[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

  • 249 Risposte
  • 39521 Visite

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2789
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #30 il: 18 Settembre 2019, 17:19 »
O IKEv2 con solo Certificate, o IKEv2 con Certificate + EAP-MSCHAPv2, mai IKEv2 con EAP-Certificate.

Offline aezakmi123

  • Membro Anziano
  • ***
  • 201
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #31 il: 18 Settembre 2019, 21:25 »
devi mettere IKEv2 Certificate.
Così funziona ma allora a che serve user e password settati in /etc/ipsec.secrets?

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2789
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #32 il: 18 Settembre 2019, 22:55 »
E' spiegato nella guida. strongswan supporta più round di autenticazione. Se nel file di configurazione rimuovi il commento sulla rightauth2 e la imposti su eap-mschapv2 (ovvero EAP mediante user/pass) allora ti occorre anche avere a disposizione una coppia di credenziali valide. Questa doppia autenticazione però non è supportata ne in iOS ne in Windows, se vuoi abilitarla puoi farlo. Chiaramente se devi consentire accessi multipli con uno stesso certificato allora creare credenziali multiple può farti comodo, così come creare certificati specifici per ogni utente.

Offline lucash78

  • Nuovo Iscritto
  • *
  • 49
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #33 il: 23 Settembre 2019, 10:56 »
Mi rimane sempre il problema degli hosts dietro la vpn, non riesco a raggiungerli.

Sono riuscito a risolvere anche questo problema. Leggendo questa wiki (https://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling) ho eseguito i seguenti comandi:

Codice: [Seleziona]
iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -o br-lan -m policy --dir out --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -o br-lan -j MASQUERADE

dove 192.168.11.0  è la mia lan interna e br-lan è il bridge device formato da eth0/1/2/3. Ora riesco a pingare e ad accedere a tutti gli hosts dietro il router in vpn ipsec. I comandi li ho aggiunti al file /etc/rc.local in modo da essere eseguiti ad ogni avvio.
Spero possa essere utile a qualcuno.
« Ultima modifica: 23 Settembre 2019, 13:22 da MisterFTTH »

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2789
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #34 il: 23 Settembre 2019, 12:52 »
Prima cosa, mi confermi che il tuo problema era pingare o raggiungere un host locale in lan da un client remoto in vpn e non il viceversa?

Se è così, allora non mi spiego come mai tu abbia bisogno di nattare il traffico lan-lan in quel modo. La wiki la suggerisce, qualora tu non faccia split-tunneling, per abilitare il natting del traffico proveniente dai client vpn e diretto ad internet tramite eth0 che nell'esempio è la porta wan. Come hai fatto tu se ho ben compreso hai abilitato il natting per traffico proveniente dai client vpn e diretto in lan. In sostanza ora il traffico arriva agli host locali con sorgente uguale all'ip lan del router, cioè di br-lan.

Domande:
- in /etc/firewall.user hai le quattro regole menzionate nella guida?
- I tuoi client sono configurati in split-tunneling o no?
- apri wireshark su un host in lan, pingalo da un client vpn remoto, cosa vedi come ip mittente in wireshark? quello del client vpn o quello di br-lan?
- stessa domanda di sopra ma senza le due regole che hai aggiunto

edit: se vuoi applicare regole automatiche ad ogni avvio il modo giusto per farlo è metterle in /etc/firewall.user come dovresti già aver fatto con le quattro menzionate nella guida
« Ultima modifica: 16 Novembre 2021, 01:50 da LuKePicci »

Offline lucash78

  • Nuovo Iscritto
  • *
  • 49
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #35 il: 23 Settembre 2019, 14:26 »
@LuKePicci non riuscivo a pingare in entrambi i versi (in vpn intendo, all'interno della lan tutti i vari hosts si pingano a vicenda). I miei clients erano configurati in split-tunneling (clients windows) e arrivavo solo fino al router. Usando l'opzione "usa gateway predefinito sulla rete remota" non cambiava nulla, arrivavo fino al router. Se invece usavo una classe ip diversa (es 192.168.12.x) da assegnare al client e abilitavo l'opzione "usa gateway predefinito sulla rete remota" allora riuscivo a pingare gli hosts remoti ma perdevo la connettività internet sul pc dal quale mi collegavo in vpn (niente split-tunnelling). Ho provato la connessione VPN sia su win7 che win10, stessi risultati.
Per le 4 regole intendi queste?
Codice: [Seleziona]
iptables -I INPUT  -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD  -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD  -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I OUTPUT   -m policy --dir out --pol ipsec --proto esp -j ACCEPT
Se si, io non le ho inserite
Per i tests con wireshark non appena ho tempo faccio 2 prove
Mi sono dimenticato di dirti che ho usato il file di installazione di @FrancYescO per mettere su il tutto
« Ultima modifica: 23 Settembre 2019, 15:16 da lucash78 »

Offline lucash78

  • Nuovo Iscritto
  • *
  • 49
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #36 il: 23 Settembre 2019, 15:57 »
@LuKePicci ho controllato il file /etc/firewall.user e le 4 regole sopra sono presenti, sono inserite dallo script di FrancYescO
« Ultima modifica: 23 Settembre 2019, 16:05 da lucash78 »

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2789
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #37 il: 23 Settembre 2019, 16:42 »
E adesso con le righe che hai aggiunto senza split-tunneling su internet ci va?
E da lan riesci a pingare I client vpn remoti?

Per quel fatto che non ti andava internet dovresti controllare se effettivamente non raggiungevi nemmeno in ping un host internet o se era solo un problema ai server dns. In questo secondo caso posso dirti come risolvere quella questione. Mentre per il fatto che lan(vpn)->lan non funzioni senza nat non saprei che problemi tu possa avere.

Offline lucash78

  • Nuovo Iscritto
  • *
  • 49
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #38 il: 23 Settembre 2019, 19:14 »
@LuKePicci Ora con quelle 2 righe, che come tu mi hai fatto notare ho aggiunto al file /etc/firewall.user, tutto funziona correttamente. Mi collego in vpn, raggiungo tutti gli hosts dietro il router e continuo a navigare con l'indirizzo ip locale e non con il gateway remoto (quindi split-tunnelling funzionante). Avevo provato anche ad aggiungere i dns alla vpn ma mi pare che comunque il gateway remoto non mi facesse navigare (sto andando a memoria, ho fatto 800.000 prove per arrivare a questo dunque).

Citazione
Mentre per il fatto che lan(vpn)->lan non funzioni senza nat non saprei che problemi tu possa avere
Credo gli manchi qualche route o che questa sia bloccata dal firewall, non saprei esattamente. Fatto sta che seguendo quelle indicazioni si è sbloccatto tutto.
Mi ero scordato di risponderti a una domanda, ho fatto ora la prova e riesco a navigare anche col gateway remoto ora (quindi senza split-tunneling)
« Ultima modifica: 23 Settembre 2019, 19:21 da lucash78 »

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2789
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #39 il: 23 Settembre 2019, 23:07 »
Ho fatto qualche altra prova e ho aggiunto alla wiki di openwrt la regola necessaria per escludere dal nat il traffico destinato ad essere immesso nel tunnel ipsec, ora funziona anche il ping da host locale lan a client remoto.

Però questo non dovrebbe avere niente a che vedere col problema che avevi tu, vediamo se capita anche a qualcun altro. Sta di fatto che sei il primo che sento avere quel problema, ci dev'essere qualcosa di specifico nel tuo setup che rompe il normale funzionamento, dato che di base è tutto negato potrebbe effettivamente essere che nella tua versione firmware manchi qualche regola di solito presente di default.

Offline lucash78

  • Nuovo Iscritto
  • *
  • 49
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #40 il: 23 Settembre 2019, 23:17 »
Qual è la wiki di cui parli? Non so quale possa essere, ho solo modificato l'indirizzo ip lan, il range dhcp lan e disattivato il dhcp guest. L'importante è essere riuscito nel risultato, grazie anche al vostro prezioso aiuto.

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2789
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #41 il: 23 Settembre 2019, 23:24 »
Lo script di @FrancYescO riassume le istruzioni necessarie ad implementare quanto proposto in questa pagina: https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior

Offline aezakmi123

  • Membro Anziano
  • ***
  • 201
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #42 il: 26 Ottobre 2019, 11:54 »
Per usare strongswan su Windows come bisogna fare? Per OpenVPN c'è il client ma per questo no e usando la configurazione VPN di Windows mi dà un errore (al momento non ho il log), cercando su Internet dicono che Windows utilizza una cifratura troppo debole e strongswan non l'accetta.
Voi come avete fatto?

Offline LuKePicci

  • Global Moderator
  • VIP
  • *****
  • 2789
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #43 il: 26 Ottobre 2019, 15:12 »
Ma hai letto la guida sulla pagina che ho linkato qui sopra? C'è spiegato come configurare il client nativo di windows. Io quello uso. Piuttosto che errore ti da e come hai configurato il tutto??

Offline aezakmi123

  • Membro Anziano
  • ***
  • 201
Re:[GUIDA] StrongSwan IPsec su OpenWrt e Homeware
« Risposta #44 il: 31 Ottobre 2019, 00:32 »
Ho rifatto l'installazione seguendo la guida e ora mi si connette ma quando mi connetto tramite Windows il router si riavvia e salta tutto :confused: (da Android non succede)
logread degli ultimi istanti prima di esplodere

Codice: [Seleziona]
daemon.info charon: 06[NET] received packet: from 5.170.242.32[3212] to 151.41.171.108[500] (632 bytes)
daemon.info charon: 06[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
daemon.info charon: 06[IKE] received MS NT5 ISAKMPOAKLEY v9 vendor ID
daemon.info charon: 06[IKE] received MS-Negotiation Discovery Capable vendor ID
daemon.info charon: 06[IKE] received Vid-Initial-Contact vendor ID
daemon.info charon: 06[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
daemon.info charon: 06[IKE] 5.170.242.32 is initiating an IKE_SA
authpriv.info charon: 06[IKE] 5.170.242.32 is initiating an IKE_SA
daemon.info charon: 06[IKE] remote host is behind NAT
daemon.info charon: 06[IKE] sending cert request for "C=US, O=Technicolor, CN=CATechnicolor"
daemon.info charon: 06[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
daemon.info charon: 06[NET] sending packet: from 151.41.171.108[500] to 5.170.242.32[3212] (473 bytes)
daemon.info charon: 11[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 11[ENC] parsed IKE_AUTH request 1 [ EF(1/6) ]
daemon.info charon: 11[ENC] received fragment #1 of 6, waiting for complete IKE message
daemon.info charon: 12[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 12[ENC] parsed IKE_AUTH request 1 [ EF(2/6) ]
daemon.info charon: 12[ENC] received fragment #2 of 6, waiting for complete IKE message
daemon.info charon: 08[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 08[ENC] parsed IKE_AUTH request 1 [ EF(3/6) ]
daemon.info charon: 08[ENC] received fragment #3 of 6, waiting for complete IKE message
daemon.info charon: 13[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 13[ENC] parsed IKE_AUTH request 1 [ EF(4/6) ]
daemon.info charon: 13[ENC] received fragment #4 of 6, waiting for complete IKE message
daemon.info charon: 15[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 15[ENC] parsed IKE_AUTH request 1 [ EF(5/6) ]
daemon.info charon: 15[ENC] received fragment #5 of 6, waiting for complete IKE message
daemon.info charon: 09[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (304 bytes)
daemon.info charon: 09[ENC] parsed IKE_AUTH request 1 [ EF(6/6) ]
daemon.info charon: 09[ENC] received fragment #6 of 6, reassembling fragmented IKE message
daemon.info charon: 09[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
daemon.info charon: 09[IKE] received cert request for "C=US, O=Technicolor, CN=CATechnicolor"
daemon.info charon: 09[IKE] received 58 cert requests for an unknown ca
daemon.info charon: 09[IKE] received end entity cert "C=US, O=Technicolor, CN=myvpnclient"
daemon.info charon: 09[CFG] looking for peer configs matching 151.41.171.108[%any]...5.170.242.32[C=US, O=Technicolor, CN=myvpnclient]
daemon.info charon: 09[CFG] selected peer config 'roadwarrior'
daemon.info charon: 09[CFG]   using trusted ca certificate "C=US, O=Technicolor, CN=CATechnicolor"
daemon.info charon: 09[CFG] checking certificate status of "C=US, O=Technicolor, CN=myvpnclient"
daemon.info charon: 09[CFG] certificate status is not available
daemon.info charon: 09[CFG]   reached self-signed root ca with a path length of 0
daemon.info charon: 09[CFG]   using trusted certificate "C=US, O=Technicolor, CN=myvpnclient"
daemon.info charon: 09[IKE] authentication of 'C=US, O=Technicolor, CN=myvpnclient' with RSA signature successful
daemon.info charon: 09[IKE] peer supports MOBIKE
daemon.info charon: 09[IKE] authentication of 'XXXXX.ddnsking.com' (myself) with RSA signature successful
daemon.info charon: 09[IKE] IKE_SA roadwarrior[9] established between 151.41.171.108[XXXXX.ddnsking.com]...5.170.242.32[C=US, O=Technicolor, CN=myvpnclient]
authpriv.info charon: 09[IKE] IKE_SA roadwarrior[9] established between 151.41.171.108[XXXXX.ddnsking.com]...5.170.242.32[C=US, O=Technicolor, CN=myvpnclient]
daemon.info charon: 09[IKE] scheduling reauthentication in 10215s
daemon.info charon: 09[IKE] maximum IKE_SA lifetime 10755s
daemon.info charon: 09[IKE] sending end entity cert "C=US, O=Technicolor, CN=XXXXX.ddnsking.com"
daemon.info charon: 09[IKE] peer requested virtual IP %any
daemon.info charon: 09[CFG] sending DHCP DISCOVER to 192.168.1.255
daemon.info charon: 09[CFG] sending DHCP DISCOVER to 192.168.1.255
daemon.info charon: 09[CFG] sending DHCP DISCOVER to 192.168.1.255
daemon.info dnsmasq-dhcp[2851]: DHCPDISCOVER(br-lan) 7a:a7:b8:74:e4:56
daemon.info dnsmasq-dhcp[2851]: DHCPOFFER(br-lan) 192.168.1.185 7a:a7:b8:74:e4:56
daemon.info dnsmasq-dhcp[2851]: DHCPDISCOVER(br-lan) 7a:a7:b8:74:e4:56
daemon.info dnsmasq-dhcp[2851]: DHCPOFFER(br-lan) 192.168.1.185 7a:a7:b8:74:e4:56
daemon.info dnsmasq-dhcp[2851]: DHCPDISCOVER(br-lan) 7a:a7:b8:74:e4:56
daemon.info dnsmasq-dhcp[2851]: DHCPOFFER(br-lan) 192.168.1.185 7a:a7:b8:74:e4:56
daemon.info charon: 02[CFG] received DHCP OFFER 192.168.1.185 from 192.168.1.1
daemon.info charon: 09[CFG] sending DHCP REQUEST for 192.168.1.185 to 192.168.1.1
daemon.info dnsmasq-dhcp[2851]: DHCPREQUEST(br-lan) 192.168.1.185 7a:a7:b8:74:e4:56
daemon.info dnsmasq-dhcp[2851]: DHCPACK(br-lan) 192.168.1.185 7a:a7:b8:74:e4:56
daemon.info charon: 02[CFG] received DHCP ACK for 192.168.1.185
daemon.info charon: 09[IKE] assigning virtual IP 192.168.1.185 to peer 'C=US, O=Technicolor, CN=myvpnclient'
daemon.info charon: 09[IKE] peer requested virtual IP %any6
daemon.info charon: 09[IKE] no virtual IP found for %any6 requested by 'C=US, O=Technicolor, CN=myvpnclient'
daemon.info charon: 09[IKE] CHILD_SA roadwarrior{4} established with SPIs c38580b9_i fa6ef6fc_o and TS 0.0.0.0/0 ::/0 === 192.168.1.185/32
authpriv.info charon: 09[IKE] CHILD_SA roadwarrior{4} established with SPIs c38580b9_i fa6ef6fc_o and TS 0.0.0.0/0 ::/0 === 192.168.1.185/32
daemon.info charon: 09[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS NBNS DNS DNS) SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) ]
daemon.info charon: 09[ENC] splitting IKE message with length of 1436 bytes into 2 fragments
daemon.info charon: 09[ENC] generating IKE_AUTH response 1 [ EF(1/2) ]
daemon.info charon: 09[ENC] generating IKE_AUTH response 1 [ EF(2/2) ]
daemon.info charon: 09[NET] sending packet: from 151.41.171.108[4500] to 5.170.242.32[3917] (1248 bytes)
daemon.info charon: 09[NET] sending packet: from 151.41.171.108[4500] to 5.170.242.32[3917] (256 bytes)
daemon.info charon: 16[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 16[ENC] parsed IKE_AUTH request 1 [ EF(1/6) ]
daemon.info charon: 16[ENC] received fragment #1 of 6, waiting for complete IKE message
daemon.info charon: 16[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (304 bytes)
daemon.info charon: 16[ENC] parsed IKE_AUTH request 1 [ EF(6/6) ]
daemon.info charon: 16[ENC] received fragment #6 of 6, waiting for complete IKE message
daemon.info charon: 05[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 05[ENC] parsed IKE_AUTH request 1 [ EF(2/6) ]
daemon.info charon: 05[ENC] received fragment #2 of 6, waiting for complete IKE message
daemon.info charon: 10[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 10[ENC] parsed IKE_AUTH request 1 [ EF(4/6) ]
daemon.info charon: 10[ENC] received fragment #4 of 6, waiting for complete IKE message
daemon.info charon: 14[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 14[ENC] parsed IKE_AUTH request 1 [ EF(5/6) ]
daemon.info charon: 14[ENC] received fragment #5 of 6, waiting for complete IKE message
daemon.info charon: 06[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (304 bytes)
daemon.info charon: 06[ENC] parsed IKE_AUTH request 1 [ EF(6/6) ]
daemon.info charon: 06[ENC] received duplicate fragment #6
daemon.info charon: 11[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 11[ENC] parsed IKE_AUTH request 1 [ EF(1/6) ]
daemon.info charon: 11[ENC] received duplicate fragment #1
daemon.info charon: 12[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 12[ENC] parsed IKE_AUTH request 1 [ EF(2/6) ]
daemon.info charon: 12[ENC] received duplicate fragment #2
daemon.info charon: 08[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 08[ENC] parsed IKE_AUTH request 1 [ EF(3/6) ]
daemon.info charon: 08[ENC] received fragment #3 of 6, reassembling fragmented IKE message
daemon.info charon: 08[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
daemon.info charon: 08[IKE] received retransmit of request with ID 1, retransmitting response
daemon.info charon: 08[NET] sending packet: from 151.41.171.108[4500] to 5.170.242.32[3917] (1248 bytes)
daemon.info charon: 08[NET] sending packet: from 151.41.171.108[4500] to 5.170.242.32[3917] (256 bytes)
daemon.info charon: 13[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 13[ENC] parsed IKE_AUTH request 1 [ EF(4/6) ]
daemon.info charon: 13[ENC] received fragment #4 of 6, waiting for complete IKE message
daemon.info charon: 15[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 15[ENC] parsed IKE_AUTH request 1 [ EF(5/6) ]
daemon.info charon: 15[ENC] received fragment #5 of 6, waiting for complete IKE message
daemon.info charon: 07[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 07[ENC] parsed IKE_AUTH request 1 [ EF(3/6) ]
daemon.info charon: 07[ENC] received fragment #3 of 6, waiting for complete IKE message
daemon.info dnsmasq-dhcp[2851]: DHCPINFORM(pppoe-wan) 192.168.1.185 00:ff:e4:ad:0f:34:b8:e7:4f:9c:4a:50:ce:5c:b1:fa:f6
daemon.info dnsmasq-dhcp[2851]: DHCPACK(pppoe-wan) 192.168.1.185 00:ff:e4:ad:0f:34:b8:e7:4f:9c:4a:50:ce:5c:b1:fa:f6 Taan
kern.alert kernel: [  444.069642] Unable to handle kernel NULL pointer dereference at virtual address 00000000
kern.alert kernel: [  444.069660] pgd = d8f50000
kern.alert kernel: [  444.069675] [00000000] *pgd=18e66831, *pte=00000000, *ppte=00000000
kern.emerg kernel: [  444.069704] Internal error: Oops: 80000007 [#1] PREEMPT SMP ARM
kern.warn kernel: [  444.075202] Modules linked in: sff8472_i2c(O) init_addr(  (null) -   (null)), core_addr(bfb90000 - bfb90cb8)
kern.warn kernel: [  444.085323]  technicolor_led(O) init_addr(  (null) -   (null)), core_addr(bfb88000 - bfb89468)
kern.warn kernel: [  444.094186]  ohci_pci init_addr(  (null) -   (null)), core_addr(bfb84000 - bfb841f4)
kern.warn kernel: [  444.102168]  ohci_platform init_addr(  (null) -   (null)), core_addr(bfb80000 - bfb80604)
kern.warn kernel: [  444.110602]  ohci_hcd init_addr(  (null) -   (null)), core_addr(bfb75000 - bfb7a11c)
kern.warn kernel: [  444.118568]  ehci_pci init_addr(  (null) -   (null)), core_addr(bfb71000 - bfb7159c)
kern.warn kernel: [  444.126542]  ehci_platform init_addr(  (null) -   (null)), core_addr(bfb6d000 - bfb6d694)
kern.warn kernel: [  444.134953]  ehci_hcd init_addr(  (null) -   (null)), core_addr(bfb60000 - bfb677e8)
kern.warn kernel: [  444.142939]  bcm_usb init_addr(  (null) -   (null)), core_addr(bfb5c000 - bfb5c15c)
kern.warn kernel: [  444.150836]  qcserial init_addr(  (null) -   (null)), core_addr(bfb57000 - bfb57268)
kern.warn kernel: [  444.158798]  option init_addr(  (null) -   (null)), core_addr(bfb4c000 - bfb4c2ac)
kern.warn kernel: [  444.166594]  usb_wwan init_addr(  (null) -   (null)), core_addr(bfb47000 - bfb47aec)
kern.warn kernel: [  444.174566]  sierra_net init_addr(  (null) -   (null)), core_addr(bfb42000 - bfb42ca4)
kern.warn kernel: [  444.182722]  sierra init_addr(  (null) -   (null)), core_addr(bfb3d000 - bfb3dc1c)
kern.warn kernel: [  444.190511]  rndis_host init_addr(  (null) -   (null)), core_addr(bfb38000 - bfb38b0c)
kern.warn kernel: [  444.198667]  qmi_wwan init_addr(  (null) -   (null)), core_addr(bfb32000 - bfb326c0)
kern.warn kernel: [  444.206639]  nf_nat_pptp init_addr(  (null) -   (null)), core_addr(bfb2e000 - bfb2e458)
kern.warn kernel: [  444.214879]  nf_conntrack_pptp init_addr(  (null) -   (null)), core_addr(bfb2a000 - bfb2a9f4)
kern.warn kernel: [  444.223658]  nf_conntrack_ipv6 init_addr(  (null) -   (null)), core_addr(bfb25000 - bfb25e5c)
kern.warn kernel: [  444.232438]  iptable_nat init_addr(  (null) -   (null)), core_addr(bfb1c000 - bfb1c0c8)
kern.warn kernel: [  444.240681]  ipt_REJECT init_addr(  (null) -   (null)), core_addr(bfb18000 - bfb18138)
kern.warn kernel: [  444.248837]  ipt_MASQUERADE init_addr(  (null) -   (null)), core_addr(bfb14000 - bfb140b4)
kern.warn kernel: [  444.257359]  huawei_cdc_ncm init_addr(  (null) -   (null)), core_addr(bfb10000 - bfb10258)
kern.warn kernel: [  444.265869]  cdc_ncm init_addr(  (null) -   (null)), core_addr(bfb08000 - bfb0a16c)
kern.warn kernel: [  444.273755]  cdc_ether init_addr(  (null) -   (null)), core_addr(bfb04000 - bfb0477c)
kern.warn kernel: [  444.281810]  xt_time init_addr(  (null) -   (null)), core_addr(bfb00000 - bfb0031c)
kern.warn kernel: [  444.289697]  xt_tcpmss init_addr(  (null) -   (null)), core_addr(bfafc000 - bfafc1c0)
kern.warn kernel: [  444.297767]  xt_string init_addr(  (null) -   (null)), core_addr(bfaf8000 - bfaf80d0)
kern.warn kernel: [  444.305823]  xt_statistic init_addr(  (null) -   (null)), core_addr(bfaf4000 - bfaf411c)
kern.warn kernel: [  444.314161]  xt_state init_addr(  (null) -   (null)), core_addr(bfaf0000 - bfaf00b0)
kern.warn kernel: [  444.322133]  xt_socket init_addr(  (null) -   (null)), core_addr(bfaec000 - bfaec794)
kern.warn kernel: [  444.330202]  xt_recent init_addr(  (null) -   (null)), core_addr(bfae7000 - bfae836c)
kern.warn kernel: [  444.338259]  xt_quota init_addr(  (null) -   (null)), core_addr(bfae3000 - bfae30dc)
kern.warn kernel: [  444.346231]  xt_policy init_addr(  (null) -   (null)), core_addr(bfadf000 - bfadf4c0)
kern.warn kernel: [  444.354300]  xt_pkttype init_addr(  (null) -   (null)), core_addr(bfadb000 - bfadb0a0)
kern.warn kernel: [  444.362455]  xt_physdev init_addr(  (null) -   (null)), core_addr(bfad7000 - bfad72b8)
kern.warn kernel: [  444.370609]  xt_owner init_addr(  (null) -   (null)), core_addr(bfad3000 - bfad319c)
kern.warn kernel: [  444.378580]  xt_nat init_addr(  (null) -   (null)), core_addr(bfacf000 - bfacf518)
kern.warn kernel: [  444.386381]  xt_multiport init_addr(  (null) -   (null)), core_addr(bfacb000 - bfacb29c)
kern.warn kernel: [  444.394705]  xt_mark init_addr(  (null) -   (null)), core_addr(bfac7000 - bfac7074)
kern.warn kernel: [  444.402591]  xt_mac init_addr(  (null) -   (null)), core_addr(bfac3000 - bfac3090)
kern.warn kernel: [  444.410392]  xt_limit init_addr(  (null) -   (null)), core_addr(bfabf000 - bfabf280)
kern.warn kernel: [  444.418364]  xt_length2(O) init_addr(  (null) -   (null)), core_addr(bfabb000 - bfabb6ac)
kern.warn kernel: [  444.426787]  xt_length init_addr(  (null) -   (null)), core_addr(bfab7000 - bfab70ac)
kern.warn kernel: [  444.434857]  xt_iprange init_addr(  (null) -   (null)), core_addr(bfab3000 - bfab3220)
kern.warn kernel: [  444.442998]  xt_hl init_addr(  (null) -   (null)), core_addr(bfaaf000 - bfaaf12c)
kern.warn kernel: [  444.450715]  xt_helper init_addr(  (null) -   (null)), core_addr(bfaab000 - bfaab0f8)
kern.warn kernel: [  444.458770]  xt_hashlimit init_addr(  (null) -   (null)), core_addr(bfaa6000 - bfaa72e8)
kern.warn kernel: [  444.467111]  xt_esp init_addr(  (null) -   (null)), core_addr(bfaa2000 - bfaa20dc)
kern.warn kernel: [  444.474899]  xt_ecn init_addr(  (null) -   (null)), core_addr(bfa9e000 - bfa9e288)
kern.warn kernel: [  444.482701]  xt_dscp init_addr(  (null) -   (null)), core_addr(bfa9a000 - bfa9a134)
kern.warn kernel: [  444.490583]  xt_conntrack init_addr(  (null) -   (null)), core_addr(bfa96000 - bfa96644)
kern.warn kernel: [  444.498914]  xt_connmark init_addr(  (null) -   (null)), core_addr(bfa92000 - bfa92170)
kern.warn kernel: [  444.507154]  xt_connlimit init_addr(  (null) -   (null)), core_addr(bfa8d000 - bfa8da5c)
kern.warn kernel: [  444.515493]  xt_connbytes init_addr(  (null) -   (null)), core_addr(bfa89000 - bfa892ac)
kern.warn kernel: [  444.523819]  xt_comment init_addr(  (null) -   (null)), core_addr(bfa85000 - bfa85014)
kern.warn kernel: [  444.531973]  xt_bpf init_addr(  (null) -   (null)), core_addr(bfa81000 - bfa81084)
kern.warn kernel: [  444.539774]  xt_addrtype init_addr(  (null) -   (null)), core_addr(bfa7d000 - bfa7d478)