[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

a1pollo · « **Risposta #75 il:** 26 Aprile 2020, 16:15 »

@LuKePicci, si infatti io l'ho configurato in modo che si trovi sulla stessa subnet del dhcp,era solo per farlo notare a FrancYescO, che mi pare l'abbia fatto per avvicinarsi alla wiki di openwrt.
Visto che ci sei, volevo farti notare che ho provato sulla versione 18, la velocita' massima e arrivo a circa 40MB, invece sulla versione 17 arrivo a toccare 50MB.
Quando ho fatto i test ho avviato sui router Htop, ed in tutti e due va a palla un solo core della cpu, ho pensato che forse siano in entrambe le versioni accellerati via hardware, altrimenti non mi spiego perche' sulla 18 la velocita' sia inferiore.
Questi sono i drivers crypto sulla versione 18:

Codice: [Seleziona]

kmod-crypto-aead
4.1.38-1
kmod-crypto-authenc
4.1.38-1
kmod-crypto-cbc
4.1.38-1
kmod-crypto-core
4.1.38-1
kmod-crypto-deflate
4.1.38-1
kmod-crypto-des
4.1.38-1
kmod-crypto-ecb
4.1.38-1
kmod-crypto-hash
4.1.38-1
kmod-crypto-hmac
4.1.38-1
kmod-crypto-iv
4.1.38-1
kmod-crypto-manager
4.1.38-1
kmod-crypto-md5
4.1.38-1
kmod-crypto-pcompress
4.1.38-1
kmod-crypto-rng
4.1.38-1
kmod-crypto-sha1
4.1.38-1
kmod-crypto-sha256
4.1.38-1
kmod-crypto-sha512
4.1.38-1
kmod-crypto-wq
4.1.38-1

LuKePicci · « **Risposta #76 il:** 26 Aprile 2020, 16:23 »

Nessuna delle due versioni � accelerata in hardware, i driver per l'SPU li ho visti solo sule release 18.x di tim.

FrancYescO · « **Risposta #77 il:** 26 Aprile 2020, 16:28 »

Conta per molte cose mi son limitato a fare l'automa e a scriptare quello scritto nella guida quindi non mi aspetto affatto sia tutto perfetto

caCert.crt caKey.pem in effetti possono essere anche eliminati al termine: ho visto che gi� lo script ufficiale lo prevedeva quindi viene salvato solo ca.p12 nei secret per poter fare altre generazioni

strongswan-mod-eap-** ipotizzo servano solo si si vuole mettere il secondo round di autenticazione, non lo so.

dati anche i vari from 'serverCert_.pem' direi che si ha fatto tutto senza rilevare il ddns e quindi con dominio vuoto

10.0.1.0/24 .. qui in effetti � stata una dimenticanza, ho provato semplicemente a rimpiazzare con %dhcp come era ma non sta funzionando

Codice: [Seleziona]

Sun Apr 26 15:25:04 2020 authpriv.info ipsec: 15[IKE] peer requested virtual IP %any
Sun Apr 26 15:25:04 2020 daemon.info ipsec: 15[IKE] peer requested virtual IP %any
Sun Apr 26 15:25:04 2020 authpriv.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:04 2020 daemon.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:05 2020 authpriv.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:05 2020 daemon.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:07 2020 authpriv.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:07 2020 daemon.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:07 2020 daemon.info dnsmasq-dhcp[14101]: DHCPDISCOVER(br-lan) 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:07 2020 daemon.info dnsmasq-dhcp[14101]: DHCPOFFER(br-lan) 192.168.1.206 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:07 2020 daemon.info dnsmasq-dhcp[14101]: DHCPDISCOVER(br-lan) 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:07 2020 daemon.info dnsmasq-dhcp[14101]: DHCPOFFER(br-lan) 192.168.1.206 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:07 2020 daemon.info dnsmasq-dhcp[14101]: DHCPDISCOVER(br-lan) 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:07 2020 daemon.info dnsmasq-dhcp[14101]: DHCPOFFER(br-lan) 192.168.1.206 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:10 2020 authpriv.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:10 2020 daemon.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:10 2020 daemon.info dnsmasq-dhcp[14101]: DHCPDISCOVER(br-lan) 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:10 2020 daemon.info dnsmasq-dhcp[14101]: DHCPOFFER(br-lan) 192.168.1.206 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:14 2020 authpriv.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:14 2020 daemon.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:14 2020 daemon.info dnsmasq-dhcp[14101]: DHCPDISCOVER(br-lan) 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:14 2020 daemon.info dnsmasq-dhcp[14101]: DHCPOFFER(br-lan) 192.168.1.206 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:19 2020 authpriv.info ipsec: 15[CFG] DHCP DISCOVER timed out
Sun Apr 26 15:25:19 2020 daemon.info ipsec: 15[CFG] DHCP DISCOVER timed out
Sun Apr 26 15:25:19 2020 authpriv.info ipsec: 15[IKE] no virtual IP found for %any requested by 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 15:25:19 2020 daemon.info ipsec: 15[IKE] no virtual IP found for %any requested by 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 15:25:19 2020 authpriv.info ipsec: 15[IKE] peer requested virtual IP %any6
Sun Apr 26 15:25:19 2020 daemon.info ipsec: 15[IKE] peer requested virtual IP %any6
Sun Apr 26 15:25:19 2020 authpriv.info ipsec: 15[IKE] no virtual IP found for %any6 requested by 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 15:25:19 2020 daemon.info ipsec: 15[IKE] no virtual IP found for %any6 requested by 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 15:25:19 2020 authpriv.info ipsec: 15[IKE] no virtual IP found, sending INTERNAL_ADDRESS_FAILURE
Sun Apr 26 15:25:19 2020 daemon.info ipsec: 15[IKE] no virtual IP found, sending INTERNAL_ADDRESS_FAILURE

LuKePicci · « **Risposta #78 il:** 26 Aprile 2020, 16:37 »

strongswan-mod-eap-* sono necessari tutte le volte che usi eap-* come metodo di autenticazione, anche quando � il primo ed unico, e considerando che il modo pi� semplice di farla funzionare su windows � proprio con eap-tls o con eap-mschapv2 quando si usano user e password direi che � il caso di metterceli.

Hai qualcosa che non va nella config di dnsmasq o charon/dhcp

a1pollo · « **Risposta #79 il:** 26 Aprile 2020, 16:48 »

Si ma il punto e' come aggiungerli nello script strongswan-mod-eap-*, sono piu' pacchetti

Codice: [Seleziona]

/etc/strongswan.d/charon/dhcp.conf

dhcp {

    # Always use the configured server address.
    # force_server_address = no
    force_server_address = yes

    # Derive user-defined    MAC address from hash of IKE identity.
    # identity_lease = no
    identity_lease = yes

    # Interface name the plugin uses for address allocation.
    # interface =
    # interface = br-lan


    # Whether to load the plugin. Can also be an integer to increase the
    # priority of this plugin.
    load = yes

    # DHCP server unicast or broadcast IP address.
    # server = 255.255.255.255
    server = 192.168.1.255

}

Codice: [Seleziona]

# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files

charon {
        load_modular=yes
        dns1 = 192.168.1.1
        nbns1 = 192.168.1.1
        plugins {
                include strongswan.d/charon/*.conf
        }
}
include strongswan.d/*.conf

Anche io quando rimetto le configurazioni salto qualcosa

LuKePicci · « **Risposta #80 il:** 26 Aprile 2020, 17:05 »

Li si elenca uno ad uno

Codice: [Seleziona]

Root set:
  strongswan
What depends on root set
        strongswan-mod-eap-identity 5.3.3-1     depends on strongswan
        strongswan-mod-led 5.3.3-1      depends on strongswan
        strongswan-mod-curl 5.3.3-1     depends on strongswan
        strongswan-mod-eap-tls 5.3.3-1  depends on strongswan
        strongswan-mod-farp 5.3.3-1     depends on strongswan
        strongswan-mod-constraints 5.3.3-1      depends on strongswan
        strongswan-mod-sha1 5.3.3-1     depends on strongswan
        strongswan-mod-sha2 5.3.3-1     depends on strongswan
        strongswan-libtls 5.3.3-1       depends on strongswan
        strongswan-mod-agent 5.3.3-1    depends on strongswan
        strongswan-mod-pkcs11 5.3.3-1   depends on strongswan
        strongswan-mod-pkcs12 5.3.3-1   depends on strongswan
        strongswan-mod-attr-sql 5.3.3-1 depends on strongswan
        strongswan-mod-openssl 5.3.3-1  depends on strongswan
        strongswan-mod-test-vectors 5.3.3-1     depends on strongswan
        strongswan-mod-ldap 5.3.3-1     depends on strongswan
        strongswan-mod-pem 5.3.3-1      depends on strongswan
        strongswan-mod-rc2 5.3.3-1      depends on strongswan
        strongswan-mod-eap-mschapv2 5.3.3-1     depends on strongswan
        strongswan-mod-eap-md5 5.3.3-1  depends on strongswan
        strongswan-mod-aes 5.3.3-1      depends on strongswan
        strongswan-mod-pgp 5.3.3-1      depends on strongswan
        strongswan-mod-mysql 5.3.3-1    depends on strongswan
        strongswan-mod-sshkey 5.3.3-1   depends on strongswan
        strongswan-mod-xcbc 5.3.3-1     depends on strongswan
        strongswan-mod-random 5.3.3-1   depends on strongswan
        strongswan-mod-ccm 5.3.3-1      depends on strongswan
        strongswan-mod-pkcs1 5.3.3-1    depends on strongswan
        strongswan-mod-pkcs7 5.3.3-1    depends on strongswan
        strongswan-mod-pkcs8 5.3.3-1    depends on strongswan
        strongswan-mod-dnskey 5.3.3-1   depends on strongswan
        strongswan-utils 5.3.3-1        depends on strongswan
        strongswan-mod-hmac 5.3.3-1     depends on strongswan
        strongswan-mod-xauth-eap 5.3.3-1        depends on strongswan
        strongswan-charon 5.3.3-1       depends on strongswan
        strongswan-mod-duplicheck 5.3.3-1       depends on strongswan
        strongswan-mod-eap-radius 5.3.3-1       depends on strongswan
        strongswan-mod-des 5.3.3-1      depends on strongswan
        strongswan-mod-uci 5.3.3-1      depends on strongswan
        strongswan-mod-fips-prf 5.3.3-1 depends on strongswan
        strongswan-mod-socket-default 5.3.3-1   depends on strongswan
        strongswan-mod-blowfish 5.3.3-1 depends on strongswan
        strongswan-mod-resolve 5.3.3-1  depends on strongswan
        strongswan-mod-pubkey 5.3.3-1   depends on strongswan
        strongswan-mod-ha 5.3.3-1       depends on strongswan
        strongswan-mod-kernel-netlink 5.3.3-1   depends on strongswan
        strongswan-mod-load-tester 5.3.3-1      depends on strongswan
        strongswan-mod-gcm 5.3.3-1      depends on strongswan
        strongswan-mod-gcrypt 5.3.3-1   depends on strongswan
        strongswan-mod-smp 5.3.3-1      depends on strongswan
        strongswan-default 5.3.3-1      depends on strongswan
        strongswan-mod-updown 5.3.3-1   depends on strongswan
        strongswan-mod-addrblock 5.3.3-1        depends on strongswan
        strongswan-mod-nonce 5.3.3-1    depends on strongswan
        strongswan-mod-xauth-generic 5.3.3-1    depends on strongswan
        strongswan-mod-x509 5.3.3-1     depends on strongswan
        strongswan-mod-unity 5.3.3-1    depends on strongswan
        strongswan-mod-coupling 5.3.3-1 depends on strongswan
        strongswan-mod-sqlite 5.3.3-1   depends on strongswan
        strongswan-mod-dhcp 5.3.3-1     depends on strongswan
        strongswan-mod-sql 5.3.3-1      depends on strongswan
        strongswan-mod-stroke 5.3.3-1   depends on strongswan
        strongswan-mod-attr 5.3.3-1     depends on strongswan
        strongswan-mod-af-alg 5.3.3-1   depends on strongswan
        strongswan-mod-revocation 5.3.3-1       depends on strongswan
        strongswan-mod-whitelist 5.3.3-1        depends on strongswan
        strongswan-mod-ctr 5.3.3-1      depends on strongswan
        strongswan-minimal 5.3.3-1      depends on strongswan
        strongswan-mod-gmp 5.3.3-1      depends on strongswan
        strongswan-mod-cmac 5.3.3-1     depends on strongswan
        strongswan-mod-md4 5.3.3-1      depends on strongswan
        strongswan-mod-md5 5.3.3-1      depends on strongswan

e vi si sottraggono quelli da cui strongswan-default dipende

Codice: [Seleziona]

strongswan-default depends on:
        libc
        strongswan
        strongswan-charon
        strongswan-mod-aes
        strongswan-mod-attr
        strongswan-mod-constraints
        strongswan-mod-des
        strongswan-mod-dnskey
        strongswan-mod-fips-prf
        strongswan-mod-gmp
        strongswan-mod-hmac
        strongswan-mod-kernel-netlink
        strongswan-mod-md5
        strongswan-mod-nonce
        strongswan-mod-pem
        strongswan-mod-pgp
        strongswan-mod-pkcs1
        strongswan-mod-pubkey
        strongswan-mod-random
        strongswan-mod-rc2
        strongswan-mod-resolve
        strongswan-mod-revocation
        strongswan-mod-sha1
        strongswan-mod-sha2
        strongswan-mod-socket-default
        strongswan-mod-sshkey
        strongswan-mod-stroke
        strongswan-mod-updown
        strongswan-mod-x509
        strongswan-mod-xauth-generic
        strongswan-mod-xcbc
        strongswan-utils

Nello script non vedo gli edit a /etc/strongswan.conf, inoltre c'� un grosso problema con gli utenti multipli, non pssono esistere tutte quelle conn definite in simultanea, sia perch� se ne creano diverse con nomi uguali, sia perch� quelle dello stesso tipo configurate per utenti diversi sarebbero indistinguibili a livello protocollare. Quando hai pi� utenze devi fare come dice la guida, devi togliere rightcert e metterci rightca. Se poi ti vuoi divertire, puoi provare a vedere se sia o meno possibile definire un blocco di configurazione per ogni tipo di connessione e creare N conn distinte con nomi tutti diversi che includono al loro interno solo rightcert ed ereditano due volte, prima dalla definizione del tipo di connessione e poi dal blocco default.

larsen64it · « **Risposta #81 il:** 26 Aprile 2020, 17:16 »

A titolo di cronaca l'eseguibile contenuto in strongswan-pki nella versione per CC � contenuto in strongswan-utils.

LuKePicci · « **Risposta #82 il:** 26 Aprile 2020, 17:21 »

Infatti io sui repo CC strongswan-pki non ce l'ho, stavo gusto per indagare a riguardo.

FrancYescO · « **Risposta #83 il:** 26 Aprile 2020, 20:28 »

la domanda che mi sorge spontanea � perch� non usare rightca anche per l'utente singolo? (anche perch� tralaltro � sempre lo script sulla wiki che prevede la multiutenza)

la config di dhcp.conf � quella dello script e prima andava, tralaltro li sembra che fa la DHCPOFFER ma il client non se la fila..

su strongswan.conf non capisco a cosa ti riferisci a parte mettere dns1 nbns1 che immagino nel caso su usa il DHCP non servano, il resto mi pare il default

per quanto riguarda le mod-eap mi pare di capire che di default quello che si usa nello script di esempio � strongswan-mod-eap-mschapv2 gli altri penso si puoi fare anche a meno poi se servono all'utente se li installa lui, non vedo perch� tirarglieli giu tutti

LuKePicci · « **Risposta #84 il:** 26 Aprile 2020, 21:17 »

con rightca verifichi solo la validit� del certificato, con rightcert vai a fare pinning, se non hai da connettere pi� utenti in simultanea la seconda � pi� sicura

strongswan conf mi pare avesse qualche problema con I path degli include, ma potrebbe anche darsi che siano stati fixate nei nuovi pacchetti

eap-* conviene installarli tutti, sono solo metapacchetti, a toglierli non si risparmia nulla, la config di default per windows usa eap-tls, � l'unica che puoi impostare su windows e windows mobile senza diritti amministrativi, eap-radius viene comodo quando hai gi� una directory di utenti, eap-identity pure serve.altrimenti la direttiva eap_identity non funziona e windows non connette.

c'� anche un altro problema col comando di opkg install, se usi questo script su un device che ha impostate le repo ufficiali openwrt mi sa che ti si tira dietro anche libc

FrancYescO · « **Risposta #85 il:** 27 Aprile 2020, 00:22 »

Mi sembra lineare.. ma pki serve anche a me

Codice: [Seleziona]

root@788vn:~# opkg install strongswan-default strongswan-pki strongswan-mod-dhcp
Installing strongswan-default (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-default_5.3.3-1_brcm63xx.ipk
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Installing strongswan (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan_5.3.3-1_brcm63xx.ipk
Installing strongswan-charon (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-charon_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-aes (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-aes_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-attr (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-attr_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-constraints (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-constraints_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-des (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-des_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-dnskey (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-dnskey_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-sha1 (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-sha1_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-fips-prf (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-fips-prf_5.3.3-1_brcm63xx.ipk
Installing libgmp (6.0.0-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/base/libgmp_6.0.0-1_brcm63xx.ipk
Installing strongswan-mod-gmp (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-gmp_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-hmac (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-hmac_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-kernel-netlink (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-kernel-netlink_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-md5 (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-md5_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-nonce (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-nonce_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-pem (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-pem_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-pgp (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-pgp_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-pkcs1 (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-pkcs1_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-pubkey (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-pubkey_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-random (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-random_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-rc2 (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-rc2_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-resolve (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-resolve_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-revocation (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-revocation_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-sha2 (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-sha2_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-socket-default (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-socket-default_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-sshkey (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-sshkey_5.3.3-1_brcm63xx.ipk
Installing strongswan-utils (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-utils_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-stroke (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-stroke_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-updown (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-updown_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-x509 (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-x509_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-xauth-generic (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-xauth-generic_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-xcbc (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-xcbc_5.3.3-1_brcm63xx.ipk
Unknown package 'strongswan-pki'.
Installing strongswan-mod-dhcp (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-dhcp_5.3.3-1_brcm63xx.ipk
Configuring strongswan.
no files found matching '/etc/strongswan.d/*.conf'
Starting strongSwan 5.3.3 IPsec [starter]...
no files found matching '/var/ipsec/ipsec.conf'
Configuring strongswan-mod-constraints.
Configuring strongswan-mod-sha1.
Configuring strongswan-mod-sha2.
Configuring strongswan-mod-pem.
Configuring strongswan-mod-rc2.
Configuring strongswan-mod-aes.
Configuring strongswan-mod-pgp.
Configuring strongswan-mod-sshkey.
Configuring strongswan-mod-xcbc.
Configuring strongswan-mod-random.
Configuring strongswan-mod-pkcs1.
Configuring strongswan-mod-dnskey.
Configuring strongswan-utils.
Configuring strongswan-mod-hmac.
Configuring strongswan-charon.
Configuring strongswan-mod-des.
Configuring strongswan-mod-fips-prf.
Configuring strongswan-mod-socket-default.
Configuring strongswan-mod-resolve.
Configuring strongswan-mod-pubkey.
Configuring strongswan-mod-kernel-netlink.
Configuring strongswan-mod-attr.
Configuring libgmp.
Configuring strongswan-mod-gmp.
Configuring strongswan-mod-md5.
Configuring strongswan-mod-nonce.
Configuring strongswan-mod-revocation.
Configuring strongswan-mod-stroke.
Configuring strongswan-mod-updown.
Configuring strongswan-mod-x509.
Configuring strongswan-mod-xauth-generic.
Configuring strongswan-default.
Configuring strongswan-mod-dhcp.
Collected errors:
 * resolve_conffiles: Existing conffile /etc/ipsec.conf is different from the conffile in the new package. The new conffile will be placed at /etc/ipsec.conf-opkg.
 * opkg_install_cmd: Cannot install package strongswan-pki.

per gli eap senza mettersi a far lavoro di fino basta un..

Codice: [Seleziona]

opkg list | grep strongswan-mod-eap- | awk '{print $1}' | xargs opkg install

LuKePicci · « **Risposta #86 il:** 27 Aprile 2020, 02:06 »

sei sicuro che dalla sottrazione tra le due liste avanzassero solo questi?

a1pollo · « **Risposta #87 il:** 27 Aprile 2020, 08:52 »

Quindi con il comando:

Codice: [Seleziona]

opkg list | grep strongswan | awk '{print $1}' | xargs opkg install

Si buttano giu' tutti i pacchetti(83)

Codice: [Seleziona]

strongswan
5.6.3-3
strongswan-charon
5.6.3-3
strongswan-charon-cmd
5.6.3-3
strongswan-default
5.6.3-3
strongswan-ipsec
5.6.3-3
strongswan-isakmp
5.6.3-3
strongswan-libtls
5.6.3-3
strongswan-minimal
5.6.3-3
strongswan-mod-addrblock
5.6.3-3
strongswan-mod-aes
5.6.3-3
strongswan-mod-af-alg
5.6.3-3
strongswan-mod-agent
5.6.3-3
strongswan-mod-attr
5.6.3-3
strongswan-mod-attr-sql
5.6.3-3
strongswan-mod-ccm
5.6.3-3
strongswan-mod-cmac
5.6.3-3
strongswan-mod-connmark
5.6.3-3
strongswan-mod-constraints
5.6.3-3
strongswan-mod-coupling
5.6.3-3
strongswan-mod-curl
5.6.3-3
strongswan-mod-curve25519
5.6.3-3
strongswan-mod-des
5.6.3-3
strongswan-mod-dhcp
5.6.3-3
strongswan-mod-dnskey
5.6.3-3
strongswan-mod-duplicheck
5.6.3-3
strongswan-mod-eap-identity
5.6.3-3
strongswan-mod-eap-md5
5.6.3-3
strongswan-mod-eap-mschapv2
5.6.3-3
strongswan-mod-eap-radius
5.6.3-3
strongswan-mod-eap-tls
5.6.3-3
strongswan-mod-farp
5.6.3-3
strongswan-mod-fips-prf
5.6.3-3
strongswan-mod-forecast
5.6.3-3
strongswan-mod-gcm
5.6.3-3
strongswan-mod-gmp
5.6.3-3
strongswan-mod-gmpdh
5.6.3-3
strongswan-mod-ha
5.6.3-3
strongswan-mod-hmac
5.6.3-3
strongswan-mod-kernel-libipsec
5.6.3-3
strongswan-mod-kernel-netlink
5.6.3-3
strongswan-mod-ldap
5.6.3-3
strongswan-mod-led
5.6.3-3
strongswan-mod-load-tester
5.6.3-3
strongswan-mod-md4
5.6.3-3
strongswan-mod-md5
5.6.3-3
strongswan-mod-mysql
5.6.3-3
strongswan-mod-nonce
5.6.3-3
strongswan-mod-openssl
5.6.3-3
strongswan-mod-pem
5.6.3-3
strongswan-mod-pgp
5.6.3-3
strongswan-mod-pkcs1
5.6.3-3
strongswan-mod-pkcs11
5.6.3-3
strongswan-mod-pkcs12
5.6.3-3
strongswan-mod-pkcs7
5.6.3-3
strongswan-mod-pkcs8
5.6.3-3
strongswan-mod-pubkey
5.6.3-3
strongswan-mod-random
5.6.3-3
strongswan-mod-rc2
5.6.3-3
strongswan-mod-resolve
5.6.3-3
strongswan-mod-revocation
5.6.3-3
strongswan-mod-sha1
5.6.3-3
strongswan-mod-sha2
5.6.3-3
strongswan-mod-smp
5.6.3-3
strongswan-mod-socket-default
5.6.3-3
strongswan-mod-socket-dynamic
5.6.3-3
strongswan-mod-sql
5.6.3-3
strongswan-mod-sqlite
5.6.3-3
strongswan-mod-sshkey
5.6.3-3
strongswan-mod-stroke
5.6.3-3
strongswan-mod-test-vectors
5.6.3-3
strongswan-mod-uci
5.6.3-3
strongswan-mod-unity
5.6.3-3
strongswan-mod-updown
5.6.3-3
strongswan-mod-vici
5.6.3-3
strongswan-mod-whitelist
5.6.3-3
strongswan-mod-x509
5.6.3-3
strongswan-mod-xauth-eap
5.6.3-3
strongswan-mod-xauth-generic
5.6.3-3
strongswan-mod-xcbc
5.6.3-3
strongswan-pki
5.6.3-3
strongswan-scepclient
5.6.3-3
strongswan-swanctl
5.6.3-3

Che per il 4131 potrebbe anche andar bene, post install:

Codice: [Seleziona]

Free space: 90% (80.11 MB)

@FrancYescO, nello script dove hai messo la parola SHAREDSAN, nelle config ci va' $ ?esempio:

Codice: [Seleziona]

rightid=SHAREDSAN
rightid=$SHAREDSAN

questo e' stato generato dallo script

Codice: [Seleziona]

conn rwPUBKEYIOS
        leftsendcert=always
        rightid=SHAREDSAN
        rightauth=pubkey
        rightcert=clientCert_myvpnclient1.pem
        #rightauth2=eap-mschapv2

conn rwEAPTLSIOS
        leftsendcert=always
        rightid=SHAREDSAN
        rightauth=eap-tls
        rightcert=clientCert_myvpnclient1.pem
        #rightauth2=eap-mschapv2

FrancYescO · « **Risposta #88 il:** 27 Aprile 2020, 10:30 »

@LuKePicci Non ho fatto l'estrazione delle liste, li stavo installando i base con i feed ufficiali openwrt e non mi sembra ha tirato giu nulla che non doveva

il comando sotto era per installare tutti i mod-eap- non avevo capito c'era da installare anche oltre

@a1pollo e si con quel comando ti installi tutti quelli che hanno strongswan nel nome, ma ok ai metapacchetti, ma perch� tirarsi giu tutta sta roba?

comunque per sbaglio avevo fatto partire l'install di tutti i strongswan-mod- e solo strongswan-mod-mysql si � tirato dietro ulibcxx che non so se lo rompe, poi cmq si � interrotto per qualche altro che aveva dipendenza kernel

comunque grazie sistemato quella cosa dello SHAREDSAN e aggiunto qualche check per permettere run multipli

LuKePicci · « **Risposta #89 il:** 27 Aprile 2020, 12:55 »

C'� qualcosa oltre i vari eap-* ma non va installato tutto, ad esempio quel mysql di sicuro non serve

[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

a1pollo

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

LuKePicci

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

FrancYescO

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

LuKePicci

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

a1pollo

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

LuKePicci

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

larsen64it

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

LuKePicci

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

FrancYescO

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

LuKePicci

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

FrancYescO

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

LuKePicci

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

a1pollo

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

FrancYescO

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware

LuKePicci

Re:[GUIDA] strongSwan per IPsec su OpenWrt e Homeware