[ivan1970]

è proprio quello il test che sto facendo, ma al ping non risponde.
il tunnel ipSec è attivo:

Codice: [Seleziona]

root@modemtim:~# ipsec status
Security Associations (1 up, 0 connecting):
homeivan-to-office[3]: ESTABLISHED 2 hours ago, 79.40.230.125[xxxx.ddns.net]...85.30.40.50[xxx.yyyy.it]
homeivan-to-office{8}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: cfb a6a79_i c6674ad0_o
homeivan-to-office{8}:   192.168.222.0/24 === 192.168.0.0/24

se provo a tracciare la rotta non va da nessuna parte:

Codice: [Seleziona]

root@modemtim:~# traceroute 192.168.0.2
traceroute to 192.168.0.2 (192.168.0.2), 30 hops max, 38 byte packets
 1  *  *  *
 2  *  *  *
 3  *  *  *
 4  *  *  *
 5  *  *  *
 6  *  *  *


[LuKePicci]

Ho un dubbio, prova con le medesime config ma commentta leftsourceip e rightsourceip su initiator  e responder rispettivamente e riprova.

[ivan1970]

Ho un dubbio, prova con le medesime config ma commentta leftsourceip e rightsourceip su initiator  e responder rispettivamente e riprova.

avevo già fatto questa prova diverse volte ma non riusciva a connettersi....
Adesso ci ho riprovato, ha tirato su il tunnel, ma non riesco ancora a comunicare tra i due siti.
Lanciando una traceroute da entrambe le parti non va da nessuna parte come succedeva ieri.

[LuKePicci]

La regola di nat exemption c'è l'hai sempre da entrambi i lati vero?

Per il resto è tutto corretto, io uso una configuraziobe analoga qui a casa da me.

Non è che hai lasciato in giro qualche rimasugli di regole e rotte create per fare prove?

[ivan1970]

le regole dovrebbero esserci (e comunque non dovrebbe inserirle lo script di updown essendo impostato il leftfirewall=yes?)
adesso dal server debian riesco a raggiungere tutte le macchine di casa (subnet 192.168.222.0/24), che è l'unica cosa che non mi serve 
però dal technicolor non raggiungo neanche il server debian (192.168.0.2).
ho provato anche ad attivare un tcpdump sull'interfaccia 192.168.0.2 del server debian ma non vedo proprio arrivare i pacchetti.
la cosa strana è che se lancio il comando

Codice: [Seleziona]

ip route list table 220
sul server Debian vedo questa rotta:

Codice: [Seleziona]

192.168.222.0/24 via 192.168.0.254 dev eth1 proto static src 192.168.0.2
mentre sul technicolor non restituisce nulla. E da quanto ho letto in giro questa rotta dovrebbe essere presente su entrambi i siti.

[LuKePicci]

ora non ho modo di controllare le rotte ma il fatto che lato technicolor funzioni conferma che la config è corretta

riguardo leftfirewall, è deprecata, non fa nulla

la rotta è giusta e ci deve essere anche sul technicolor, io la vedo

[ivan1970]

grazie mille @LuKePicci risolto tutto.. 
non creava la rotta perchè non era impostatato il parametro install_routes=yes
per aggiungere la rotta verso la subnet 192.168.1.0/24 ho aggiunto una nuova connessione nel file ipsec.conf

Codice: [Seleziona]

conn homeivan-to-officeinternal
        also=homeivan-to-office
        rightsubnet=192.168.1.0/24
in questo modo mi crea entrabbe le rotte

Codice: [Seleziona]

ipsec status
Security Associations (1 up, 0 connecting):
homeivan-to-office[1]: ESTABLISHED 14 minutes ago, 79.40.230.125[xxxx.ddns.net]...85.30.40.50[xxxx.yyyy.it]
homeivan-to-office{1}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c1134710_i c8213f55_o
homeivan-to-office{1}:   192.168.222.0/24 === 192.168.0.0/24
homeivan-to-officeinternal{2}:  INSTALLED, TUNNEL, reqid 2, ESP in UDP SPIs: c40d9583_i ca97ce9c_o
homeivan-to-officeinternal{2}:   192.168.222.0/24 === 192.168.1.0/24


[LuKePicci]

Si però così ti crea due tunnel, prova a mettere la seconda subnet nel rightsubnet dell'altra, dovresti poter settare rightsubnet come una lista di subnet

[ivan1970]

Ci ho provato, ma ignorava la seconda subnet..

[LuKePicci]

Non so perchè te la ignori, non mi è mai capitato di definirgli una coppia di subnet, io avrei creato a mano la rotta per .1.1

Il problema è che adesso che funziona la cosa logica sarebbe rimettergli l'ip virtuale che ti avevo fatto togliere per prova, ovvero riaggiungere rightsourceip e rimuovere rightsubnet dal server e rimuovere leftsubnet sal router di casa, altrimenti ora come ora chiunque in ufficio può entrare su tutti i pc e dispositivi della tua lan di casa, cosa ovviamente da evitare. Però col doppio tunnel mi sa che ti tocca il doppio ip virtuale

[ivan1970]

Ho provato anche a creare a mano la rotta ma mi ignorava anche quella.. ma secondo te potrei eliminare il tunnel della subnet 192.168.0.0/24? Perché quella non mi interessa..

[LuKePicci]

Credo di si

[ivan1970]

sono riuscito a sostituire la subnet 192.168.0.0 con la 192.168.1.0
la configurazione con il virtual ip non riesco proprio a farla, ma non è un problema..
quello che mi preme capire adesso è se riesco ad aumentare le performance di ipsec.
Con un tunnel OpenVPN su un alto router riuscivo ad avere una banda di 50Mbps in download e 20 in upload (praticamente la banda del mio provider)
con il tunnel ipsec ho un banda di circa 10Mbps in download e 10 in opload, c'è un modo per migliorare queste performance?

[LuKePicci]

Se fai un downgrade ad AES128 per ESP forse va leggermente meglio, ma se ti servono performance superiori devi prendere qualcosa di più performante tipo uno dei vari DGA (il 4132 fa anche 120 mega)

[a1pollo]

riuppi quando puoi? anzi se @Marvel lo mette anche in repo tanto meglio

@LuKePicci, il driver da te compilato, kmod-bcm63xx-tch-spu_4.1.38-1_brcm63xx-tch.ipk per l'accellerazione hardware posso metterlo su anon e condividerlo?