[LuKePicci]

Si puoi ma quel driver mi sta facendo brutti scherzi a seconda del client che uso

[a1pollo]

@FrancYescO, @Marvel,

https://anonfiles.com/h4kd3ah6p3/kmod-bcm63xx-tch-spu_4.1.38-1_brcm63xx-tch_ipk

Codice: [Seleziona]

Per avviare l'engine dovete dare un spuctl start. Se volete che parta in automatico create un file /etc/config/hardwarecrypto e riempitelo così:
Codice: [Seleziona]

config hardwarecrypto 'global'
        option enable '1'

@LuKePicci, quando lo installo e faccio i test arriva a max 140 Mb, e con htop vedo i due core che vanno al massimo, una volta che  riavvio il gateway la velocita' scende a max 70 Mb, e con htop vedo che funziona solo 1 core.

[LuKePicci]

Finchè non mi funziona stabilmente anche da client non-Android questo che descrivi è il problema minore. Poi magari sono correlate ma in buona sostanza mi va in crash la maggior parte delle volte (e non ho capito quando non lo fa) che mi ci connetto da windows o da altro dga con lo stesso setup.  A voi non capita mai?

[Marvel]

@LuKePicci  io non uso un server vpn su nessuno dei miei dga, mi dispiace ma non posso darti un feedback.
Comunque dimmi tu, carico il pacchetto sul repo?

[LuKePicci]

No io eviterei, viene da una toolchain diversa ed ha un target differente. Meglio tenerlo fuori dalla repo

[a1pollo]

@LuKePicci, ho due dga 4131 collegati in cascata lan/lan, sul primo, con interfaccia originale + luci e root, ho anche tutti i servizi, strongswan incluso, settato in modo che il dhcp(di strongswan) mi assegni gli indirizzi , mi succede che periodicamente non mi assegna gli indirizzi virtuali e di conseguenza non fa entrare nessun device da remoto, se le cambio le impostazioni strongswan senza il dhcp mi fa' entrare.
Sul secondo ho  la custom gui + luci e anche li strongswan senza altri servizi, dopo che apro le porte sul primo ovviamente, con la stessa configurazione dhcp , strongswan mi accetta tutti i device.

[SpiK369]

@LuKePicci volevo dilettarmi ad installare la vpn per raggiungere la telecamera dall'esterno. Provo ad installare il tutto prima sul mio AP DGA4132 in lan e poi se tutto funziona passo direttamente sul dga4132 che mi da' la connettività, in questo modo lavoro tutto in lan 192.168.1.0/24.

Se voglio usare come client un win7 o l'app StrongSwan di Android quali certificati devo installare sui client vpn tra questi:
caCert.pem, clientCert_myvpnclient1.pem, client_myvpnclient1.p12

Inoltre ho questi feeds nei miei files "chaos_calmer_packages" vanno bene per l'installazione dei pacchetti?

[LuKePicci]

Solo il p12, ma segui la guida.

Credo di no.

[SpiK369]

Uso una gui un po' vecchiotta 9.4.70 credo, semplicemente perché non mi ha mai dato noie e da allora non l'ho più aggiornata. E' per quello che ho i vecchi repo? Mi consigli di aggioranrla o fare tutto daccapo mettendo subito l'ultima stable GUI? Tra l'altro qual'è? Ultimamente mi sono un po' perso su quella che va bene...

[LuKePicci]

Quello che devi fare non ha nulla a che vedere con la gui mod, quindi sarebbe indifferente, ma fare esperimenti con pacchetti custom nella condizione in cui ti ha messo quella mod non è consigliabile, rischi seriamente i brickarlo.

[SpiK369]

Come versione di Firmware ho una delle ultime superiore alla 2.2.0, corro cmq il problema di Brickarlo? Cosa devo fare per evitarlo.
Ti riporto alcune cose che ho notato installando il pacchetto Strogswan riportato in questa discussione.

Ho seguito passo passo lo script di @FrancYescO ../strongswan/setup.sh e mi sembra che ci siano degli errori o meglio delle differenze rispetto a quanto pubblicato da OpenWRT nella guida online "IPsec Modern IKEv2 Road-Warrior Configuration".
Le differenze più evidenti riguardano alcune sezioni del file ipsec.conf, le riporto di seguito, mi dici il perché:

conn %default
   openwrt: ike=aes256-aes128-sha256-sha1-modp3072-modp2048
   script:      ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
   openwrt: esp=aes128-aes256-sha256-modp3072-modp2048,aes128-aes256-sha256
   script:      non presente

conn rwEAPMSCHAPV2
   Nessuna differenza
   
conn rwPUBKEYIOS
   openwrt: rightca=clientCert_myvpnclient1.pem
        script:      rightca=caCert.pem

conn rwEAPTLSIOS
   openwrt: rightca=clientCert_myvpnclient1.pem
        script:      rightca=caCert.pem

conn rwPUBKEY
   openwrt: rightca=clientCert_myvpnclient1.pem
        script:      rightca=caCert.pem

conn rwEAPTLS
   openwrt: rightca=clientCert_myvpnclient1.pem
        script:      rightca=caCert.pem

[a1pollo]

Codice: [Seleziona]

openwrt: ike=aes256-aes128-sha256-sha1-modp3072-modp2048
   script:      ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
   openwrt: esp=aes128-aes256-sha256-modp3072-modp2048,aes128-aes256-sha256
   script:      non presente
IKE=quella che permette identificazione(autentication alghoritms)- si compone di tre gruppi :Encryption Algorithms,Integrity Algorithms,Diffie Hellman Groups
ESP=quella che trasporta il traffico della vpn- si compone di due gruppi :Encryption Algorithms,Integrity Algorithms

Potresti anche non mettere quelle righe (io non li ho), in pratica il server accetta quegli algoritmi.
Per quanto riguarda la rightca = mi pare siano uguali, pero' non sono sicuro, avevo fatto io una richiesta a Francyesco per poter generare piu' certificati automaticamente, e quindi distinguerli, es.:
certificato1 "myvpnclient1", genera clientCert_myvpnclient1.pem + il .p12, da consegnare al client
certificato2 "peppino", genera clientCert_peppino.pem + il .p12, da consegnare al client
 
openwrt: rightca=clientCert_myvpnclient1.pem
        script:      rightca=caCert.pem

anche questa riga io l'ho settata diversamente, con lo script dovrebbe essere cosi',ovviamente nello script puoi modificarle:

rightca="C=US, O=Technicolor, CN=CATechnicolor"

[SpiK369]

Ok grazie Mille! @LuKePicci mi ha detto che rischio di brickkare il modem, tu che versione di firmware utilizzi con strogswan.
Volevo, inoltre, chiederti se lo usi da tempo e se hai riscontrato malfunzionamenti o blocchi del modem.
Grazie Mille. Tanti auguri di buone feste,

[a1pollo]

Ho 2 dga4131 con firmware aggiornato alla v. 18, li ho briccati piu' volte, l'importante e' che tu abbia il bank planning, cosi' in casi estremi flashi con tftpd.
Strongswan funziona perfettamente, i problemi che mi ha dato sono "piccoletti" non da brick.
Utilizzo i feed di Ansuel + quelli di Macoers, che sono per openwrt v.18,forse LuKe si riferiva ai feed che stai utilizzando.
Le nuove versioni della gui effettuano il bank planning automaticamente, dopo vari reboot, quindi il consiglio e' portare il router alla v. 18
e poi gui, che ti mette anche i feed giusti.

[LuKePicci]

Mi riferivo alla vecchia gui che gli disattiva il bank planning.