****
  • 2630
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #25 il: 17 Settembre 2019, 14:22 »
opkg install strongswan-default strongswan-pki tirano giu tutto il necessario

Offline DS-1

  • Membro Anziano
  • ***
  • 273
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #26 il: 18 Settembre 2019, 14:57 »
Su fw 2.1.0, ho eseguito tali comandi da ssh:

Codice: [Seleziona]
opkg update

opkg install strongswan-default strongswan-pki

opkg install openvpn-openssl openssl-util

Ora posso procedere con il resto della guida per la configurazione? Nello specifico, il prossimo passo dovrebbe essere eseguire lo script di generazione delle chiavi.

Scusatemi se chiedo cose su argomenti probabilmente gi affrontati, ma ho letto che la guida in prima pagina, per i fw 2.x.x, diventata obsoleta e dunque non ho capito quali siano precisamente tutti i passi da seguire.
« Ultima modifica: 18 Settembre 2019, 15:07 da DS-1 »

Offline FrancYescO

  • VIP
  • *****
  • 2630
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #27 il: 18 Settembre 2019, 15:34 »
openvpn del primo post per l'esattezza non compatibile dal 2.1.0 in poi sul 2.0.0 dovrebbe andare.

comunque si sta iniziando a fare un po di confusione tra openvpn e strongswan (ad esempio li hai installati entrambi con opkg il che non era richiesto, anzi mi pare che openvpn su firmware >=2.1.0 nella repo causi bootloop)

per strongswan puoi eseguire questo script che ti autoconfigura tutto e ti piazza il certificato per il client in /tmp
Codice: [Seleziona]
curl https://raw.githubusercontent.com/FrancYescO/sharing_tg789/strongswan/setup.sh | sh
sto cercando comunque di raggruppare tutti i pezzi per portare ipsec/xl2tpd che technicolor ha messo di default su alcuni modelli anche sui DGA (funziona tramite PSK e non tramite certificati)

Offline aezakmi123

  • Membro Anziano
  • ***
  • 196
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #28 il: 18 Settembre 2019, 16:49 »
Dopo aver seguito la guida da openwrt.org e sia riprovando oggi eseguendo lo script da github postato sopra non riesco a connettermi. Qualcuno sa come configurare l'app e se solo un errore di configurazione? Questi sono i log del router (sull'app ho provato i due tipi IKEv2 EAP e IKEv2 Certificate + EAP)

Ho importato sul telefono e selezionato il certificato /tmp/myvpnclientCert.p12
App android strongSwan VPN type: IKEv2 EAP (Username/Password)
Codice: [Seleziona]
15[NET] received packet: from 62.19.XXX.X[25120] to 151.41.XXX.XXX[500] (716 bytes)
15[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
15[IKE] 62.19.XXX.X is initiating an IKE_SA
15[IKE] 62.19.XXX.X is initiating an IKE_SA
15[IKE] remote host is behind NAT
15[IKE] DH group ECP_256 inacceptable, requesting MODP_3072
15[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
15[NET] sending packet: from 151.41.XXX.XXX[500] to 62.19.XXX.X[25120] (38 bytes)
06[NET] received packet: from 62.19.XXX.X[25120] to 151.41.XXX.XXX[500] (1036 bytes)
06[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
06[IKE] 62.19.XXX.X is initiating an IKE_SA
06[IKE] 62.19.XXX.X is initiating an IKE_SA
06[IKE] remote host is behind NAT
06[IKE] sending cert request for "C=US, O=Technicolor, CN=CATechnicolor"
06[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
06[NET] sending packet: from 151.41.XXX.XXX[500] to 62.19.XXX.X[25120] (615 bytes)
16[NET] received packet: from 62.19.XXX.X[25077] to 151.41.XXX.XXX[4500] (1364 bytes)
16[ENC] parsed IKE_AUTH request 1 [ EF(1/3) ]
16[ENC] received fragment #1 of 3, waiting for complete IKE message
07[NET] received packet: from 62.19.XXX.X[25077] to 151.41.XXX.XXX[4500] (1364 bytes)
07[ENC] parsed IKE_AUTH request 1 [ EF(2/3) ]
07[ENC] received fragment #2 of 3, waiting for complete IKE message
08[NET] received packet: from 62.19.XXX.X[25077] to 151.41.XXX.XXX[4500] (580 bytes)
08[ENC] parsed IKE_AUTH request 1 [ EF(3/3) ]
08[ENC] received fragment #3 of 3, reassembling fragmented IKE message
08[ENC] parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
08[IKE] received 136 cert requests for an unknown ca
08[CFG] looking for peer configs matching 151.41.XXX.XXX[%any]...62.19.XXX.X[taan]
08[CFG] no matching peer config found
08[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
08[IKE] peer supports MOBIKE
08[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
08[NET] sending packet: from 151.41.XXX.XXX[4500] to 62.19.XXX.X[25077] (80 bytes)


App android strongSwan VPN type: IKEv2 Certificate + EAP (Username/Password)
Codice: [Seleziona]
10[NET] received packet: from 62.19.XXX.X[24800] to 151.41.XXX.XXX[500] (716 bytes)
10[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
10[IKE] 62.19.XXX.X is initiating an IKE_SA
10[IKE] 62.19.XXX.X is initiating an IKE_SA
10[IKE] remote host is behind NAT
10[IKE] DH group ECP_256 inacceptable, requesting MODP_3072
10[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
10[NET] sending packet: from 151.41.XXX.XXX[500] to 62.19.XXX.X[24800] (38 bytes)
11[NET] received packet: from 62.19.XXX.X[24800] to 151.41.XXX.XXX[500] (1036 bytes)
11[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
11[IKE] 62.19.XXX.X is initiating an IKE_SA
11[IKE] 62.19.XXX.X is initiating an IKE_SA
11[IKE] remote host is behind NAT
11[IKE] sending cert request for "C=US, O=Technicolor, CN=CATechnicolor"
11[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
11[NET] sending packet: from 151.41.XXX.XXX[500] to 62.19.XXX.X[24800] (615 bytes)
13[NET] received packet: from 62.19.XXX.X[24733] to 151.41.XXX.XXX[4500] (1364 bytes)
13[ENC] parsed IKE_AUTH request 1 [ EF(1/4) ]
13[ENC] received fragment #1 of 4, waiting for complete IKE message
05[NET] received packet: from 62.19.XXX.X[24733] to 151.41.XXX.XXX[4500] (1364 bytes)
05[ENC] parsed IKE_AUTH request 1 [ EF(2/4) ]
05[ENC] received fragment #2 of 4, waiting for complete IKE message
12[NET] received packet: from 62.19.XXX.X[24733] to 151.41.XXX.XXX[4500] (1364 bytes)
12[ENC] parsed IKE_AUTH request 1 [ EF(3/4) ]
12[ENC] received fragment #3 of 4, waiting for complete IKE message
12[NET] received packet: from 62.19.XXX.X[24733] to 151.41.XXX.XXX[4500] (468 bytes)
12[ENC] parsed IKE_AUTH request 1 [ EF(4/4) ]
12[ENC] received fragment #4 of 4, reassembling fragmented IKE message
12[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) N(AUTH_FOLLOWS) ]
12[IKE] received cert request for "C=US, O=Technicolor, CN=CATechnicolor"
12[IKE] received 136 cert requests for an unknown ca
12[IKE] received end entity cert "C=US, O=Technicolor, CN=myvpnclient"
12[CFG] looking for peer configs matching 151.41.XXX.XXX[%any]...62.19.XXX.X[C=US, O=Technicolor, CN=myvpnclient]
12[CFG] selected peer config 'roadwarrior'
12[CFG]   using trusted ca certificate "C=US, O=Technicolor, CN=CATechnicolor"
12[CFG] checking certificate status of "C=US, O=Technicolor, CN=myvpnclient"
12[CFG] certificate status is not available
12[CFG]   reached self-signed root ca with a path length of 0
12[CFG]   using trusted certificate "C=US, O=Technicolor, CN=myvpnclient"
12[IKE] authentication of 'C=US, O=Technicolor, CN=myvpnclient' with RSA_EMSA_PKCS1_SHA2_256 successful
12[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
12[IKE] peer supports MOBIKE
12[IKE] authentication of 'XXXXX.ddnsking.com' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful
12[IKE] sending end entity cert "C=US, O=Technicolor, CN=XXXXX.ddnsking.com"
12[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH ]
12[NET] sending packet: from 151.41.XXX.XXX[4500] to 62.19.XXX.X[24733] (1248 bytes)
15[NET] received packet: from 62.19.XXX.X[24733] to 151.41.XXX.XXX[4500] (80 bytes)
15[ENC] parsed IKE_AUTH request 2 [ IDi ]
15[IKE] peer requested EAP, config inacceptable
15[CFG] no alternative config found
15[ENC] generating IKE_AUTH response 2 [ N(AUTH_FAILED) ]
15[NET] sending packet: from 151.41.XXX.XXX[4500] to 62.19.XXX.X[24733] (80 bytes)

Offline FrancYescO

  • VIP
  • *****
  • 2630
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #29 il: 18 Settembre 2019, 17:11 »
devi mettere IKEv2 Certificate.