[SpiK369]

Vi riassumo le prove che ho fatto con client win7 e app android StrogSwan ver 2.3.2 in modalità Lan.
Per entrambi i casi sono SOLO riuscito a far funzionare il profilo "as PUBKEY roadwarriors" corrispondente alla sezione "rwPUBKEY" del file ipsec.conf
Uniche accortezze adottate:

1) ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
   Quella con modp2048 suggerita dalla guida OpenWRT probabilmente funziona solo con win10.

2)  rightcert=clientCert_myvpnclient1.pem
   utilizzato il certificato client anziché quello della CA caCert.pem

Ora che la parte ipsec è smarcata mi diletto a fare le prove via Internet inserendo le incognite introdotte da iptables e dal Nat.

@a1pollo e @LuKePicci grazie per tutto midite solo quale Gui installare per non avere problemi. Infine per i feed Macoers @a1pollo li inserisco a mano come da te scritto in qualche post indietro?

Grazie Mille.

[FrancYescO]

L'ultima, che ti metterà anche tutti i feed che servono.

Le modalità che lo script inserisce sono state scelte appunto per renderlo il più compatibile possibile con vari device/os

[a1pollo]

Come dice FrancYesco, ovviamente, ma alla fine ti funziona?

Io su android ho come IKEv2 Algoritms:
aes128-sha1-modp2048
piu' veloce ma meno sicura,l'importante e' che ti funzioni, poi puoi sperimentare tutti i settaggi, sul server.

[SpiK369]

Messa GUI last stable v9.6.65, forse converrebbe includere le ultime versioni di openssl perché opkg update da errore.
Aggiornamento fatto a mano:
   opkg install libopenssl_1.0.2t-1_arm_cortex-a9_neon.ipk
      Upgrading libopenssl on root from 1.0.2o-1 to 1.0.2t-1...
   opkg install openssl-util_1.0.2t-1_arm_cortex-a9_neon.ipk

opkg update

@a1pollo ho distrutto la parte LAN, per cui non posso riprovare... appena ho il server operativo su internet rifaccio verifiche mettendo i requisiti minimali di sicurezza come riportato dalla Guida di OpenWRT, a me interessa che funzioni sopratutto con i client Android e Apple degli smartphone. La parte EAP nelle prove precedenti non mi funzionava ma secondo voi era perché non avevo installato i moduli:
opkg list | grep strongswan-mod-eap-   ?

[a1pollo]

Molto probabilmente se non avevi i feed complati da Marvel che contiene strongswan-full con tutti i pacchetti. Anche io avevo riscontrato errori per mancanza di pacchetti installati.
Se hai fatto l'upgrade della gui dovresti avere ora tutti i feed giusti, se non dovessi averli devi aggiungerli manualmente.

I feed di Marvel sono i seguenti, vanno messi in /etc/opkg/customfeeds.conf:

Codice: [Seleziona]

src/gz chaos_calmer_base_macoers https://www.macoers.com/repository/homeware/18/brcm63xx-tch/VANTW/base
src/gz chaos_calmer_packages_macoers https://www.macoers.com/repository/homeware/18/brcm63xx-tch/VANTW/packages
src/gz chaos_calmer_luci_macoers https://www.macoers.com/repository/homeware/18/brcm63xx-tch/VANTW/luci
src/gz chaos_calmer_routing_macoers https://www.macoers.com/repository/homeware/18/brcm63xx-tch/VANTW/routing
src/gz chaos_calmer_telephony_macoers https://www.macoers.com/repository/homeware/18/brcm63xx-tch/VANTW/telephony
src/gz chaos_calmer_core_macoers https://www.macoers.com/repository/homeware/18/brcm63xx-tch/VANTW/target/packages
Se dovessi avere problemi per l'archittettura aggiungi in cima a /etc/opkg.conf sopra gli altri feed(ansuel):

Codice: [Seleziona]

dest root /
dest ram /tmp
lists_dir ext /var/opkg-lists
option overlay_root /overlay
arch all 100
arch arm_cortex-a9 200
arch arm_cortex-a9_neon 300
arch brcm63xx-tch 400


[SpiK369]

No @a1pollo forse non mi sono spiegato bene. Volevo dire che dopo che si installa la nuova GUI stable v9.6.65 e si prova a dare "opkg update" il comando fallisce, ma non perché i feed sono errati bensì perché la versione di openssl è vecchia. Per cui occorre fare a mano l'update di openssl.

[a1pollo]

Avevo capito, alle volte la gui fa' capricci, ti conviene segnalarlo nel thread della gui.

[SpiK369]

 @FrancYescO  nel tuo script il campo "CACERTPASSWORD" non sembra funzionare. Nel senso se settato poi quando si usano i certificati, la password inserita non viene riconociuta correttamente. Trovo utile assegnare una password ai certificati generati in modo che quando si importano venga chiesto di inserirla.
Inoltre, secondo me, lascerei l'indicazione di spostare in un luogo sicuro, come indicato nella guida OpenWRT, i certificati non necessari piuttosto che spostarli in "/etc/ipsec.d/private/".

[FrancYescO]

ipotizzo sia da rimuover quel "pass:" dal comando https://github.com/FrancYescO/sharing_tg789/blob/strongswan/setup.sh#L158 .. puoi confermare? anche se poi non si spiegherebbe perchè quelli generati fin ora erano senza password

quella di spostarli in /etc/ipsec.d/private/ era ovviamente una "convenzione" ipotizzando un futuro i cui si potesse avere il download dei certificati da GUI (per quanto insicuro sia tenerli sul server), poi si certo un echo in più non costa nulla

[SpiK369]

Senza password funziona correttamente per cui quello che dici è corretto. Io temporaneamente ho risolto rimuovendo da openssl la parte "-password "pass:$CACERTPASSWORD"", in questo modo durante la generazione c'è il prompt con la richiesta password. Forse dentro lo script andrebbero usati gli apici inversi... Andrebbero fatte delle prove....

[a1pollo]

Mi pare che la password la prendesse dal servizio ddns,poi anche la "san"(dominio) dei certificati, @SpiK369 il servizio era settato e attivo?

[SpiK369]

@a1pollo mi riferisco non alle password ottenute con comandi uci, ma a quella relativa ai certificati che inserisci manualmente.

[a1pollo]

Io ricordo che lo script prendeva la password dal servizio ddns, per i certificati p12, pero' potrei anche sbagliare, l'avevo usato per prova, ma poi avevo rimesso le mie config e i miei certificati.

[lorenzocanalelc]

Da quel che io ricordo lo script non funzionava quando settavo la password, o almeno dopo la loro creazione non riuscivo più ad importarli (Password errata), potrebbe essere come dice @a1pollo che prendesse la password del ddns (Cosa che non ho controllato) ma mi sembra difficile. Ricordo che io toglievo completamente il campo password per farlo funzionare.... Mi ero dimenticato di segnalare il problema

[FrancYescO]

se mi riuscite a fare qualche check con i comandi non interattivi da dare per generare i certificati con password aggiorno lo script