[a1pollo]

I pacchetti mancanti non sono sui feed, gli altri li ho verificati dall'installazione del router vers.17,che sarebbero quelli che installava con:
opkg install strongswan-full.
Strongswan-mod-dhcp, io l'ho configurato per farmi dare sempre gli stessi indirizzi sulla lan, equivalenti a quelli del dhcp, e funziona.

[spleen2060]

ciao anche io ho un  DGA4131 17.2
mi potresti, @a1pollo, postare questi file di configurazione per favore

cat /etc/opkg.conf

cat /etc/opkg/distfeeds.conf

cat /etc/opkg/customfeeds.conf

grazie mille

[a1pollo]

@spleen2060
Ok questa e' quella che sto usando ora sulla ver 17.2. :

Codice: [Seleziona]

root@OpenWrt:~# cat /etc/opkg.conf

  arch all 100
  arch brcm63xx 200
  arch brcm63xx-tch 300

root@OpenWrt:~# cat /etc/opkg/distfeeds.conf
src/gz base https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/base
src/gz luci https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/luci
src/gz management https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/management
src/gz packages https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/packages
src/gz routing https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/routing
src/gz telephony https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/telephony

root@OpenWrt:~# cat /etc/opkg/customfeeds.conf
# add your custom package feeds here
#
src/gz example_feed_name http://www.example.com/path/to/files
src/gz chaos_calmer_base https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base
src/gz chaos_calmer_packages https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/packages
src/gz chaos_calmer_luci https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/luci
src/gz chaos_calmer_routing https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/routing
src/gz chaos_calmer_telephony https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/telephony
src/gz chaos_calmer_management https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/management
Feed ne ho provato altri ma danno errori, Roleo 1.1.0 e BoLaMN sono i piu' compatibili

[spleen2060]

...
Feed ne ho provato altri ma danno errori, Roleo 1.1.0 e BoLaMN sono i piu' compatibili

grazie mille

[Pas_Alberio]

Buongiorno @a1pollo , ho visto che stai provando ad installare strongswan su un 4131 ver.18, sei riuscito e se si come? Io, prima di resettarlo, ero riuscito a farlo funzionare in solo Ike2 con l'app su android ma niente da fare con Mac, Windows e iOS.
Avevo seguito lo script di @FrancYescO ma poi mi sono un po' perso 
Hai qualche suggerimento?

[FrancYescO]

che problemi hai? se ricordo bene io su Mac l'ho provato...
posta qualche log mentre provi la connessione

[Pas_Alberio]

Come ho scritto prima, ho resecato e non ho ancora preinstallato la VPN. Proprio per questo, prima di fare operazioni inutili o peggio dannose, volevo capire quale guida avevi seguito od eventualmente come avevi operato.
Te ne sarei grato 

[a1pollo]

Con android sei riuscito? se il servizio e' attivo il problema sono i certificati, infatti le prime volte che mi loggavo funzionavano solo su android, e non su windows, poi dopo svariate ricerche e prove, e grazie ai consigli di Larsen lasciati in vari post e script di Francyesco, li ho rigenerati.
Li ho generati su macchina virtale ubuntu.

[Pas_Alberio]

Ok ! allora reinstallo e vediamo. Grazie per ora 

[FrancYescO]

@a1pollo cioè i certificati che genera lo script vanno bene solo su android?

[a1pollo]

Ciao, io uso strongswan senza il tuo script, ho usato lo script" come riferimento", io all'inizio usavo la generazione di certificati come scritto da guida di openwrt, che funzionavano solo su android, su windows no, ora li genero cosi',ho memorizzato la procedura su un file:

Codice: [Seleziona]


#!/bin/sh
orgName="openwrt"
caName="myvpn"
ddns_domain="metti qui il tuo ddns"

bit_rsa="4096" ## 1024 / 2048 / 4096

## authority cert

openssl req -new -x509 -days 3650 \
-newkey rsa:$bit_rsa -nodes \
-subj "/C=US/O=$orgName/CN=$caName" \
-keyout caKey.pem -out caCert.pem

## vpn server cert

openssl req -new -newkey rsa:$bit_rsa -nodes \
-subj "/C=US/O=$orgName/CN=$ddns_domain" \
-keyout serverKey.pem -out serverCert.pem

cat << EOF >> confile
[req_ext]
subjectAltName = DNS:$ddns_domain
extendedKeyUsage = 1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.8.2.2
EOF

openssl x509 -req -in serverCert.pem -days 3650 \
-CA caCert.pem -CAkey caKey.pem -CAcreateserial \
-out serverCert.pem  \
-extensions req_ext -extfile confile

## user cert

#openssl req -new -newkey rsa:$bit_rsa -nodes \
#-subj "/C=US/O=$orgName/CN=$vpnclientName" \
#-keyout clientKey.pem -out clientCert.pem

#openssl x509 -req -in clientCert.pem  -days 1095 \
#-CA caCert.pem -CAkey caKey.pem -CAcreateserial \
#-out clientCert.pem

#user cert clientCert.pem "nome"Cert.p12


ipsec pki --pub --in clientKey.pem | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "C=US, O=openwrt, CN=pc1" --san="pc1" --outform pem > clientCert.pem
openssl pkcs12 -export -inkey clientKey.pem -in clientCert.pem -name "pc1" -certfile caCert.pem -caname "myvpn" -out "pc1""Cert.p12"

#continuare come sotto

#ipsec pki --pub --in clientKey.pem | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "C=US, O=openwrt, CN=pc2" --san="pc2" --outform pem > clientCert.pem
#openssl pkcs12 -export -inkey clientKey.pem -in clientCert.pem -name "pc2" -certfile caCert.pem -caname "myvpn" -out "pc2""Cert.p12"

@FrancYescO, volevo chiederti se riesci a fare uno script per fare solo i certificati per piu' utenti, magari richiedendo il numero o il nome, in modo che li generi tutti in automatico, io non riesco.

[LuKePicci]

Lo script è sicuramente basato su una versione vecchia della pagina a cui sono state apportati vari correttivi (alcuni critici, come nel firewall ad esempio) e miglioria tra la generazione di certificati multipli per più utenti e il supporto simultaneo a quante più configurazioni possibili, ma ti confermo che la versione dei certificati generata dallo script è comunque sufficientemente nuova da essere compatibile con sia con windows come machine certificates (per pubkey), sia su windows e windows phone come certificati utente (per eap-tls) sia su android. Di recente hanno anche migliorato e probabilmente corretto il supporto ad iOS.

[FrancYescO]

Ho aggiornato lo script allineandolo alla wiki, se qualcuno vuole fargli fare un giro...

Codice: [Seleziona]

curl -s https://raw.githubusercontent.com/FrancYescO/sharing_tg789/strongswan/setup.sh | sh
i certificati da posizionare sui client verranno messi in /etc/ipsec.d/private, di default genera 1client, i certificati senza password e usa come dominio quello impostato nel DDNS, ma è tutto facilmente modificabile cambiando le variabili nell'intestazione

PS. attenzione che,almeno per ora, non sopporta run multipli, rompe le config del firewall.

[a1pollo]

Ciao @FrancYescO,

Ho voluto provare ad installare il tuo script, solo per "test installazione" in quanto ora e' settato come ap, e non posso spostare o modificare.
Il router e' il modello dgn4131 agg. alla versione 18,(sulla versione 17, il pacchetto strongswan-pki non e' sui feed e quindi non puo' generare i certificati).

Questi sono i pacchetti che mi ha installato:

Codice: [Seleziona]

strongswan
5.6.3-3
strongswan-charon
5.6.3-3
strongswan-default
5.6.3-3
strongswan-ipsec
5.6.3-3
strongswan-mod-aes
5.6.3-3
strongswan-mod-attr
5.6.3-3
strongswan-mod-connmark
5.6.3-3
strongswan-mod-constraints
5.6.3-3
strongswan-mod-des
5.6.3-3
strongswan-mod-dhcp
5.6.3-3
strongswan-mod-dnskey
5.6.3-3
strongswan-mod-fips-prf
5.6.3-3
strongswan-mod-gmp
5.6.3-3
strongswan-mod-hmac
5.6.3-3
strongswan-mod-kernel-netlink
5.6.3-3
strongswan-mod-md5
5.6.3-3
strongswan-mod-nonce
5.6.3-3
strongswan-mod-pem
5.6.3-3
strongswan-mod-pgp
5.6.3-3
strongswan-mod-pkcs1
5.6.3-3
strongswan-mod-pubkey
5.6.3-3
strongswan-mod-random
5.6.3-3
strongswan-mod-rc2
5.6.3-3
strongswan-mod-resolve
5.6.3-3
strongswan-mod-revocation
5.6.3-3
strongswan-mod-sha1
5.6.3-3
strongswan-mod-sha2
5.6.3-3
strongswan-mod-socket-default
5.6.3-3
strongswan-mod-sshkey
5.6.3-3
strongswan-mod-stroke
5.6.3-3
strongswan-mod-updown
5.6.3-3
strongswan-mod-x509
5.6.3-3
strongswan-mod-xauth-generic
5.6.3-3
strongswan-mod-xcbc
5.6.3-3
strongswan-pki
5.6.3-3

Sul repository vi sono tutti questi (dovrebbero servire anche strongswan-mod-eap-**?)

Codice: [Seleziona]

strongswan
strongswan-charon
strongswan-charon-cmd
strongswan-default
strongswan-ipsec
strongswan-isakmp
strongswan-libtls
strongswan-minimal
strongswan-mod-addrblock
strongswan-mod-aes
strongswan-mod-af-alg
strongswan-mod-agent
strongswan-mod-attr
strongswan-mod-attr-sql
strongswan-mod-ccm
strongswan-mod-cmac
strongswan-mod-connmark
strongswan-mod-constraints
strongswan-mod-coupling
strongswan-mod-curl
strongswan-mod-curve25519
strongswan-mod-des
strongswan-mod-dhcp
strongswan-mod-dnskey
strongswan-mod-duplicheck
strongswan-mod-eap-identity
strongswan-mod-eap-md5
strongswan-mod-eap-mschapv2
strongswan-mod-eap-radius
strongswan-mod-eap-tls
strongswan-mod-farp
strongswan-mod-fips-prf
strongswan-mod-forecast
strongswan-mod-gcm
strongswan-mod-gcrypt
StrongSwan libgcrypt plugin
strongswan-mod-gmpdh
strongswan-mod-ha
strongswan-mod-hmac
strongswan-mod-kernel-libipsec
strongswan-mod-kernel-netlink
strongswan-mod-ldap
strongswan-mod-led
strongswan-mod-load-tester
strongswan-mod-md4
strongswan-mod-md5
strongswan-mod-mysql
strongswan-mod-nonce
strongswan-mod-openssl
strongswan-mod-pem
strongswan-mod-pgp
strongswan-mod-pkcs1
strongswan-mod-pkcs11
strongswan-mod-pkcs12
strongswan-mod-pkcs7
strongswan-mod-pkcs8
strongswan-mod-pubkey
strongswan-mod-random
strongswan-mod-rc2
strongswan-mod-resolve
strongswan-mod-revocation
strongswan-mod-sha1
strongswan-mod-sha2
strongswan-mod-smp
strongswan-mod-socket-default
strongswan-mod-socket-dynamic
strongswan-mod-sql
strongswan-mod-sqlite
strongswan-mod-sshkey
strongswan-mod-stroke
strongswan-mod-test-vectors
strongswan-mod-uci
strongswan-mod-unity
strongswan-mod-updown
strongswan-mod-vici
strongswan-mod-whitelist
strongswan-mod-x509
strongswan-mod-xauth-eap
strongswan-mod-xauth-generic
strongswan-mod-xcbc
strongswan-pki
strongswan-scepclient
strongswan-swanctl
I certificati sono stati creati e spostati nelle varie cartelle, anche se nella cartella /tmp/ rimangono:
caCert.crt caKey.pem ,al riavvio dovremmo perderli (non potrei generare ulteriori certificati?Non importa e' giusto per farti un report).

Questo e' un log del servizio:

Codice: [Seleziona]

Sun Apr 26 13:08:16 2020 authpriv.info ipsec_starter[2047]: Starting strongSwan 5.6.3 IPsec [starter]...
Sun Apr 26 13:08:16 2020 daemon.err modprobe: ah4 is already loaded
Sun Apr 26 13:08:16 2020 daemon.err modprobe: esp4 is already loaded
Sun Apr 26 13:08:16 2020 daemon.err modprobe: ipcomp is already loaded
Sun Apr 26 13:08:16 2020 daemon.err modprobe: xfrm4_tunnel is already loaded
Sun Apr 26 13:08:16 2020 daemon.err modprobe: xfrm_user is already loaded
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l)
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG]   loaded ca certificate "C=US, O=Technicolor, CN=CATechnicolor" from '/etc/ipsec.d/cacerts/caCert.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG]   loaded RSA private key from '/etc/ipsec.d/private/serverKey_.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG]   loaded EAP secret for remoteusername
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default connmark stroke updown xauth-generic dhcp
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[JOB] spawning 16 worker threads
Sun Apr 26 13:08:16 2020 authpriv.info ipsec_starter[2047]: charon (2066) started after 60 ms
Sun Apr 26 13:08:16 2020 daemon.info charon: 05[CFG] received stroke: add connection 'rwEAPMSCHAPV2'
Sun Apr 26 13:08:16 2020 daemon.info charon: 05[CFG] adding virtual IP address pool 10.0.1.0/24
Sun Apr 26 13:08:16 2020 daemon.info charon: 05[CFG]   loaded certificate "C=US, O=Technicolor, CN=" from 'serverCert_.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 05[CFG]   id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN='
Sun Apr 26 13:08:16 2020 daemon.info charon: 05[CFG] added configuration 'rwEAPMSCHAPV2'
Sun Apr 26 13:08:16 2020 daemon.info charon: 07[CFG] received stroke: add connection 'rwPUBKEYIOS'
Sun Apr 26 13:08:16 2020 daemon.info charon: 07[CFG] reusing virtual IP address pool 10.0.1.0/24
Sun Apr 26 13:08:16 2020 daemon.info charon: 07[CFG]   loaded certificate "C=US, O=Technicolor, CN=" from 'serverCert_.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 07[CFG]   id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN='
Sun Apr 26 13:08:16 2020 daemon.info charon: 07[CFG]   loaded certificate "C=US, O=Technicolor, CN=myvpnclient1" from 'clientCert_myvpnclient1.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 07[CFG]   id 'SHAREDSAN' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 13:08:16 2020 daemon.info charon: 07[CFG] added configuration 'rwPUBKEYIOS'
Sun Apr 26 13:08:16 2020 daemon.info charon: 09[CFG] received stroke: add connection 'rwEAPTLSIOS'
Sun Apr 26 13:08:16 2020 daemon.info charon: 09[CFG] reusing virtual IP address pool 10.0.1.0/24
Sun Apr 26 13:08:16 2020 daemon.info charon: 09[CFG]   loaded certificate "C=US, O=Technicolor, CN=" from 'serverCert_.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 09[CFG]   id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN='
Sun Apr 26 13:08:16 2020 daemon.info charon: 09[CFG]   loaded certificate "C=US, O=Technicolor, CN=myvpnclient1" from 'clientCert_myvpnclient1.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 09[CFG]   id 'SHAREDSAN' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 13:08:16 2020 daemon.info charon: 09[CFG] added configuration 'rwEAPTLSIOS'
Sun Apr 26 13:08:16 2020 daemon.info charon: 11[CFG] received stroke: add connection 'rwPUBKEY'
Sun Apr 26 13:08:16 2020 daemon.info charon: 11[CFG] reusing virtual IP address pool 10.0.1.0/24
Sun Apr 26 13:08:16 2020 daemon.info charon: 11[CFG]   loaded certificate "C=US, O=Technicolor, CN=" from 'serverCert_.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 11[CFG]   id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN='
Sun Apr 26 13:08:16 2020 daemon.info charon: 11[CFG]   loaded certificate "C=US, O=Technicolor, CN=myvpnclient1" from 'clientCert_myvpnclient1.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 11[CFG]   id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 13:08:16 2020 daemon.info charon: 11[CFG] added configuration 'rwPUBKEY'
Sun Apr 26 13:08:16 2020 daemon.info charon: 13[CFG] received stroke: add connection 'rwEAPTLS'
Sun Apr 26 13:08:16 2020 daemon.info charon: 13[CFG] reusing virtual IP address pool 10.0.1.0/24
Sun Apr 26 13:08:16 2020 daemon.info charon: 13[CFG]   loaded certificate "C=US, O=Technicolor, CN=" from 'serverCert_.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 13[CFG]   id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN='
Sun Apr 26 13:08:16 2020 daemon.info charon: 13[CFG]   loaded certificate "C=US, O=Technicolor, CN=myvpnclient1" from 'clientCert_myvpnclient1.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 13[CFG]   id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 13:08:16 2020 daemon.info charon: 13[CFG] added configuration 'rwEAPTLS'

id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN='
CN=e' cosi' come lo vedi vuoto,non ha preso il mio ddns?o qualcosaltro?(N.B. il sevizio ddns l'ho settato,non e' attivo poiche' l'interfaccia su cui e' settato non e' attiva)
Poi ho notato 10.0.1.0/24,e che non lo hai messo sulla subnet del dhcp, ma poi dopo ci si riesce a comunicare con gli utenti e servizi della lan?
NB. non sono critiche , solo per capire.

[LuKePicci]

Se vuoi che comunichino con la lan o gli assegni staticamente degli ip in essa inclusi o li fai assegnare via dhcp. La subnet proposta sulla wiki è solo un esempio, è chiaro che ognuno deve metterci la sua o quella che preferisce. Assegnare ai client ip al di fuori della subnet locale è utile quando li si vuole isolare da essa, altrimenti se lo scopo è fare in modo che si vedano a vicenda non ha senso tenerli su subnet distinta.