IlPuntoTecnico
Hardware e Software => Connessioni ADSL/VDSL/FTTC => Topic aperto da: FrancYescO - 19 Settembre 2019, 23:16
-
È un pacchetto formato collezionando i pezzi della VPN che Technicolor inserisce su alcuni modem (https://github.com/wuseman/TG799VAC-XTREME-17.2-MINT), è pensato per essere installato su GUI modificata (https://www.ilpuntotecnico.com/forum/index.php/topic,81461.0.html) ma ipotizzo funzioni senza problemi anche su GUI stock
Source/Contenuto pacchetto qui, PR sono benvenute: https://github.com/FrancYescO/sharing_tg789/tree/modgui-vpn
Prerequisiti:
Assicuratevi di avere dei feed da cui è possibile scaricare xl2tpd e strongswan (alcuni firmware Technicolor Includono entrambi), in linea di massima se avete la GUI installata c'è buona probabilità son stati già inseriti, assicuratevi con un opkg update siano aggiornati e funzionanti.
Installazione:
curl -k https://raw.githubusercontent.com/FrancYescO/sharing_tg789/modgui-vpn/modgui-vpn_1.0-0_all.ipk -o /tmp/modgui-vpn_1.0-0_all.ipk
opkg install /tmp/modgui-vpn_1.0-0_all.ipk
rm /tmp/modgui-vpn_1.0-0_all.ipk
Rimozione:
opkg remove modgui-vpn
Risultato:
Dovreste ritrovarvi la scheda VPN
(https://i.ibb.co/gSjHpn4/image.png) (https://ibb.co/gSjHpn4) (https://i.ibb.co/gDVYrLn/image.png) (https://ibb.co/gDVYrLn)
Test fatti con successo su 788 e 789vac e anche su DGA4130 sia Android(9/10) che MacOS (10.15) (https://www.ilpuntotecnico.com/forum/index.php/topic,81299.msg257655.html#msg257655) usati come client.
Bug/Limitazioni:
- La card VPN si perde ad ogni aggiornamento GUI
- Su DGA4130 firmware 2.2.0 lo script di reload di ipsec sembra impallarsi e non ho capito perche'
- Sui firmware TIM <2.1.0, quindi con kernel 3.4 non ho trovato il pacchetto xl2tpd compilato (repo hostata qui di @roleo) quindi non ho potuto provare
Soluzioni VPN alternative "senza GUI" e topic da usare come riferimento
IKEv2 con generazione certificati (https://www.ilpuntotecnico.com/forum/index.php/topic,82673.msg255196.html#msg255196)
Wireguard: ci sono i pacchetti compilati per kernel 4.x ma nessuno che ha fatto prove
OpenVPN (https://www.ilpuntotecnico.com/forum/index.php/topic,77856.0.html) sconsigliato, a causa delle performance peggiori rispetto le altre soluzioni, non utilizzabile su firmware con kernel 4.x (firmware TIM DGA >=2.1.0) per mancanza di driver kernel compilati funzionanti.
-
Nel caso avessi già installato e configurato strongswan come devo comportarmi?
-
puoi seguire i passi di install senza problemi non interferisce con nulla e solo se gli servono i pacchetti li installa
-
Non mi sembra così nel mio caso. Il log riporta:
root@dsldevice:/tmp# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Installing modgui-vpn (1.0-0) to root...
Stopping strongSwan IPsec...
Collected errors:
* check_data_file_clashes: Package modgui-vpn wants to install file /etc/init.d/ipsec
But that file is already provided by package * strongswan
* opkg_install_cmd: Cannot install package modgui-vpn.
-
opkg install --force-overwrite /tmp/modgui-vpn_1.0-0_all.ipk
-
@FrancYescO io ce lho questo errore....
Collected errors:
* satisfy_dependencies_for: Cannot satisfy the following dependencies for modgui-vpn:
* xl2tpd * strongswan-default *
* opkg_install_cmd: Cannot install package modgui-vpn.
-
@nice.guy12 dai prima opkg update
come scritto nel primo post devi impostare prima dei feed validi per il tuo modello di modem
-
@FrancYescO
o aggiunto tutto quello che e qua " https://github.com/FrancYescO/789vacv2_opkg "
doppo opkg update....ok, e quando lancio opkg upgrade mi esci fuori questo
opkg: the ``upgrade'' command requires at least one argument
usage: opkg [options...] sub-command [arguments...]
where sub-command is one of:
Package Manipulation:
update Update list of available packages
upgrade <pkgs> Upgrade packages
install <pkgs> Install package(s)
configure <pkgs> Configure unpacked package(s)
remove <pkgs|regexp> Remove package(s)
flag <flag> <pkgs> Flag package(s)
<flag>=hold|noprune|user|ok|installed|unpacked (one per invocation)
Informational Commands:
list List available packages
list-installed List installed packages
list-upgradable List installed and upgradable packages
list-changed-conffiles List user modified configuration files
files <pkg> List files belonging to <pkg>
search <file|regexp> List package providing <file>
find <regexp> List packages whose name or description matches <regexp>
info [pkg|regexp] Display all info for <pkg>
status [pkg|regexp] Display all status for <pkg>
download <pkg> Download <pkg> to current directory
compare-versions <v1> <op> <v2>
compare versions using <= < > >= = << >>
print-architecture List installable package architectures
depends [-A] [pkgname|pat]+
whatdepends [-A] [pkgname|pat]+
whatdependsrec [-A] [pkgname|pat]+
whatrecommends[-A] [pkgname|pat]+
whatsuggests[-A] [pkgname|pat]+
whatprovides [-A] [pkgname|pat]+
whatconflicts [-A] [pkgname|pat]+
whatreplaces [-A] [pkgname|pat]+
Options:
-A Query all packages not just those installed
-V[<level>] Set verbosity level to <level>.
--verbosity[=<level>] Verbosity levels:
0 errors only
1 normal messages (default)
2 informative messages
3 debug
4 debug level 2
-f <conf_file> Use <conf_file> as the opkg configuration file
--conf <conf_file>
--cache <directory> Use a package cache
-d <dest_name> Use <dest_name> as the the root directory for
--dest <dest_name> package installation, removal, upgrading.
<dest_name> should be a defined dest name from
the configuration file, (but can also be a
directory name in a pinch).
-o <dir> Use <dir> as the root directory for
--offline-root <dir> offline installation of packages.
--add-arch <arch>:<prio> Register architecture with given priority
--add-dest <name>:<path> Register destination with given path
Force Options:
--force-depends Install/remove despite failed dependencies
--force-maintainer Overwrite preexisting config files
--force-reinstall Reinstall package(s)
--force-overwrite Overwrite files from other package(s)
--force-downgrade Allow opkg to downgrade packages
--force-space Disable free space checks
--force-postinstall Run postinstall scripts even in offline mode
--force-remove Remove package even if prerm script fails
--force-checksum Don't fail on checksum mismatches
--noaction No action -- test only
--download-only No action -- download only
--nodeps Do not follow dependencies
--nocase Perform case insensitive pattern matching
--size Print package size when listing available packages
--force-removal-of-dependent-packages
Remove package and all dependencies
--autoremove Remove packages that were installed
automatically to satisfy dependencies
-t Specify tmp-dir.
--tmp-dir Specify tmp-dir.
-l Specify lists-dir.
--lists-dir Specify lists-dir.
regexp could be something like 'pkgname*' '*file*' or similar
e.g. opkg info 'libstd*' or opkg search '*libop*' or opkg remove 'libncur*'
-
Ad ogni ravvio del router o cambio di repository bisogna dare opkg update per aggiornare il db dei pacchetti.
-
Ho sbagliato il comando, come dice larsen quello che dovevi dare è opkg update prima dell'installazione
-
Allora, ho testato il pacchetto su DGA4132, l'installazione va a buon fine, la tab appare, ma non riesco a connettermi dall'iPhone il log dice
Thu Oct 3 00:36:44 2019 authpriv.info ipsec: 10[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V V V V V V V ]
Thu Oct 3 00:36:44 2019 daemon.info ipsec: 10[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V V V V V V V ]
Thu Oct 3 00:36:44 2019 authpriv.info ipsec: 10[IKE] no IKE config found for x.x.x.x...x.x.x.x, sending NO_PROPOSAL_CHOSEN
Thu Oct 3 00:36:44 2019 daemon.info ipsec: 10[IKE] no IKE config found for x.x.x.x...x.x.x.x, sending NO_PROPOSAL_CHOSEN
Thu Oct 3 00:36:44 2019 authpriv.info ipsec: 10[ENC] generating INFORMATIONAL_V1 request 565889653 [ N(NO_PROP) ]
Thu Oct 3 00:36:44 2019 daemon.info ipsec: 10[ENC] generating INFORMATIONAL_V1 request 565889653 [ N(NO_PROP) ]
Thu Oct 3 00:36:44 2019 authpriv.info ipsec: 10[NET] sending packet: from x.x.x.x[500] to x.x.x.x[56167] (40 bytes)
Thu Oct 3 00:36:44 2019 daemon.info ipsec: 10[NET] sending packet: from x.x.x.x[500] to x.x.x.x[56167] (40 bytes)
Thu Oct 3 00:36:47 2019 authpriv.info ipsec: 11[NET] received packet: from x.x.x.x[56167] to x.x.x.x[500] (848 bytes)
Thu Oct 3 00:36:47 2019 daemon.info ipsec: 11[NET] received packet: from x.x.x.x[56167] to x.x.x.x[500] (848 bytes)Il servizio si riavvia correttamente dando "ipsec restart" senza "service"
-
Stai utilizzando il client di default nelle impostazioni di iOS? Sembra che sta selezionando un protocollo sbagliato..
-
Si, iOS 13, dovrei provare qualche altro client?
Edit:Neanche da Mac riesco a connettermi, sempre stesso errore...
-
su che firmware stai provando?
xl2tp e' avviato? (ps | grep xl2tp)
come scrito nel primo post sui firmware DGA <2.1.0 non abbiamo il pacchetto compilato... su tutti gli altri dovrebbe scaricarlo in automatico l'installazione (sempre che i feed siano validi..), o alcuni firmware lo hanno addirittura integrato (lo si nota dalla presenza della cartella /etc/xl2tpd)
comunque il restart dovresti farlo dando /etc/init.d/ipsec restart
-
io non sono riuscito a instalarlo.
-
Firmware 2.2.0_002, ora non posso fare altre prove perché mi serve la VPN funzionante (Uso strongswan in questo momento). Comunque
/etc/init.d/ipsec restart questo comando sembrava impallarsi come dicevi tu, mentre ipsec restart funzionava senza problemi. Non avevo controllato se xl2tp era avviato (Ma si era sicuramente installato).
-
ok, sono riuscito anche io a instalarlo, pero sembra che manca qualcosa perche quando vado ad riaviare ipsec mi viene fuori
no files found matching '/etc/strongswan.d/*.conf'
-
Quello non dovrebbe essere un problema
-
Confermo non essere un problema. Cerca dei files *.conf in /etc/strongswan.d/ da caricare, se non li trova, non essendo questi obbligatori, mostra quel messaggio ma strongswan funziona correttamente
-
Sembra che sta selezionando un protocollo sbagliato..
E certo, perchè strongswan usa la magia nera per sapere che protocollo sta usando il client. Questo problema ce l'hai quando la configurazione di strongswan corrente contiene due possibili profili che matchano lo stesso scenario. Se strongswan riceve dal client un messaggio che lo porti a capire correttamente quale profilo usare va tutto bene, se invece ne hai due possibili e d un certo punto tocca a strongswan fare una scelta tra quelli possibili allora o sei fortunato e becca quello giusto )perchè magari è il primo nella lista di quelli possibili) o fa una scommessa a perdere e va in errore.
https://serverfault.com/questions/709228/when-and-with-which-parameters-does-strongswan-select-a-connection
Esempio: in una configurazione cert-based ikev2 a doppio protocollo (pubkey o EAP-TLS) come quella che ho sistemato sulla wiki di openwrt, lui non riesce a distinguere dai primi messaggi se si tratti di una autenticazione client mediante pubkey o eap, Ad ogni modo lui parte supponendo sia del primo tipo (pubkey). dando risposte che vadano bene per entrambi i protocolli, per questo entrambi devono usare autenticazione server mediante pubkey, altrimenti lui non saprebbe che informazioni inviare al client nei primi step. Una volta fatto, lui ancora non sa di che connessione si tratta, ad un certo punto riceve un messaggio dal client che dice "EAP-..." allora lui dice "ah ma allora volevi autenticarti con EAP, allora il profilo pubkey che ho scelto quello sbagliato, vediamo che altro c'è, uh c'è un profilo EAP-TLS sarà questo, proviamo" e risponde.
Se tanto mi da tanto la L2TP/IPsec ha i primi step inconfondibili con quelli della IKEv2/IPsec, per cui non hai modo di tenere buoni entrambi i profili per gli stessi endpoint (si perchè in realtà prima ancora che il contenuto dei messaggi va a guardare e matchare le identità, le identità IKEv2 sono gli ip).
Sempre per questo motivo non si possono tenere buone due configurazioni per le stesse identity una che preveda un singolo round di client auth (tipo su pubkey) e un altra che ne preveda due (pubkey+EAP).
-
@FrancYescO
Ciao, sono riuscito ad installarlo,su fastgate dga4131,inserendo i feedda te elencati, sulla gui mi compare anche la voce vpn.
In fase di installazione mi ha dato il seguente errore:
/usr/sbin/xl2tpd: line 4: syntax error: unexpected ")"
La avvio, pero non riesco ad accedere, sto provando con uno smartphone android,inserendo le credenziali scritte sulla gui vpn.
non so come controllare se la vpn e' avviata.
-
ps a | grep xl2 e controlla se è avviato
Quell'errore mi sa tanto di bin non compatible (quindi non va bene quella repo)
Prova anche a dare /etc/init.d/ipsec restart per vedere che succede
-
Ciao, ho piallato tutto e reinstallato solo la gui di ansuel, e il tuo pacchetto, non ho installato nemmeno libopenssl (che sia quello il problema?).
root@OpenWrt:~# ps a | grep xl2
ps: invalid option -- a
BusyBox v1.23.2 (2018-12-14 20:54:18 UTC) multi-call binary.
Usage: ps
Show list of processes
w Wide output
root@OpenWrt:~# /etc/init.d/ipsec restart
Stopping strongSwan IPsec failed: starter is not running
Command failed: Not found
/usr/lib/ipsec/starter: line 2: @: not found
/usr/lib/ipsec/starter: line 2: @@dt▒Q/lib/ld-uClibc.so.0▒▒Bt▒▒E▒G
@▒0@▒@0@: not found
/usr/lib/ipsec/starter: line 2: : not found
/usr/lib/ipsec/starter: line 2:EL@,: not found
/usr/lib/ipsec/starter: line 3: syntax error: unexpected "&"
PuTTYPuTTYroot@OpenWrt:~# PuTTYPuTTY
Durante l'installazione ora su putty l'unico problema :
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
tutto il resto sembra ok.
pero' non funziona
-
Anche i messaggi che ti escono dal restart stanno a significare semplicemente che quel feed non va bene per il 4131
-
Ok, grazie lo stesso,ci abbiamo provato e non funziona.
Peccato, non mi funziona neanche la guida openvpn, mi va in bootloop.
-
@FrancYescO
Ciao ancora, probabilmente sono riuscito ad installarlo:
root@OpenWrt:~# ps | grep xl2tp
20619 root 1724 S grep xl2tp
pero' ho un problema non riesco a connettermi
Quando vado a connettermi con lo smartphone android su 'visualizzatore eventi' scheda modem della gui di ansuel,
riesco a vedere lo smartphone che cerca di connettersi ma il server ipsec non lo fa entrare:
Data Funzione Processo Messaggio
Nov 21 22:13:14 authpriv.info ipsec 15[NET] sending packet: from 93.38.122.xxx[4500] to 37.160.28.43[20577] (84 bytes)
Nov 21 22:13:14 daemon.info ipsec 15[ENC] generating INFORMATIONAL_V1 request 4193327921 [ HASH N(AUTH_FAILED) ]
Nov 21 22:13:14 authpriv.info ipsec 15[ENC] generating INFORMATIONAL_V1 request 4193327921 [ HASH N(AUTH_FAILED) ]
Nov 21 22:13:14 daemon.info ipsec 15[IKE] found 1 matching config, but none allows HybridInitRSA authentication using Main Mode
Nov 21 22:13:14 authpriv.info ipsec 15[IKE] found 1 matching config, but none allows HybridInitRSA authentication using Main Mode
Nov 21 22:13:14 daemon.info ipsec 15[CFG] looking for HybridInitRSA peer configs matching 93.38.122.xxx...37.160.28.43[10.52.108.51]
Nov 21 22:13:14 authpriv.info ipsec 15[CFG] looking for HybridInitRSA peer configs matching 93.38.122.xxx...37.160.28.43[10.52.108.51]
Nov 21 22:13:14 daemon.info ipsec 15[ENC] parsed ID_PROT request 0 [ ID HASH ]
che protocollo devo usare per autenticarmi?
o devo usare un app particolare?
-
Il risultato del ps è solo grep stesso, quindi non è running x2ltp
Questa è la semplicissima config che ho usato su android
(https://i.ibb.co/4pfVSQX/Screenshot-2019-11-22-13-09-32-797-com-android-settings.jpg) (https://ibb.co/PgY6WSP)
MacOS
(https://i.ibb.co/8rVTmgH/immagine.png) (https://ibb.co/8rVTmgH) (https://i.ibb.co/rdnDHvc/immagine.png) (https://ibb.co/rdnDHvc) (https://i.ibb.co/C9MS3tY/immagine.png) (https://ibb.co/C9MS3tY)
-
Ciao, volevo aggiungere il pacchetto VPN al mio TG789vac v2. Quanto do il comando opkg update mi escono questi errori.
Collected errors:
* opkg_download: Failed to download https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/master/base/Packages.gz, wget returned 1.
* opkg_download: Failed to download https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/master/packages/Packages.gz, wget returned 1.
* opkg_download: Failed to download https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/master/luci/Packages.gz, wget returned 1.
* opkg_download: Failed to download https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/master/routing/Packages.gz, wget returned 1.
* opkg_download: Failed to download https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/master/telephony/Packages.gz, wget returned 1.
* opkg_download: Failed to download https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/master/management/Packages.gz, wget returned 1.
* opkg_download: Failed to download http://downloads.openwrt.org/chaos_calmer/15.05.1/brcm63xx-tch/VANTF/packages/Packages.gz, wget returned 1.
Sembra non trovare il fle packages.gz, che effettivamente manca nei repository
Posso installare comnque la vpn? Se do il comando opkg list i paccheti xl2tpd e strongswan li vedo
Grazie
-
Il problema è wget, cambia momentaneamente i repository con questi.
arch all 100
arch brcm63xx 200
arch brcm63xx-tch 300
src/gz chaos_calmer http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/base
src/gz luci http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/luci
src/gz management http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/management
src/gz routing http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/routing
src/gz packages http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages
src/gz telephony http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/telephony
opkg update
opkg install ca-certificates wget libopenssl
A questo punto reinserisci quelli che avevi e procedi come da guida
-
@LuKePicci, ciao sto provando ad installare strongswan sul mio dgn4131, so' che tu ci sei riuscito io sono 1 settimana che sto provando, ho provato anche con l'altro script di francyesco ma non riesco, non e' che mi daresti una mano d'aiuto?
-
Grazie! Tutto ok, non ho errori.. tranne che non compare la "piastrella" vpn e non so come configurarlo.. Anche se non comparisse come verifico che sia funzionante? Ci sono parametri da modificare, magari tramite ssh, per la configurazione?
la mia configurazione: Firmware UNO versione Mint 17.2 con gui Ansuel su tg789 vac2 su rete FTTC TIM
-
@AnanasExpress ma l'installazione, come da primo post, ha dato errori?
@a1pollo pero' non confondere le cose: lo script che ho postato qui https://www.ilpuntotecnico.com/forum/index.php/topic,77856.msg255196.html#msg255196 non e' la stessa cosa di quello di questo topic, anche se ha paccheti in comune, il problema del 4131 e' che non abbiamo un feed valido da usare.
-
@FrancYescO, scusami se l'ho postato qui, non volevo aprire un'altra discussione, so che sono diversi, abbiamo 3 tipi di vpn : L2TP/IPSec , dove probabilmente L2TP non e' compatibile col 4131, openvpn che va in bootloop, ed infine strongswan che dovrebbe funzionare, dove tu hai creato un altro script parzialmente utilizzabile col 4131 , e comunque @LuKePicci e' riuscito a settarlo. So' di non essere ai vostri livelli, pero' grazie a voi ho imparato tante cose.
-
A parte per il fatto che si basa sulla vecchia versione della guida senza supporto ad EAP-TLS e senza fix per il natting su ipsec lo script di @FrancYescO dovrebbe funzionare a patto di recuperare pacchetti adeguati al tuo device. Io non ho condiviso quelli che ho compilato perchè dovrebbero essere analoghi a quelli che sono qui: https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/ se così non fosse dimmelo e ti mando i miei.
Strongswan serve a fare il setup deile policy ipsec, che sia pura IPsec IKEv1+xauth, che sia pura IPsec IKEv2+EAP, o che sia L2TP su IPsec strongswan serve sempre, l'unica differenza è che in quest'ultimo caso ti serve anche il demone l2tp da farci passare sopra.
-
@AnanasExpress ma l'installazione, come da primo post, ha dato errori?
Nessun errore, ho provato ora a disinstallare e reinstallare
root@dsldevice:~# opkg remove modgui-vpn
Removing package modgui-vpn from root...
xl2tpd stop ..
root@dsldevice:~# curl -s https://raw.githubusercontent.com/FrancYescO/sharing_tg789/modgui-vpn/modgui-vpn_1.0-0_all.ipk -o /tmp/modgui-vpn_1.0-0_all.ipk
root@dsldevice:~# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Installing modgui-vpn (1.0-0) to root...
Configuring modgui-vpn.
root@dsldevice:~# rm /tmp/modgui-vpn_1.0-0_all.ipk
root@dsldevice:~#
Nessun errore.
-
ok immagino senza GUI bisogna andare a mettere anche le regole nel file /etc/config/web..
-
@LuKePicci, ciao si io utilizzo quei feed e quelli di BoLaMN, strongswan lo installa e sembra tutto ok ,infatti da luci il servizio e' attivo, ma non riesco a connettermi, i due script di FrancYescO li ho provati per capire che pacchetti metteva differentemente da quelli 1.1.0, e per capire il funzionamento, e posso dire che comunque ha fatto un ottimo lavoro, a prescindere dal non funzionamento sul 4131.
Questo quando faccio ipsec restart:
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] attr-sql plugin: database URI not set
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loaded ca certificate "C=US, O=bla, CN=blaa" from '/etc/ipsec.d/cacerts/caCert.pem'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loading secrets from '/etc/ipsec.secrets'# qui ho messo test test(per prova)
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loaded RSA private key from '/etc/ipsec.d/private/serverKey.pem'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loaded EAP secret for test
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] sql plugin: database URI not set
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] loaded 0 RADIUS server configurations
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] HA config misses local/remote address
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[CFG] coupling file path unspecified
Tue Nov 26 21:42:26 2019 daemon.info syslog: 00[LIB] loaded plugins: charon test-vectors ldap pkcs11 aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp agent xcbc cmac hmac ctr ccm gcm curl mysql sqlite attr kernel-netlink resolve socket-default farp stroke smp updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic xauth-eap dhcp whitelist led duplicheck uci addrblock uniTue Nov 26 21:42:26 2019 daemon.info syslog: 00[JOB] spawning 16 worker threads
Tue Nov 26 21:42:26 2019 authpriv.info ipsec_starter[29161]: charon (29162) started after 420 ms
Tue Nov 26 21:42:26 2019 daemon.info syslog: 02[CFG] received stroke: add connection 'roadwarrior'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 02[CFG] loaded certificate "C=US, O=bla, CN=mio ip" from 'serverCert.pem'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 02[CFG] loaded certificate "C=US, O=bla, CN=blaa" from 'clientCert.pem'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 02[CFG] id '%any' not confirmed by certificate, defaulting to 'C=US, O=bla, CN=blaa'
Tue Nov 26 21:42:26 2019 daemon.info syslog: 02[CFG] added configuration 'roadwarrior'
il servizio e' up? non riesco ad entrare con android
ps. non riesco ad usare i bb code O:-) O:-)
-
Si il servizio è up. Ora ammesso che la config per roadwarrior sia a posto sta tutto nella configurazione del client. La guida di riferimento per il setup è questa: https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior
Per debuggare devi tenere aperto un logread -f e tentare la connessione. Prenditi dalla guida sia il fix al nat che le istruzioni per configurare android in PUBKEY.
-
@LuKePicci, ciao ancora io,scusami ancora, ma con le mie competenze non riesco ad andare oltre.
Ho ip pubblico
Wed Nov 27 22:58:11 2019 daemon.info syslog: 07[NET] received packet: from 37.163.232.13[55686] to mio ip[500] (336 bytes)
Wed Nov 27 22:58:11 2019 daemon.info syslog: 07[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Wed Nov 27 22:58:11 2019 daemon.info syslog: 07[IKE] 37.163.232.13 is initiating an IKE_SA
Wed Nov 27 22:58:11 2019 authpriv.info syslog: 07[IKE] 37.163.232.13 is initiating an IKE_SA
Wed Nov 27 22:58:11 2019 daemon.info syslog: 07[IKE] remote host is behind NAT
Wed Nov 27 22:58:11 2019 daemon.info syslog: 07[IKE] sending cert request for "C=US, O=bla, CN=bla2"
Wed Nov 27 22:58:11 2019 daemon.info syslog: 07[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(MULT_AUTH) ]
Wed Nov 27 22:58:11 2019 daemon.info syslog: 07[NET] sending packet: from mio ip[500] to 37.163.232.13[55686] (353 bytes)
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[NET] received packet: from 37.163.232.13[55687] to mio ip[4500] (1488 bytes)
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] received cert request for "C=US, O=bla, CN=bla2"
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] received end entity cert "C=US, O=bla, CN=bla1"
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] looking for peer configs matching mio ip[%any]...37.163.232.13[C=US, O=bla, CN=bla1]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] selected peer config 'roadwarriorPUBKEY'
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] using trusted ca certificate "C=US, O=bla, CN=bla2"
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] checking certificate status of "C=US, O=bla, CN=bla1"
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] certificate status is not available
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] reached self-signed root ca with a path length of 0
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] using trusted certificate "C=US, O=bla, CN=bla1"
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] authentication of 'C=US, O=bla, CN=bla1' with RSA_EMSA_PKCS1_SHA256 successful
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] peer supports MOBIKE
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] authentication of 'mio ip' (myself) with RSA_EMSA_PKCS1_SHA256 successful
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] IKE_SA roadwarriorPUBKEY[6] established between mio ip[mio ip]...37.163.232.13[C=US, O=bla, CN=bla1]
Wed Nov 27 22:58:12 2019 authpriv.info syslog: 04[IKE] IKE_SA roadwarriorPUBKEY[6] established between mio ip[mio ip]...37.163.232.13[C=US, O=bla, CN=bla1]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] scheduling reauthentication in 10097s
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] maximum IKE_SA lifetime 10637s
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] sending end entity cert "C=US, O=bla, CN=mio ip"
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] peer requested virtual IP %any
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] reassigning offline lease to 'C=US, O=bla, CN=bla1'
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] assigning virtual IP 10.0.1.1 to peer 'C=US, O=bla, CN=bla1'
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] peer requested virtual IP %any6
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] no virtual IP found for %any6 requested by 'C=US, O=bla, CN=bla1'
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[CFG] configured proposals: ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/BLOWFISH_CBC_256/HMAC_SHA1_96/AES_XCBC_96/HMAC_MD5_96/NO_EXT_SEQ
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] no acceptable proposal found
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[IKE] failed to establish CHILD_SA, keeping IKE_SA
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR) N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(NO_PROP) ]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 04[NET] sending packet: from mio ip[4500] to 37.163.232.13[55687] (1360 bytes)
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[NET] received packet: from 37.163.232.13[55687] to mio ip[4500] (80 bytes)
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[ENC] parsed INFORMATIONAL request 2 [ D ]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[IKE] received DELETE for IKE_SA roadwarriorPUBKEY[6]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[IKE] deleting IKE_SA roadwarriorPUBKEY[6] between mio ip[mio ip]...37.163.232.13[C=US, O=bla, CN=bla1]
Wed Nov 27 22:58:12 2019 authpriv.info syslog: 05[IKE] deleting IKE_SA roadwarriorPUBKEY[6] between mio ip[mio ip]...37.163.232.13[C=US, O=bla, CN=bla1]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[IKE] IKE_SA deleted
Wed Nov 27 22:58:12 2019 authpriv.info syslog: 05[IKE] IKE_SA deleted
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[ENC] generating INFORMATIONAL response 2 [ ]
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[NET] sending packet: from mio ip[4500] to 37.163.232.13[55687] (80 bytes)
Wed Nov 27 22:58:12 2019 daemon.info syslog: 05[CFG] lease 10.0.1.1 by 'C=US, O=bla, CN=bla1' went offline
Wed Nov 27 22:58:19 2019 daemon.warn odhcpd[3489]: A default route is present but there is no public prefix on wl0_2 thus we don't announce a default route!
Questo il mio ipsec.conf
config setup
conn %default
keyexchange=ikev2
conn roadwarriorPUBKEY
left=%any
leftauth=pubkey
leftcert=serverCert.pem
leftid=il mio ip
leftsubnet=0.0.0.0/0,::/0
#leftsendcert=always
right=%any
rightsourceip=10.0.1.0/24
rightauth=pubkey
rightcert=clientCert.pem
#rightauth2=eap-mschapv2
eap_identity=%identity
auto=add
Su firewall e firewall user ho copiato da guida
-
Perchè hai lasciato rightsourceip=10.0.1.0/24 ?
Comunque, il tuo problema è la ciphersuite selezionata dal client, prova a rilassarne i requisiti o cerca di capire per quale motivo strongswan non la supporta. Ad occhio sembra mancare il supporto a sha2 e famiglia, verifica che non ci fosse da installare qualche altro pacchetto tipo strongswan-mod-sha2, e comunque tra quelle che hai installato ce ne sono alcune davvero inguardabili, devo assolutamente aggiungere a quella guida gli step necessari a disabilitarle.
-
@ LuKePicci, ieri sera ho rimosso strongswan poi l'ho reinstallato con questi problemi:
da luci installo strongswan, installa solo strongswan e null'altro. :facepalm:
Sempre da luci installo strongswan-default,ok lo installa, decido quindi di generare certificati e chiavi con copia incolla quelli della guida, errori: non genera. :facepalm:
Mi dico evvero nella guida c'e' scritto di installare strongswan-full, e ok installa tutto quanto,ma di generare chiavi e certificati niente, quindi lascio perdere e rimetto quelli generati in precedenza, qui non so cosa sbaglio.(Ho creato una macchina virtuale Ubuntu in precedenza per generarli).Quindi lascio i pacchetti cosi' come sono.
Ho pensato di nn discostarmi dalla guida:
Il pacchetto strongswan-mod-sha2 e' presente.
Perchè hai lasciato rightsourceip=10.0.1.0/24 ?
Pensavo che charon funzionasse tipo demone e che assegnasse quella classe di indirizzi alle connessioni al di fuori della mia lan,per poi potervi accedere.
Dovrei mettere quelli della mia lan 192.168.1.1? e modificare anche strongswan.conf?
-
Pensavi bene, ti chiedevo solo perchè hai preferito lasciare i client vpn su quella subnet rispetto a fargli assegnare indirizzi dal dhcp, insomma volevo essere sicuro tu avessi fatto una scelta oculata e non avessi lasciato lì i valori di default a caso.
La situazione in cui eri prima mi sembrava corretta tranne per la mancanza di quella ciphersuite. Magari vediamo anche di scoprire se di norma ad esempio anche me quelle ciphersuite mancano, tu intanto cerca di tornare al punto in cui eri prima.
-
@LuKePicci, mi chiedo ancora perche' col gateway non riesco a generare i certificati e le chiavi, ho pensato che fosse a causa dei due pacchetti libopenssl e openssl utils presi dai feed di BoLaMN allora li ho sostituiti con quelli di roleo 1.1.0, ma non funziona lo stesso non genera.
Per le mie prove ho messo in rete disabilitando il dhcp il mio vecchio td-w8970 openwrt, ho installato il pacchetto strongswan-full e ho generato chiavi e certificati, poiche' lo spazio e' veramente piccolo l'ho disinstallato, poi l'ho reinstallato e anche li non ne vuol sapere di generare certificati e chiavi.
Di quali pacchetti ho bisogno per generare?
questi sono presenti sul gateway:
iptables-mod-ipsec 1.4.21-2 ------ sui feed di roleo c'e' una versione 1.6 la aggiorno?
kmod-ipsec 3.4.11-1
kmod-ipsec4 3.4.11-1
kmod-ipsec6 3.4.11-1
kmod-ipt-ipsec 3.4.11-1
Ma come hai fatto a compilarti i tuoi pacchetti senza sorgenti?
-
Ma si che ci sono i sorgenti, ci sono quelli che bastano a compilare quello che serve, e manca qualche script per usare i loro toolchain con due click ma a compilare si compila. Poi se i pacchetti nemmeno dipendono dal kernel o da parti che non sappiamo come sono fatte a che vuoi che servano i sorgenti di quei pezzi? Quando compili driver tun finisci col modulo che ti manda il router in kernel panic ma se devi solo compilare un demon IKEv2 sapendo che nel kernel ci sono i pezzi che servono vai dritto alla meta senza altre pippe
Sinceramente non mi ricordo come ho generato i certificati. Potrei averlo fatto sul pc e solo dopo aver capito come riuscirci anche sul device. Ma quelli che avevi generato tu andavano quasi sicuramente bene, non era lì il problema.
Riguardo i pacchetti da installare, avevo selezionato manualmente tutti quelli inclusi in strongswan-full e loro dipendenze meno alcuni che ero sicuro non servissero a nulla e loro esclusive dipendenze. Se vuoi divertirti a confrontare uno alla volt ai pacchetti che ho io con quelli che hai tu qui c'è la mia lista: https://pastebin.com/UD04z3by
-
Prova veloce se libopenssl genera le chiavi
#!/bin/sh
vpnclientName="myvpnclient"
orgName="Technicolor"
caName="CATechnicolor"
ddns_domain="dyndns.it"
bit_rsa="1024" ## 1024 / 2048 / 4096
## authority cert
openssl req -new -x509 -days 3650 \
-newkey rsa:$bit_rsa -nodes \
-subj "/C=US/O=$orgName/CN=$caName" \
-keyout caKey.pem -out caCert.pem
## vpn server cert
openssl req -new -newkey rsa:$bit_rsa -nodes \
-subj "/C=US/O=$orgName/CN=$ddns_domain" \
-keyout serverKey.pem -out serverCert.pem
cat << EOF >> confile
[req_ext]
subjectAltName = DNS:$ddns_domain
extendedKeyUsage = 1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.8.2.2
EOF
openssl x509 -req -in serverCert.pem -days 1095 \
-CA caCert.pem -CAkey caKey.pem -CAcreateserial \
-out serverCert.pem \
-extensions req_ext -extfile confile
## user cert
openssl req -new -newkey rsa:$bit_rsa -nodes \
-subj "/C=US/O=$orgName/CN=$vpnclientName" \
-keyout clientKey.pem -out clientCert.pem
openssl x509 -req -in clientCert.pem -days 1095 \
-CA caCert.pem -CAkey caKey.pem -CAcreateserial \
-out clientCert.pem
-
strongswan ha un suo tool "ipsec" per generare le chiavi, la guida ne fa uso (e poi fa anche uso di openssl più avanti), ma non sono per nulla convinto usasse openssl
-
Non è roba mia, non arrivo a tanto:
http://arons.github.io/hack/ipsec/vpn/ssl/2014/03/28/ipsec.html
https://serverfault.com/questions/906748/openssl-equivalent-of-libreswan-ipsec
-
@larsen64it, ciao si il tool da te postato le genera, non genera il file .p12, lo avevo gia' provato su macchina virtuale ubuntu. Io mi chiedo per generare le chiavi sul 4131 come da guida strongswan di quali pacchetti ho bisogno? qui entrano in gioco le libopenssl che nei vari feed sono differenti, e che quando le sostituisco mi danno altri problemi.
Installando la piastrella L2TP/IPSec le chiavi me le ha generate!!!! strongswan-pki non e' nei feed
-
Guardando qua i file p.12 sono un container generato da openssl.
https://wiki.strongswan.org/projects/strongswan/wiki/SimpleCA
Installando la piastrella L2TP/IPSec le chiavi me le ha generate!!!!
Guardando la piastrella richiede xl2tpd, strongswan-default come dipendenze. strongswan-default non ha tra le dipendenze strongswan-pki.
https://openwrt.org/packages/pkgdata/strongswan-default
-
Si e' l'Unione di più certificati, per praticità, su Android piazzo quello, e l'app strongswan lo ritrova sui settings.
Io sto combattento contro il "guerriero della strada", ma quello mi si è piazzato di fronte e non vuol saperne di farmi passare!! :rotfl:
-
La domanda sorge spontanea oltre Luke c'è qualcuno che lo ha installato e usato con successo sul dga4131? Se sì con quali repo.
-
Con quelli di roleo 1.1.0 li installa, ed il servizio viene avviato, strongswan-full, legge i certificati, e che proprio non mi fa entrare, ieri avevo anche problemi che ora non ricordo bene tipo Ash ....,sono fuori casa, li ho annotati su un TXT, ho cambiato le libopenssl le ho messe uguali a LuKe, ma mi hanno dato altri problemi, infatti stamattina il WiFi non si avviava , quindi giù di reset completo, per fortuna non l'ho ancora briccato!! :rotfl: :rotfl:
-
Il problema credo che i 1.1.0 abbiano dei problemi con il 4131 anche luci si installa ma non funziona, se fossero stati compilati sui vecchi agtef o quelli di BoLaMN, a naso forse sarebbe stato meglio, ma ignoro le differenze.
-
Scusami ho sbagliato in alto, i certificati me li ha generato quando ho messo il file .sh creato da Francyesco dove appunto menzionava strongswan-pki nell' installazione, forse avevo messo anche i suoi feed e anche quelli di openwrt,ed installato le libopenssl, di quei feed.
Ora non ricordo più però potrei riprovare, giusto per capire e che poi creo un sacco di confusione.
Io opero in questo modo: mi creo un TXT e appunto quello che faccio, con gli errori, ma poi quando vedo che ciò non è fattibile lo elimino e scrivo la non fattibilita' su un altro TXT che utilizzo quando riparto da un reset completo, per reinstallare ansuel gui, luci e il resto.
-
Esatto. Il problema è che roleo ba aggiornato libopenssl nelle sue repo e quindi usandole si spacca un po' tutto.
Provate a prendere quello che vi serve dalle repo di BoLaMN o ditemelo e vi condivido lo zip con quelli compilati da me.
-
Non so se risolve ma io luci avevo usato questi repo misti:
dest root /
dest ram /tmp
lists_dir ext /var/opkg-lists
option overlay_root /overlay
src/gz base https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/base
src/gz luci https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/luci
#src/gz management https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/management
#src/gz packages https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/packages
src/gz routing https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/routing
#src/gz telephony https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/telephony
#src/gz base https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base
#src/gz luci https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/luci
src/gz management https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/management
src/gz packages https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/packages
#src/gz routing https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/routing
src/gz telephony https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/telephony
-
roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base/
libopenssl_1.0.2q-2_brcm63xx-tch.ipk 734
openssl-util_1.0.2q-2_brcm63xx-tch.ipk 229
ca-certificates_20161130+nmu1_all.ipk
wget_1.17.1-1_brcm63xx-tch.ipk
roleo/public/agtef/1.1.0/brcm63xx-tch.old/packages/base/
libopenssl_1.0.2q-2_brcm63xx-tch.ipk 734
openssl-util_1.0.2q-2_brcm63xx-tch.ipk 229
ca-certificates_20161130+nmu1_all.ipk
wget_1.17.1-1_brcm63xx-tch.ipk
roleo/public/agtef/brcm63xx-tch/packages/base/
libopenssl_1.0.2n-1_brcm63xx-tch.ipk 737
openssl-util_1.0.2n-1_brcm63xx-tch.ipk 229
ca-certificates_20161130+nmu1_all.ipk
wget_1.17.1-1_brcm63xx-tch.ipk
http/141.54.159.13/brcm63xx-tch/packages/base (dovrebbe essere la copia di BoLaMN)
libopenssl_1.0.2n-1_brcm63xx-tch.ipk 737
openssl-util_1.0.2n-1_brcm63xx-tch.ipk 229
ca-certificates_20161130+nmu1_all.ipk
wget_1.17.1-1_brcm63xx-tch.ipk
http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/generic/packages/base/
libopenssl_1.0.2g-1_brcm63xx-tch.ipk 670
openssl-util_1.0.2g-1_brcm63xx-tch.ipk 191
ca-certificates_20150426_brcm63xx.ipk
wget_1.17.1-1_brcm63xx.ipk
FrancYescO/789vacv2_opkg/tree/master/base
libopenssl_1.0.2g-1_brcm63xx-tch.ipk 670
openssl-util_1.0.2g-1_brcm63xx-tch.ipk 191
ca-certificates_20150426_brcm63xx-tch.ipk
wget_1.16.3-1_brcm63xx-tch.ipk
I numeri sono la dimensione,libopenssl e openssl-util sono sempre accoppiati,io spesso li avevo differenti,
ha ragione LuKe,roleo 1.1.0 prima aveva sia n che q,infatti sul mio txt avevo segnato n come non piu' esistente.
-
I certificati sono riuscito a generarli:
Installate openssl-util e libopenssl di BoLaMN sul router ossia 1.0.2n-1
Bisogna fare un bel reboot del router altrimenti da' questi errori sia generando le chiavi che facendo un restart di ipsec:
opening AF_ALG socket failed: Address family not supported by protocol
Dopo il riavvio gli errori non ci sono piu' errori, e genera le chiavi e i certificati come da guida, e anche velocemente!
-
@LuKePicci
Io non sono ancora riuscito ad avere una connessione, non capisco cosa sbaglio.
Ho confrontato i pacchetti di strongswan miei con i tuoi e sono identici strongswan-full, ossia tutti.
Ho fatto un sacco di prove, modificando ipsec.
Questa configurazione ora:
config setup
conn %default
keyexchange=ikev2
conn roadwarriorPUBKEY
left=%any
La configurazione e' cosi' come la vedi, anche il log ho solo messo" il mio ip",al posto dell ip pubblico.
leftauth=pubkey
leftcert=serverCert.pem
leftid=xxx.dyndns.org
leftsubnet=0.0.0.0/0,::/0
#leftsendcert=always
right=%any
rightsourceip=10.0.1.0/24
rightauth=pubkey
rightcert=clientCert.pem
#rightid="C=DE, O=xxx, CN=client"
#rightauth2=eap-mschapv2
#eap_identity=%any
eap_identity=%identity
auto=add
ipsec.secrets:
# /etc/ipsec.secrets - strongSwan IPsec secrets file
: RSA serverKey.pem
guerriero : EAP "warrior"
log
Sun Dec 1 08:18:57 2019 daemon.info syslog: 01[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Dec 1 08:18:57 2019 daemon.info syslog: 01[IKE] 37.160.138.117 is initiating an IKE_SA
Sun Dec 1 08:18:57 2019 authpriv.info syslog: 01[IKE] 37.160.138.117 is initiating an IKE_SA
Sun Dec 1 08:18:57 2019 daemon.info syslog: 01[IKE] remote host is behind NAT
Sun Dec 1 08:18:57 2019 daemon.info syslog: 01[IKE] sending cert request for "C=DE, O=xxx, CN=xxxx"
Sun Dec 1 08:18:57 2019 daemon.info syslog: 01[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(MULT_AUTH) ]
Sun Dec 1 08:18:57 2019 daemon.info syslog: 01[NET] sending packet: from il mio ip[500] to 37.160.138.117[37872] (353 bytes)
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[NET] received packet: from 37.160.138.117[37873] to il mio ip[4500] (1456 bytes)
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) N(AUTH_FOLLOWS) ]
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[IKE] received cert request for "C=DE, O=xxx, CN=xxxx"
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[IKE] received end entity cert "C=DE, O=xxx, CN=client"
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[CFG] looking for peer configs matching il mio ip[%any]...37.160.138.117[C=DE, O=xxx, CN=client]
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[CFG] selected peer config 'roadwarriorPUBKEY'
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[CFG] using trusted ca certificate "C=DE, O=xxx, CN=xxxx"
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[CFG] checking certificate status of "C=DE, O=xxx, CN=client"
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[CFG] certificate status is not available
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[CFG] reached self-signed root ca with a path length of 0
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[CFG] using trusted certificate "C=DE, O=xxx, CN=client"
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[IKE] authentication of 'C=DE, O=xxx, CN=client' with RSA_EMSA_PKCS1_SHA256 successful
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[IKE] peer supports MOBIKE
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[IKE] authentication of 'xxx.dyndns.org' (myself) with RSA_EMSA_PKCS1_SHA256 successful
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[IKE] sending end entity cert "C=DE, O=xxx, CN=xxx.dyndns.org"
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH ]
Sun Dec 1 08:18:57 2019 daemon.info syslog: 16[NET] sending packet: from il mio ip[4500] to 37.160.138.117[37873] (1216 bytes)
Sun Dec 1 08:18:57 2019 daemon.info syslog: 14[NET] received packet: from 37.160.138.117[37873] to il mio ip[4500] (96 bytes)
Sun Dec 1 08:18:57 2019 daemon.info syslog: 14[ENC] parsed IKE_AUTH request 2 [ IDi ]
Sun Dec 1 08:18:57 2019 daemon.info syslog: 14[IKE] peer requested EAP, config inacceptable
Sun Dec 1 08:18:57 2019 daemon.info syslog: 14[CFG] no alternative config found
Sun Dec 1 08:18:57 2019 daemon.info syslog: 14[ENC] generating IKE_AUTH response 2 [ N(AUTH_FAILED) ]
Sun Dec 1 08:18:57 2019 daemon.info syslog: 14[NET] sending packet: from il mio ip[4500] to 37.160.138.117[37873] (80 bytes)
La modifica modprobe $m || :, l'ho fatta.
-
Ora va molto meglio rispetto all'altra volta quando non avevi le ciphersuite. Non toccare più i pacchetti.
Il log è molto esplicito. L'autenticazione via certificato è a posto, non toccarli ulteriormente.
authentication of 'C=DE, O=xxx, CN=client' with RSA_EMSA_PKCS1_SHA256 successful
Ora hai solo un problema di configurazione: il tuo client sta richiedendo di autenticarsi tramite EAP:
peer requested EAP, config inacceptable
Ora, siccome la config proposta sulla wiki di openwrt può supportare (così com'è supporta contemporaneamente solo le due in grassetto):
-solo certificati
-EAP(certificati o password)
-certificati + EAP(certificati o password)
tu mi devi dire esattamente quale hai scelto e quale client vuoi usare e come l'hai configurato, altrimenti dirti "disabilita EAP sul client" potrebbe non corrispondere a quello che vuoi fare tu.
-
@LuKePicci, ok a me andrebbe bene solo certificati,
Il client e' strongswan per android.
Attualmente l'ho configurato IKEv2 Certificate + EAP(username/password).
Anche se metto IKEv2 Certificate (sul client) non connette, in questo caso non so che configurazione devo mettere sul server(ne ho provate tante).
Questo con IKEv2 Certificate sul mio android:
Sun Dec 1 14:19:10 2019 daemon.info syslog: 03[NET] received packet: from 37.160.110.212[40636] to mio ip[500] (336 bytes)
Sun Dec 1 14:19:10 2019 daemon.info syslog: 03[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Dec 1 14:19:10 2019 daemon.info syslog: 03[IKE] 37.160.110.212 is initiating an IKE_SA
Sun Dec 1 14:19:10 2019 authpriv.info syslog: 03[IKE] 37.160.110.212 is initiating an IKE_SA
Sun Dec 1 14:19:10 2019 daemon.info syslog: 03[IKE] remote host is behind NAT
Sun Dec 1 14:19:10 2019 daemon.info syslog: 03[IKE] sending cert request for "C=DE, O=xxx, CN=xxxx"
Sun Dec 1 14:19:10 2019 daemon.info syslog: 03[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(MULT_AUTH) ]
Sun Dec 1 14:19:10 2019 daemon.info syslog: 03[NET] sending packet: from mio ip[500] to 37.160.110.212[40636] (353 bytes)
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[NET] received packet: from 37.160.110.212[40642] to mio ip[4500] (1456 bytes)
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] received cert request for "C=DE, O=xxx, CN=xxxx"
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] received end entity cert "C=DE, O=xxx, CN=client"
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[CFG] looking for peer configs matching mio ip[%any]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[CFG] selected peer config 'roadwarriorPUBKEY'
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[CFG] using trusted ca certificate "C=DE, O=xxx, CN=xxxx"
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[CFG] checking certificate status of "C=DE, O=xxx, CN=client"
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[CFG] certificate status is not available
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[CFG] reached self-signed root ca with a path length of 0
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[CFG] using trusted certificate "C=DE, O=xxx, CN=client"
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] authentication of 'C=DE, O=xxx, CN=client' with RSA_EMSA_PKCS1_SHA256 successful
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] peer supports MOBIKE
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] authentication of 'xxx.dyndns.org' (myself) with RSA_EMSA_PKCS1_SHA256 successful
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] IKE_SA roadwarriorPUBKEY[2] established between mio ip[xxx.dyndns.org]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 14:19:11 2019 authpriv.info syslog: 01[IKE] IKE_SA roadwarriorPUBKEY[2] established between mio ip[xxx.dyndns.org]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] scheduling reauthentication in 10003s
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] maximum IKE_SA lifetime 10543s
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] sending end entity cert "C=DE, O=xxx, CN=xxx.dyndns.org"
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] peer requested virtual IP %any
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[CFG] reassigning offline lease to 'C=DE, O=xxx, CN=client'
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] assigning virtual IP 10.0.1.1 to peer 'C=DE, O=xxx, CN=client'
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] peer requested virtual IP %any6
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] no virtual IP found for %any6 requested by 'C=DE, O=xxx, CN=client'
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[CFG] received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[CFG] configured proposals: ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/BLOWFISH_CBC_256/HMAC_SHA1_96/AES_XCBC_96/HMAC_MD5_96/NO_EXT_SEQ
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] no acceptable proposal found
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[IKE] failed to establish CHILD_SA, keeping IKE_SA
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS NBNS) N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(NO_PROP) ]
Sun Dec 1 14:19:11 2019 daemon.info syslog: 01[NET] sending packet: from mio ip[4500] to 37.160.110.212[40642] (1376 bytes)
Sun Dec 1 14:19:11 2019 daemon.info syslog: 07[NET] received packet: from 37.160.110.212[40642] to mio ip[4500] (80 bytes)
Sun Dec 1 14:19:11 2019 daemon.info syslog: 07[ENC] parsed INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
Sun Dec 1 14:19:11 2019 daemon.info syslog: 07[IKE] received DELETE for IKE_SA roadwarriorPUBKEY[2]
Sun Dec 1 14:19:11 2019 daemon.info syslog: 07[IKE] deleting IKE_SA roadwarriorPUBKEY[2] between mio ip[xxx.dyndns.org]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 14:19:11 2019 authpriv.info syslog: 07[IKE] deleting IKE_SA roadwarriorPUBKEY[2] between mio ip[xxx.dyndns.org]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 14:19:11 2019 daemon.info syslog: 07[IKE] IKE_SA deleted
Sun Dec 1 14:19:11 2019 authpriv.info syslog: 07[IKE] IKE_SA deleted
Sun Dec 1 14:19:11 2019 daemon.info syslog: 07[ENC] generating INFORMATIONAL response 2 [ ]
Sun Dec 1 14:19:11 2019 daemon.info syslog: 07[NET] sending packet: from mio ip[4500] to 37.160.110.212[40642] (80 bytes)
Sun Dec 1 14:19:11 2019 daemon.info syslog: 07[CFG] lease 10.0.1.1 by 'C=DE, O=xxx, CN=client' went offline
-
Si ma non mi hai detto se lo vuoi con pubkey o con eap-tls.
Io non so tu cosa abbia ora nelle configurazioni di strongswan sul router probabilmente ne hai due non distinguibili (edit: no, tra i due esempi hai solo modificato la config del client).
Sicuramente puoi tenere configurate sul router due alternative che propongono rispettivamente pubkey o eap-tls come primo round. Nel momento in cui ne modifichi una per proporre anche un secondo round eap perdi la possibilità di tenere configurata una alternativa a singolo round pubkey perchè strongswan non è in grado di distinguerle (dato che entrambe le policy matchano con %any). Quindi attieniti per il momento alla guida sulla wiki e tieni solo le due alternative a singolo round.
edit: Nell'esempio di stamattina avevi evidentemente configurato il client con due round di autenticazione (pubkey + eap-mschapv2) di cui non esisteva una corrispondente config sul router. In questo qui sopra invece hai configurato il client con soli certificati e il router è d'accordo, l'autenticazione (primo ed unico round) è completa e il client prosegue col setup della policy ESP ma sei di nuovo al punto che la ciphersuite richiesta dal client non è tra quelle disponibili su sul router. Faccio qualche verifica sulle versioni dei client android che avevo testato e e ti faccio sapere, intanto vedi se sul client riesci a rilassare il requisito crittografico per ESP e vedi se intanto riesce a connettersi.
-
Non voglio discostarmi dalla guida quindi pubkey(roadwarriorPUBKEY).
La guida su openwrt l'hai scritta tu?
-
L'ho editata, quella originale ometteva una serie di dettagli fondamentali e soprattutto proponeva per default la config a doppio round che però funziona solo su android.
Vedi che ho editato sopra, non avevo confrontato correttamente i due log.
edit: dunque, il client android che ho usato per i test e che tutt'ora funziona correttamente è strongswan 2.2.1, configurato come solo certificati (pubkey) selezionato sull'app come "IKEv2 Certificate", e non ho customizzato in alcun modo le ciphersuite (c'è il campo per sceglierle manualmente). Questo è il log che compare quando tutto va come dovrebbe:
root@OpenWrt:~# logread -f | grep "daemon.info syslog:"
Sun Dec 1 16:31:35 2019 daemon.info syslog: 13[NET] received packet: from 37.161.75.19[38672] to 62.x.x.x[500] (716 bytes)
Sun Dec 1 16:31:35 2019 daemon.info syslog: 13[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Dec 1 16:31:35 2019 daemon.info syslog: 13[IKE] 37.161.75.19 is initiating an IKE_SA
Sun Dec 1 16:31:35 2019 daemon.info syslog: 13[IKE] remote host is behind NAT
Sun Dec 1 16:31:35 2019 daemon.info syslog: 13[IKE] DH group ECP_256 inacceptable, requesting MODP_2048
Sun Dec 1 16:31:35 2019 daemon.info syslog: 13[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Sun Dec 1 16:31:35 2019 daemon.info syslog: 13[NET] sending packet: from 62.x.x.x[500] to 37.161.75.19[38672] (38 bytes)
Sun Dec 1 16:31:36 2019 daemon.info syslog: 16[NET] received packet: from 37.161.75.19[38672] to 62.x.x.x[500] (908 bytes)
Sun Dec 1 16:31:36 2019 daemon.info syslog: 16[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Dec 1 16:31:36 2019 daemon.info syslog: 16[IKE] 37.161.75.19 is initiating an IKE_SA
Sun Dec 1 16:31:36 2019 daemon.info syslog: 16[IKE] remote host is behind NAT
Sun Dec 1 16:31:36 2019 daemon.info syslog: 16[IKE] sending cert request for "C=IT, O=LuMa, CN=LuMa Trusted Members CA"
Sun Dec 1 16:31:36 2019 daemon.info syslog: 16[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(MULT_AUTH) ]
Sun Dec 1 16:31:36 2019 daemon.info syslog: 16[NET] sending packet: from 62.x.x.x[500] to 37.161.75.19[38672] (481 bytes)
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[NET] received packet: from 37.161.75.19[38673] to 62.x.x.x[4500] (4716 bytes)
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[IKE] received cert request for "C=IT, O=LuMa, CN=LuMa Trusted Members CA"
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[IKE] received 153 cert requests for an unknown ca
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[IKE] received end entity cert "C=IT, O=LuMa, [email protected]"
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[CFG] looking for peer configs matching 62.x.x.x[%any]...37.161.75.19[C=IT, O=LuMa, [email protected]]
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[CFG] selected peer config 'roadwarriorPUBKEY'
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[CFG] using certificate "C=IT, O=LuMa, [email protected]"
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[CFG] using trusted ca certificate "C=IT, O=LuMa, CN=LuMa Trusted Members CA"
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[CFG] checking certificate status of "C=IT, O=LuMa, [email protected]"
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[CFG] certificate status is not available
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[CFG] reached self-signed root ca with a path length of 0
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[IKE] authentication of 'C=IT, O=LuMa, [email protected]' with RSA_EMSA_PKCS1_SHA256 successful
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[IKE] peer supports MOBIKE
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[IKE] authentication of 'myrouter.dyndns.org' (myself) with RSA_EMSA_PKCS1_SHA256 successful
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[IKE] IKE_SA roadwarriorPUBKEY[9] established between 62.x.x.x[myrouter.dyndns.org]...37.161.75.19[C=IT, O=LuMa, [email protected]]
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[IKE] scheduling reauthentication in 10163s
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[IKE] maximum IKE_SA lifetime 10703s
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[IKE] sending end entity cert "C=IT, O=LuMa, CN=myrouter.dyndns.org"
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[IKE] peer requested virtual IP %any
Sun Dec 1 16:31:36 2019 daemon.info syslog: 05[CFG] sending DHCP DISCOVER to 192.168.43.255
Sun Dec 1 16:31:37 2019 daemon.info syslog: 05[CFG] sending DHCP DISCOVER to 192.168.43.255
Sun Dec 1 16:31:38 2019 daemon.info syslog: 15[MGR] ignoring request with ID 1, already processing
Sun Dec 1 16:31:39 2019 daemon.info syslog: 05[CFG] sending DHCP DISCOVER to 192.168.43.255
Sun Dec 1 16:31:40 2019 daemon.info syslog: 04[CFG] received DHCP OFFER 192.168.43.187 from 192.168.43.254
Sun Dec 1 16:31:40 2019 daemon.info syslog: 05[CFG] sending DHCP REQUEST for 192.168.43.187 to 192.168.43.254
Sun Dec 1 16:31:40 2019 daemon.info syslog: 05[CFG] sending DHCP REQUEST for 192.168.43.187 to 192.168.43.254
Sun Dec 1 16:31:40 2019 daemon.info syslog: 02[CFG] received DHCP ACK for 192.168.43.187
Sun Dec 1 16:31:40 2019 daemon.info syslog: 05[IKE] assigning virtual IP 192.168.43.187 to peer 'C=IT, O=LuMa, [email protected]'
Sun Dec 1 16:31:40 2019 daemon.info syslog: 05[IKE] peer requested virtual IP %any6
Sun Dec 1 16:31:40 2019 daemon.info syslog: 05[IKE] no virtual IP found for %any6 requested by 'C=IT, O=LuMa, [email protected]'
Sun Dec 1 16:31:40 2019 daemon.info syslog: 05[IKE] CHILD_SA roadwarriorPUBKEY{3} established with SPIs c991e2ff_i 837c457f_o and TS 0.0.0.0/0 ::/0 === 192.168.43.187/32
Sun Dec 1 16:31:40 2019 daemon.info syslog: 05[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS NBNS DNS) SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) ]
Sun Dec 1 16:31:40 2019 daemon.info syslog: 05[NET] sending packet: from 62.x.x.x[4500] to 37.161.75.19[38673] (1452 bytes)
Sun Dec 1 16:31:40 2019 daemon.info syslog: 16[NET] received packet: from 37.161.75.19[38673] to 62.x.x.x[4500] (76 bytes)
Sun Dec 1 16:31:40 2019 daemon.info syslog: 16[ENC] parsed INFORMATIONAL request 2 [ N(NO_ADD_ADDR) ]
Sun Dec 1 16:31:40 2019 daemon.info syslog: 16[ENC] generating INFORMATIONAL response 2 [ ]
Sun Dec 1 16:31:40 2019 daemon.info syslog: 16[NET] sending packet: from 62.x.x.x[4500] to 37.161.75.19[38673] (76 bytes)
ora se riesco provo a controllare quale ciphersuite sta usando
-
LuKe,nelle due guide su openwrt riguardanti strongswan, nella generazione dei certificati e chiavi ho notato queste differenze:
a1 vs b1 la presenza di \ prima di --san
a2 vs b2 la mancanza di --san=********
Possono dar modo a degli errori?
https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/howto
a1)ipsec pki --pub --in serverKey.pem | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "C=DE, O=xxx, CN=xxx.dyndns.org" \--san="xxx.dyndns.org" --flag serverAuth --flag ikeIntermediate --outform pem > serverCert.pem
a2)ipsec pki --pub --in clientKey.pem | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "C=DE, O=xxx, CN=client" --outform pem > clientCert.pem
https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior
b1)ipsec pki --pub --in serverKey.pem | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "C=US, O=yyy, CN=myvpnserver.dyndns.org" --san="myvpnserver.dyndns.org" --flag serverAuth --flag ikeIntermediate --outform pem > serverCert.pem
b2)ipsec pki --pub --in clientKey.pem | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "C=US, O=yyy, CN=myvpnclient" --san="myvpnclient" --outform pem > clientCert.pem
In un forum(uno dei tanti riguardanti l'argomento) leggevo che l'opzione san dava problemi ad android,puo' essere che fosse un bug risolto,pero' magari...
Ps. io oltre no riesco ad andare, ho provato tante configurazioni diverse sia sul server che sul client.
-
La \ che vedi in quella guida serve sulle shell unix a splittare il comando su due righe, è irrilevante. SAN va specificato per requisiti più stringenti introdotti in epoca più moderna. Quell'altra pagina non l'ho mia guardata, serviva a configurare ipsec con ikev1+xauth su ios quando ancora non esisteva ikev2, andrebbe rinominata tipo "Roadwarrior IPsec IKEv1" e deprecata. Se dovessi mettermi ad aggiornarle tutte uscirei pazzo.
Controlla la versione del kernel sul tuo cellulare, mi sa che è più nuovo di quello che ho usato io (linux 3.10.84) e per questo propone solo ciphersuite più nuove.
-
Xiaomi redmi note 5 Kernel 4.4.153
strongswan 2.2.1, un utente ha scritto sul playstore non funziona,altri ok
Ora con IKEv2 Certificate , senza setting avanzato
Sun Dec 1 17:06:43 2019 daemon.info syslog: 13[NET] received packet: from 37.160.110.212[40712] to ip[500] (716 bytes)
Sun Dec 1 17:06:43 2019 daemon.info syslog: 13[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Dec 1 17:06:43 2019 daemon.info syslog: 13[IKE] 37.160.110.212 is initiating an IKE_SA
Sun Dec 1 17:06:43 2019 authpriv.info syslog: 13[IKE] 37.160.110.212 is initiating an IKE_SA
Sun Dec 1 17:06:43 2019 daemon.info syslog: 13[IKE] remote host is behind NAT
Sun Dec 1 17:06:43 2019 daemon.info syslog: 13[IKE] DH group ECP_256 inacceptable, requesting MODP_2048
Sun Dec 1 17:06:43 2019 daemon.info syslog: 13[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Sun Dec 1 17:06:43 2019 daemon.info syslog: 13[NET] sending packet: from ip[500] to 37.160.110.212[40712] (38 bytes)
Sun Dec 1 17:06:43 2019 daemon.info syslog: 08[NET] received packet: from 37.160.110.212[40712] to ip[500] (908 bytes)
Sun Dec 1 17:06:43 2019 daemon.info syslog: 08[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Dec 1 17:06:43 2019 daemon.info syslog: 08[IKE] 37.160.110.212 is initiating an IKE_SA
Sun Dec 1 17:06:43 2019 authpriv.info syslog: 08[IKE] 37.160.110.212 is initiating an IKE_SA
Sun Dec 1 17:06:44 2019 daemon.info syslog: 08[IKE] remote host is behind NAT
Sun Dec 1 17:06:44 2019 daemon.info syslog: 08[IKE] sending cert request for "C=DE, O=xxx, CN=xxxx"
Sun Dec 1 17:06:44 2019 daemon.info syslog: 08[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(MULT_AUTH) ]
Sun Dec 1 17:06:44 2019 daemon.info syslog: 08[NET] sending packet: from ip[500] to 37.160.110.212[40712] (481 bytes)
Sun Dec 1 17:07:14 2019 daemon.info syslog: 02[JOB] deleting half open IKE_SA after timeout
-
Sì, è decisamente troppo nuovo. Devi configurarlo in modo da adattarsi a quelle disponibili sul kernel del router. Alcune sono obsolete e insicure ma ce n'è qualcuno ancora adeguata.
Vedi un po' qui: https://wiki.strongswan.org/projects/strongswan/wiki/SecurityRecommendations#Cipher-Selection ma in generale trovi di sicuro qualcuno su internet che si è imbattuto in questi problemi.
PS che vuol dire senza setting avanzato? Prima cosa avevi selezionato?
PS 2: comunque se intanto provi da un altro dispositivo verifichi che la config sul router sia ok.
PS 3: una possibile scelta per le proposal sul client potrebbe essrere
ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/BLOWFISH_CBC_256/HMAC_SHA1_96/AES_XCBC_96/NO_EXT_SEQ
-
To do that, click Edit on the Profile, and scroll to the bottom to Advanced settings. At the bottom you will find a section called Algorithms.
Under IKEv2 Algorithms, enter: aes256-sha256-modp1024 or whatever IKEv2 Algorithm you are using.
Under IPsec/ESP Algorithms, enter: aes256-sha256 or whatever IPsec/ESP Algorithm you are using.
Save, and then try to connect again.
Potrei provare con ariel (amazon fire4 @root),pero' con hotspot dal mio smartphone.
-
Ah ok, quella parte della guida non l'avevo mai notata, fa parte di quello che c'era in origine. Io non ho applicato nulla del genere sul mio client.
Su IKEv2 Algorithms metti quello che avevi quando ottenevi l'errore sulla proposal CHILD_SA (immagino avessi specificato aes256-sha256-modp1024 visto che lasciandolo vuoto a te tenta di usare ECP_256). In ESP Algorithms invece devi selezionare qualcosa che il router ammetta. prova a lasciarlo vuoto e vediamo cosa dice. (edit: ti confermo che aes256-sha256 per il nostro router è troppo, anche a me dà lo stesso errore se lo specifico in quel modo, se lasciandolo vuoto non riesci mettici al massimo aes256-sha1, o se vuoi vederlo andare più veloce aes128-sha1).
-
Amazon fire 4 @root ,kernel 3 10 61, con hotspot dal mio telefono,strongswan IKEv2 Certificate:
Sun Dec 1 18:00:57 2019 daemon.info syslog: 06[NET] received packet: from 37.160.110.212[40735] to ip[500] (716 bytes)
Sun Dec 1 18:00:57 2019 daemon.info syslog: 06[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Dec 1 18:00:57 2019 daemon.info syslog: 06[IKE] 37.160.110.212 is initiating an IKE_SA
Sun Dec 1 18:00:57 2019 authpriv.info syslog: 06[IKE] 37.160.110.212 is initiating an IKE_SA
Sun Dec 1 18:00:57 2019 daemon.info syslog: 06[IKE] remote host is behind NAT
Sun Dec 1 18:00:57 2019 daemon.info syslog: 06[IKE] DH group ECP_256 inacceptable, requesting MODP_2048
Sun Dec 1 18:00:57 2019 daemon.info syslog: 06[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Sun Dec 1 18:00:57 2019 daemon.info syslog: 06[NET] sending packet: from ip[500] to 37.160.110.212[40735] (38 bytes)
Sun Dec 1 18:00:57 2019 daemon.info syslog: 04[NET] received packet: from 37.160.110.212[40735] to ip[500] (908 bytes)
Sun Dec 1 18:00:57 2019 daemon.info syslog: 04[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Dec 1 18:00:57 2019 daemon.info syslog: 04[IKE] 37.160.110.212 is initiating an IKE_SA
Sun Dec 1 18:00:57 2019 authpriv.info syslog: 04[IKE] 37.160.110.212 is initiating an IKE_SA
Sun Dec 1 18:00:57 2019 daemon.info syslog: 04[IKE] remote host is behind NAT
Sun Dec 1 18:00:57 2019 daemon.info syslog: 04[IKE] sending cert request for "C=DE, O=xxx, CN=xxxx"
Sun Dec 1 18:00:57 2019 daemon.info syslog: 04[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(MULT_AUTH) ]
Sun Dec 1 18:00:57 2019 daemon.info syslog: 04[NET] sending packet: from ip[500] to 37.160.110.212[40735] (481 bytes)
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[NET] received packet: from 37.160.110.212[40736] to ip[4500] (1548 bytes)
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] received cert request for "C=DE, O=xxx, CN=xxxx"
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] received end entity cert "C=DE, O=xxx, CN=client"
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[CFG] looking for peer configs matching ip[%any]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[CFG] selected peer config 'roadwarriorPUBKEY'
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[CFG] using trusted ca certificate "C=DE, O=xxx, CN=xxxx"
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[CFG] checking certificate status of "C=DE, O=xxx, CN=client"
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[CFG] certificate status is not available
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[CFG] reached self-signed root ca with a path length of 0
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[CFG] using trusted certificate "C=DE, O=xxx, CN=client"
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] authentication of 'C=DE, O=xxx, CN=client' with RSA_EMSA_PKCS1_SHA256 successful
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] peer supports MOBIKE
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] authentication of 'xxx.dyndns.org' (myself) with RSA_EMSA_PKCS1_SHA256 successful
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] IKE_SA roadwarriorPUBKEY[23] established between ip[xxx.dyndns.org]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 18:00:58 2019 authpriv.info syslog: 03[IKE] IKE_SA roadwarriorPUBKEY[23] established between ip[xxx.dyndns.org]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] scheduling reauthentication in 9842s
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] maximum IKE_SA lifetime 10382s
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] sending end entity cert "C=DE, O=xxx, CN=xxx.dyndns.org"
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] peer requested virtual IP %any
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[CFG] reassigning offline lease to 'C=DE, O=xxx, CN=client'
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] assigning virtual IP 10.0.1.1 to peer 'C=DE, O=xxx, CN=client'
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] peer requested virtual IP %any6
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] no virtual IP found for %any6 requested by 'C=DE, O=xxx, CN=client'
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[IKE] CHILD_SA roadwarriorPUBKEY{5} established with SPIs c07b9bfd_i 9c3a665a_o and TS 0.0.0.0/0 ::/0 === 10.0.1.1/32
Sun Dec 1 18:00:58 2019 authpriv.info syslog: 03[IKE] CHILD_SA roadwarriorPUBKEY{5} established with SPIs c07b9bfd_i 9c3a665a_o and TS 0.0.0.0/0 ::/0 === 10.0.1.1/32
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS NBNS) SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) ]
Sun Dec 1 18:00:58 2019 daemon.info syslog: 03[NET] sending packet: from ip[4500] to 37.160.110.212[40736] (1500 bytes)
Sun Dec 1 18:00:59 2019 user.err syslog: [defaultGW] Ignoring improper event
Sun Dec 1 18:00:59 2019 daemon.info syslog: 13[NET] received packet: from 37.160.110.212[40736] to ip[4500] (76 bytes)
Sun Dec 1 18:00:59 2019 daemon.info syslog: 13[ENC] parsed INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
Sun Dec 1 18:00:59 2019 daemon.info syslog: 13[IKE] received DELETE for IKE_SA roadwarriorPUBKEY[23]
Sun Dec 1 18:00:59 2019 daemon.info syslog: 13[IKE] deleting IKE_SA roadwarriorPUBKEY[23] between ip[xxx.dyndns.org]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 18:00:59 2019 authpriv.info syslog: 13[IKE] deleting IKE_SA roadwarriorPUBKEY[23] between ip[xxx.dyndns.org]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 18:00:59 2019 daemon.info syslog: 13[IKE] IKE_SA deleted
Sun Dec 1 18:00:59 2019 authpriv.info syslog: 13[IKE] IKE_SA deleted
Sun Dec 1 18:00:59 2019 daemon.info syslog: 13[ENC] generating INFORMATIONAL response 2 [ ]
Sun Dec 1 18:00:59 2019 daemon.info syslog: 13[NET] sending packet: from ip[4500] to 37.160.110.212[40736] (76 bytes)
Sun Dec 1 18:00:59 2019 daemon.info syslog: 13[CFG] lease 10.0.1.1 by 'C=DE, O=xxx, CN=client' went offline
-
Scusate l'interruzione
@a1pollo
Per la cronaca ho ridato un occhiata allo script di @FrancYescO
https://github.com/FrancYescO/sharing_tg789/blob/strongswan/setup.sh
il pacchetto che non trovavi strongswan-pki è presente nei repo per i dga4132/30 per il kernel 4.x
Per tg788/789 e dga4131 non è presente ed è sostituito da strongswan-utils che è già compreso nell'installazione di strongswan-default.
Buon proseguimento
-
aes256-sha1, o se vuoi vederlo andare più veloce aes128-sha1, la configurazione non vuole accettarli.
Potrebbe essere dovuto dalla generazione dei certificati e chiavi,perche' quelli che uso ora li ho generati con la seconda guida , senza --san.
Potrei sostituirli.
aes128-sha1-modp1024 cosi lo prende:
dal mio smartphone,IKEv2 Certificate aes128-sha1-modp1024:
Sun Dec 1 18:43:14 2019 daemon.info syslog: 02[NET] received packet: from 37.160.110.212[40781] to ip[500] (336 bytes)
Sun Dec 1 18:43:14 2019 daemon.info syslog: 02[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Dec 1 18:43:14 2019 daemon.info syslog: 02[IKE] 37.160.110.212 is initiating an IKE_SA
Sun Dec 1 18:43:14 2019 authpriv.info syslog: 02[IKE] 37.160.110.212 is initiating an IKE_SA
Sun Dec 1 18:43:14 2019 daemon.info syslog: 02[IKE] remote host is behind NAT
Sun Dec 1 18:43:14 2019 daemon.info syslog: 02[IKE] sending cert request for "C=DE, O=xxx, CN=xxxx"
Sun Dec 1 18:43:14 2019 daemon.info syslog: 02[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(MULT_AUTH) ]
Sun Dec 1 18:43:14 2019 daemon.info syslog: 02[NET] sending packet: from ip[500] to 37.160.110.212[40781] (353 bytes)
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[NET] received packet: from 37.160.110.212[40782] to ip[4500] (1452 bytes)
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] received cert request for "C=DE, O=xxx, CN=xxxx"
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] received end entity cert "C=DE, O=xxx, CN=client"
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[CFG] looking for peer configs matching ip[%any]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[CFG] selected peer config 'roadwarriorPUBKEY'
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[CFG] using trusted ca certificate "C=DE, O=xxx, CN=xxxx"
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[CFG] checking certificate status of "C=DE, O=xxx, CN=client"
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[CFG] certificate status is not available
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[CFG] reached self-signed root ca with a path length of 0
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[CFG] using trusted certificate "C=DE, O=xxx, CN=client"
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] authentication of 'C=DE, O=xxx, CN=client' with RSA_EMSA_PKCS1_SHA256 successful
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] peer supports MOBIKE
Sun Dec 1 18:43:14 2019 user.err syslog: [defaultGW] Ignoring improper event
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] authentication of 'xxx.dyndns.org' (myself) with RSA_EMSA_PKCS1_SHA256 successful
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] IKE_SA roadwarriorPUBKEY[34] established between ip[xxx.dyndns.org]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 18:43:14 2019 authpriv.info syslog: 15[IKE] IKE_SA roadwarriorPUBKEY[34] established between ip[xxx.dyndns.org]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] scheduling reauthentication in 9803s
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] maximum IKE_SA lifetime 10343s
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] sending end entity cert "C=DE, O=xxx, CN=xxx.dyndns.org"
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] peer requested virtual IP %any
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[CFG] reassigning offline lease to 'C=DE, O=xxx, CN=client'
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] assigning virtual IP 10.0.1.1 to peer 'C=DE, O=xxx, CN=client'
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] peer requested virtual IP %any6
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] no virtual IP found for %any6 requested by 'C=DE, O=xxx, CN=client'
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[IKE] CHILD_SA roadwarriorPUBKEY{8} established with SPIs cc4df570_i ec9ac3d9_o and TS 0.0.0.0/0 ::/0 === 10.0.1.1/32
Sun Dec 1 18:43:14 2019 authpriv.info syslog: 15[IKE] CHILD_SA roadwarriorPUBKEY{8} established with SPIs cc4df570_i ec9ac3d9_o and TS 0.0.0.0/0 ::/0 === 10.0.1.1/32
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS NBNS) SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) ]
Sun Dec 1 18:43:14 2019 daemon.info syslog: 15[NET] sending packet: from ip[4500] to 37.160.110.212[40782] (1500 bytes)
Sun Dec 1 18:43:14 2019 daemon.info syslog: 04[NET] received packet: from 37.160.110.212[40782] to ip[4500] (76 bytes)
Sun Dec 1 18:43:14 2019 daemon.info syslog: 04[ENC] parsed INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
Sun Dec 1 18:43:14 2019 daemon.info syslog: 04[IKE] received DELETE for IKE_SA roadwarriorPUBKEY[34]
Sun Dec 1 18:43:14 2019 daemon.info syslog: 04[IKE] deleting IKE_SA roadwarriorPUBKEY[34] between ip[xxx.dyndns.org]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 18:43:14 2019 authpriv.info syslog: 04[IKE] deleting IKE_SA roadwarriorPUBKEY[34] between ip[xxx.dyndns.org]...37.160.110.212[C=DE, O=xxx, CN=client]
Sun Dec 1 18:43:14 2019 daemon.info syslog: 04[IKE] IKE_SA deleted
Sun Dec 1 18:43:14 2019 authpriv.info syslog: 04[IKE] IKE_SA deleted
Sun Dec 1 18:43:14 2019 daemon.info syslog: 04[ENC] generating INFORMATIONAL response 2 [ ]
Sun Dec 1 18:43:14 2019 daemon.info syslog: 04[NET] sending packet: from ip[4500] to 37.160.110.212[40782] (76 bytes)
Sun Dec 1 18:43:14 2019 daemon.info syslog: 04[CFG] lease 10.0.1.1 by 'C=DE, O=xxx, CN=client' went offline
errore era aes128-sha1-modp1024
-
Sicuramente devi generare i certificati nel modo corretto se vuoi escludere compatibilità con client più recenti. Il fire4 sembra non avere problemi con le proposal crittografiche.
Per il fire4, rigenera i certificati nel modo giusto e riprova.
Per lo xiaomi, sempre con i certificati rigenerati, rilassa la proposta per la parte IKE e lascia vuota quella per ESP
Comunque ho aggiornato la guida sulla wiki per gestire meglio queste situazioni, la versione precedente dava per scontato che se c'è un problema allora la soluzione è impostare quel certo valore, ma così non è.
-
@LuKePicci, sono dentro ci siamo riusciti!!!!!!! :D :D
La colpa era la mia, la prima autenticazione era ok, mettendo sul client ikev2 certificate, aes128-sha1-modp2048(avanzate)
La seconda autenticazione non passava per via dell'opzione "san" sulle chiavi,non riusciva ad autenticarlo con il mio ip pubblico,che appunto utilizza android(confronto indirizzo ip con l'opzione "san" scritta sul certificato del server, se e' diverso non entri), perche' io non lo mettevo!! :headbang:
Il servizio ddns che avevo io funziona male ma ora non mi serve piu'.
Ho rigenerato le chiavi mettendolo.
Grazie, senza il tuo aiuto non sarei riuscito! :clap:
#!/bin/sh
ipsec pki --gen --outform pem > caKey.pem
ipsec pki --self --in caKey.pem --dn "C=US, O=yyy, CN=xxxx" --ca --outform pem > caCert.pem
ipsec pki --gen --outform pem > serverKey.pem
ipsec pki --pub --in serverKey.pem | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "C=US, O=yyy, CN=ip pubblico o il nome del servizio ddns" --san="ip pubblico o il nome del servizio ddns" --flag serverAuth --flag ikeIntermediate --outform pem > serverCert.pem
ipsec pki --gen --outform pem > clientKey.pem
ipsec pki --pub --in clientKey.pem | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "C=US, O=yyy, CN=myvpnclient" --san="myvpnclient" --outform pem > clientCert.pem
openssl pkcs12 -export -inkey clientKey.pem -in clientCert.pem -name "myvpnclient" -certfile caCert.pem -caname "xxxx" -out clientCert.p12
Cit. "guerriero ti abbiamo sconfitto"
Ho parlato troppo presto,sono dentro ma non navigo!
-
Bhè intanto congratulazioni per la prima parte del risultato.
Ora devi capire cosa impedisce al traffico di transitare. Inizia col fare qualche ping dal client al router e viceversa. Poi prova col ping gi un altro host in lan e dall'host in lan al client vpn.
La navigazione probabilmente ti è preclusa perchè quando hai deciso di non usare il dhcp non hai assegnato anche un gateway.
Comunque quella di mettere l'ip nei certificati non è una grandissima idea, non sia mai cambia devi rifare e reinstallare tutti i certificati. Io uso un dominio gratuito in CNAME col ddns, tu potresti usare il dominio gratuito e basta.
-
@LuKePicci
Comunque quella di mettere l'ip nei certificati non è una grandissima idea.
Hai ragione, io ho un servizio ddns, che ha problemi con la gui, non appena riusciamo a mettere a posto tutto, riprovero' i certificati con il ddns.
10[IKE] assigning virtual IP 10.0.1.1
Questi i ping:
Indirizzo IP router 192.168.1.1
root@OpenWrt:~# ping 10.0.1.1
PING 10.0.1.1 (10.0.1.1): 56 data bytes
64 bytes from 10.0.1.1: seq=0 ttl=64 time=363.016 ms
64 bytes from 10.0.1.1: seq=1 ttl=64 time=309.882 ms
64 bytes from 10.0.1.1: seq=2 ttl=64 time=349.169 ms
indirizzo ip pcportatile 192.168.1.10
ping 10.0.1.1
Esecuzione di Ping 10.0.1.1 con 32 byte di dati:
Risposta da 10.0.1.1: byte=32 durata=199ms TTL=63
Risposta da 10.0.1.1: byte=32 durata=293ms TTL=63
Risposta da 10.0.1.1: byte=32 durata=255ms TTL=63
Risposta da 10.0.1.1: byte=32 durata=288ms TTL=63
indirizzo ip td-w8970 192.168.1.2
ping 10.0.1.1
PING 10.0.1.1 (10.0.1.1): 56 data bytes
64 bytes from 10.0.1.1: seq=0 ttl=63 time=482.158 ms
64 bytes from 10.0.1.1: seq=1 ttl=63 time=218.169 ms
64 bytes from 10.0.1.1: seq=2 ttl=63 time=222.758 ms
dallo smartphone:
:/ $ ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=197 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=196 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=202 ms
64 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=180 ms
dallo smartphone al pcportatile nulla
127|:/ $ ping 192.168.1.2
PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.
64 bytes from 192.168.1.2: icmp_seq=1 ttl=63 time=205 ms
64 bytes from 192.168.1.2: icmp_seq=2 ttl=63 time=221 ms
64 bytes from 192.168.1.2: icmp_seq=3 ttl=63 time=240 ms
-
Ok quindi i ping vanno tutti, quello dallo smartphone al pc portatile è normale che non vada perchè di base windows non risponde a ping provenienti da subnet esterne alla lan, amen, si può impostare in modo che risponda anche agli ip della intranet ma chissene frega onestamente.
Prima di andare a controllare cose più complicate, controlliamo che col dns sia tutto a posto, fai un ping da cellulare (o altro client vpn) verso 1.1.1.1, se funziona prova anche un nslookup su dominio qualsiasi e dimmi cosa hai impostato come dns server in strongswan.conf
-
@LuKePicci
charon {
load_modular=yes
dns1 = 10.0.1.1
nbns1 = 10.0.1.1
plugins {
include strongswan.d/charon/*.conf
}
}
include strongswan.d/charon/*.conf
non funziona
-
Ok, le cose sono due, o vediamo come definire una zona del firewall per questa subnet 10.0.1.x che hai scelto o mettiamo i client vpn sulla stessa subnet della zona lan (con dhcp o senza). Scegli.
-
@LuKePicci, se non ti porta via troppo tempo, potresti spiegarmi bene tutte due le soluzioni? quali delle due e' la meno problematica?
-
Non c'è molto da spiegare, se tu hai un'esigenza tecnica per cui i client vpn siano su subnet separata dobbiamo procedere così anche se è più rognosa (anche se per aiutarti dovrei fare prima io delle prove). altrimenti possiamo procedere nell'altro modo e in quel caos mi serve sapere se vuoi usare e dove hai (su che ip) un server DHCP e come è configurato (quali ip assegna).
Intanto che decidi, inizia col risolvere un altro problema in cui ti saresti imbattuto dopo. In strongswan.conf hai messo come ip del server dns quello del client stesso. Ovviamente è errato. Lì ci devi mettere un ip di un server dns esistente, inizia con 1.1.1.1 (che comunque non sarà raggiungibile come abbiamo già verificato), poi alla fine quando controlliamo come hai configurato dnsmasq al limte torniamo a metterci l'ip del fastgate. La guida su questo punto era era fuorviante, in principio c'era suggerito per rightsourceip il client singolo su 10.0.1.100/32, poi quando ho cambiato in 10.0.1.0/24 non mi sono accorto che così facendo assegnava anche l'ip che compariva come dns server.
-
Ciao @LuKePicci, io non ho esigenze particolari quindi la mia scelta e' la seconda, avevo scelto la subnet 10.0.1.0, perche' il sito strongswan spesso le mette negli esempi delle connessioni anche tra diversi host, non mette mai esempi con la subnet della propria lan,perche'? ho pensato che questo passaggio lo facesse per ulteriori ragioni di sicurezza,dopotutto se lo fanno le aziende che hanno host e client sparsi un po' dappertutto una qualche ragione ci sara'?
Aggiungendo i dns 1.1.1.1 non cambia nulla.
Con il messaggio di prima mi hai fornito anche la soluzione alla seconda scelta:
ip router 192.168.1.1 dhcp 192.168.1.2/150 dns 1.1.1.1
strongswan.conf:
charon {
load_modular=yes
dns1 = 192.168.1.1
nbns1 = 192.168.1.151
plugins {
include strongswan.d/charon/*.conf
}
}
ipsec.conf
config setup
conn %default
keyexchange=ikev2
conn roadwarriorPUBKEY
left=%any
leftauth=pubkey
leftcert=serverCert.pem
leftid=io qui ho messo il mio ip, potrei mettere il mio dominio ddns(pero' bisogna metterlo nei certificati come da guida)
leftsubnet=0.0.0.0/0,::/0
#leftsendcert=always
right=%any
rightsourceip=192.168.1.151/24
rightauth=pubkey
rightcert=clientCert.pem
#rightauth2=eap-mschapv2
eap_identity=%identity
auto=add
Cosi funziona, navigo dal telefono attraverso il router, ho provato anche con dnsleaktest e mi restituisce quelli di cloudflare.
Pero,' pensavo che il firewall bloccasse gli indirizzi lan che vanno oltre quelli forniti dal dhcp.
Per settare altri due smartphone, devo importare sempre gli stessi due certificati?
Download Mbps 3.18 upload Mbps3.18 Linea fttc 160/21
-
Il perchè negli esemi li vedi semrpe usati con subnet separate è da imputarsi a delle best practice in termini di flessibilità e gestibilità su reti più grosse, dove appunto hai esigenza di distinguere le due classi di client. Se ad esempio tu volessi isolare i due gruppi sarebbe necessario o preferibile. D'altro canto però questi device sono configurati per fare nat tra zona lan e wan della subnet locale, nel momento in cui tu crei un'altra subnet 10.0.1.0/24 devi anche preoccuparti di includere questa subnet nella zona lan affinché sia soggetta alle stesse policy o dedicarle una zona tutta sua e definire delle policy custom di relazione con le altre. In ambito enterprise non è nemmeno detto ci sia l'esigenza di far uscire i client su internet attraverso la VPN che di base serve a dare accesso alle risorse della rete privata, il fatto di usare come router verso internet un gateway al suo interno è una cosa in più. Lasciamo perdere questo scenario che hai deciso di abbandonare.
Primo punto, ora che funziona mettendo 1.1.1.1 come dns dovrebbe funzionare ugualmente ma non farlo, è giusto lasciare 192.168.1.1, se però già che ci siamo controlliamo anche la config di dnsmasq è meglio, ricordamelo più avanti.
Secondo, hai davvero un server nbns per nomi NetBIOS su 192.168.1.151 o hai riempito quel campo a caso?
Terzo, se ho ben capito il dhcp è configurato per assegnare ip da 2 a 150. Questo intervallo non deve sovrapporsi a quello selezionato in righsourceip. Tu in rightsourceip hai selezionato l'intervallo 192.168.1.151/24, cioè che va da 192.168.1.1 a 192.168.1.254 e che chiaramente si sovrappone in pieno. Invece che spiegarti cosa vuol dire /24 (wikipedia in questo è più brava di me) ti suggerisco direttamente di usare 192.168.1.192/29 in rightsourceip che include un totale di 6 indirizzi assegnabili tutti fuori dall'intervallo gestito dal dhcp (scopri tu quali sono, e scopri tu come fare per averne di più).
Quarto, la velocità è in Megabyte/s? Se sì, ok direi che ci siamo, se invece è in megabit/s allora fa un po' pena e dobbiamo tornare sul discorso delle ciphersuite per ESP e vedere di ottenere qualcosa di meglio (l'ho visto fare almeno 20-40 megabit/s).
Quinto, per impostazione di default ogni client deve avere un suo certificato distinto. Ti sconsiglio di modificare questo comportamento. Per far si che ciò funzioni, uno dei possibili modi (quello che uso io e che sta scritto anche nella guida) è commentare la riga relativa a rightcert e inserire quella relativa a rightca, in modo che vengano autenticati tutti i client che espongono un certificato valido rilasciato dalla CA selezionata e non solo quelli che vai esplicitamente a selezionare in clientcert. I certificati per gli altri client si generano ripetendo i passi relativi a clientKey e clientCert tutte le volte che ti pare. Alla fine della fiera non dimenticare di conservare al sicuro tutte le chiavi private con relativi certificati (possibilmente tutti in p12 e nulla in chiaro dentro i .pem) e di rimuovere dal router tutto eccetto il certificato della CA, il certificato del server e il pem con la chiave privata del server. I certificati dei client e le chiavi private di client e CA vanno tolte dal router
-
Secondo, hai davvero un server nbns per nomi NetBIOS su 192.168.1.151 o hai riempito quel campo a caso?
Non l'ho riempito a caso, pensavo che charon fosse una specie di dhcp e quello il suo indirizzo.
192.168.1.192/29 ok sostituita, questo e' un argomento che devo approffondire, ho troppo poche conoscenze.
Mbps megabits MBps megabyte/s, quindi si hai ragione, che forse diviso in tre smartphone comincia a diventare pochino se riusciamo ad avere di piu'..., quindi qui' centra la potenza della cpu,da quello che ho capito io, credi che i vari pacchetti siano ottimizzati per smp?
Quinto, esatto ti chiedevo questo per sicurezza, infatti se qualcuno smarrisse lo smartphone,con quello potrebbero entrare all'interno della mia lan.
I certificati li ho ancora tutti li' per evitare di confonderli con tutti quelli che ho generato per le varie prove.
Il file .p12 contiene al suo interno 3 certificati clientKey.pem clientCert.pem caCert.pem, quando lo installo sullo smartphone l'app strongswan lo ritrova subito non appena seleziono user certificate, invece quando metto ca certificate non lo ritrova e sono costretto ad installarlo,e' un bug dell' app?
Controlliamo anche la config di dnsmasq, mi devi dire tu come fare.
-
La riga di nbns o la commenti o ci metti l'ip del router.
La velocità dipende dalla cpu solo finchè cripti il traffico via cpu, altre volte hai un acceleratore crittografico che se ne occupa al suo posto (in realtà c'è anche in questo nostro device ma non abbiamo i driver). La cpu è comunque sufficientemente potente da gestire una quarantina di megabit(s a patto di scegliere un algoritmo più blando, quindi torna nell'app, e metti aes128-sha1 come ciphersuite ESP.
I file p12 contengono un certificato con chiave pubblica e la relativa chiave privata protetta da password. Al loro interno ci vanno pure tutti i certificati della catena di attendibilità, che nel tuo caso è piuttosto corta visto che hai direttamente la radice. E' giusto usare quel formato per installarle sui device ed è in quel modo che devi conservarli. Se pensi che una delle chiavi client sia compromessa o rifirmi da capo tutti i certificati con una nuova CA o metti il certificato del client compromesso nella lista delle revoche.
Per dnsmasq mandami il contenuto di /etc/config/dhcp
-
@LuKePicci
config dnsmasq 'dnsmasq'
option domainneeded '1'
option boguspriv '1'
option localise_queries '1'
option rebind_protection '1'
option rebind_localhost '1'
option local '/lan/'
option domain 'lan'
option expandhosts '1'
option cachelocal '0'
option cachesize '0'
option authoritative '1'
option readethers '1'
option leasefile '/tmp/dhcp.leases'
option resolvfile '/tmp/resolv.conf.auto'
option strictorder '1'
option dhcpscript '/lib/dnsmasq/dhcp-event.sh'
list hostname 'myfastgate'
option logqueries '1'
option logfacility '/var/log/dnsmasq'
config odhcpd 'odhcpd'
option leasefile '/tmp/hosts/odhcpd'
option leasetrigger '/usr/sbin/odhcpd-update'
config dhcp 'lan'
option interface 'lan'
option dhcpv6 'server'
option ra 'server'
option ra_management '0'
option ra_mininterval '200'
option ra_maxinterval '600'
option ra_lifetime '1800'
option ra_hoplimit '64'
option ra_max_mtu '1480'
option force '1'
list dhcp_option 'tag:cpewan-id,vi-encap:3561,6,"Technicolor DGA4131FWB"'
list dhcp_option 'tag:cpewan-id,vi-encap:3561,5,"CP1923JCC41"'
list dhcp_option 'tag:cpewan-id,vi-encap:3561,4,"A491B1"'
option start '2'
option leasetime '86400'
option ignore '0'
option limit '149'
config dhcp 'Guest'
option interface 'Guest'
option start '50'
option limit '201'
option leasetime '1h'
option dhcpv6 'server'
option ra 'server'
option ra_management '0'
option ra_mininterval '200'
option ra_maxinterval '600'
option ra_lifetime '1800'
option ra_hoplimit '64'
option ra_max_mtu '1480'
option force '1'
config dhcp 'wan'
option interface 'wan'
option ignore '1'
config dhcp 'wan6'
option interface 'wan'
option ignore '1'
config dhcp 'wwan'
option interface 'wwan'
option ignore '1'
config opassthrud 'opassthrud'
option passthruscript '/lib/dhcpopassthrud/dnsmasq.sh'
option options_needed '0'
config host
option mac '54:8C:A0:A8:EA:AB'
option duid '0001000122d0bb6b54ab3ab5da54'
option ip '192.168.1.10'
option name 'portatile'
option dns '1'
option _key '501FB54E8703CBC997E2F6E8FF226508'
config host
ho tolto tutti gli altri host, ognuno ha un suo indirizzo
config relay 'relay'
Cypher suite encription
Questi sono i formati supportati:
-vIKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/AES_CTR_128/AES_CTR_192/AES_CTR_256/CAMELLIA_CTR_128/CAMELLIA_CTR_192/CAMELLIA_CTR_256/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/HMAC_MD5_96/HMAC_SHA1_96/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_MD5/PRF_HMAC_SHA1/
quale e' il formato da dare al telefono: AES_CBC_128
Li provavo cosi' : aescbc128-sha1 non me li dava :headbang:
vpn 17,7 Mbps 4,55Mbps
smartphone rete iliad 39,8 Mbps 4,97Mbps
-
Non mi torna,strongswan le chipersuite le vuole specificate così come sta scritto nella documentazione, sono più che sicuro che nell'app su ESP (ripeto, non IKE) tu ci debba mettere aes128-sha1 senza nemmeno specificare la mode of operation cbc.
https://wiki.strongswan.org/projects/strongswan/wiki/IKEv2CipherSuites#Encryption-Algorithms
su dnsmasq, metti cachelocal su 1 e aumenta cachesize da 0 a qualche centinaia.
-
Si ho messo aes128-sha1,funziona, e che provavo a metterne altri, ma non sapevo la sintassi in cui scriverlo sulla riga ipsec esp/algoritms, oltre a quelli che avevo gia' messo.
Ad esempio se volessi mettere per test "3DES_CBC/HMAC_SHA1_96", dovrei usare la sintassi? perche' spesso l'app non li prende.
Su dnsmasq, metti cachelocal su 1 e aumenta cachesize da 0 a qualche centinaia.
cachelocal 1 cache size 150
vpn 16,9 Mbps 2,28 Mbps
cachelocal 1 cache size 100
vpn 15,2 Mbps 4,52 Mbps
10 minuti dopo
vpn 17,3 Mbps 5,81 Mbps
Località diversa
No vpn 4g 15,3 Mbps 1,43 Mbps
vpn 7,3 Mbps 1,47 Mbps
-
La cache dns non c'entra nulla con la banda, era una cosa a parte, tienila pure su 300-350.
Per la sintassi devi seguire quanto detto nel link che to ho indicato, ma non scendere sotto aes128-sha1 (che sarebbe AES_CBC_128/HMAC_SHA1_96)
La banda ora è buona, quelle oscillazioni che vedi dipendono dalla connessione, se vedi valori intorno ai 20 Mbps sei a posto. Se credi che 20 mbps in vpn siano pochi fatti un giro in posti tipo questo (https://airvpn.org/forums/topic/11827-routers-with-aes-256-cbc-acceleration/). Se poi qualcuno si prende la briga di fare qualche benchmark anche sul dga4130/4132 con firmware 18.x e driver dell'acceleratore hw disponibile magari in futuro pensi ad un upgrade.
-
Ciao, @LuKePicci, innanzitutto grazie per tutto il lavoraccio che hai fatto per me(e forse per qualcun'altro), a partire dal root, fino ad ora.
Per la velocita' e' piu' che ottima,non faro' mai streaming. Ho rimesso a posto anche la configurazione del ddns, mi dava errore perche' cercava di autenticarsi in continuazione.Quindi ho rigenerato i certificati con il mio dominio ddns,messi nel posto giusto ed e' tutto ok,ho sostituito anche l'opzione rightca con quella rightcert, cosi' il sistema e' gia' pronto anche per gli altri utenti.
Cit. " E fu' cosi' che il guerriero della strada si arrese e mi fece entrare" :clap:
-
Ciao Ragazzi,
sono riuscito ad installare tutto senza problemi. Inizialmente ho provato a collegarmi utilizzando il client VPN integrato in android in modalità PSK, ed ha subito funzionato. Comunque poi ho eseguito lo script setup.sh che alla fine mi ha generato il file .p12 che ho importato in android.
Ho scaricato l'applicazione ( https://play.google.com/store/apps/details?id=org.strongswan.android ) ed ho creato il nuovo profilo ma non riesce a collegarsi. Dai log continuo a leggere
[IKE] establishing IKE_SA failed, peer not responding
[IKE] unable to terminate IKE_SA : ID 3 not found
Dai log router vedo :
un Feb 9 22:21:51 2020 daemon.info ipsec: 09[CFG] using trusted ca certificate "C=US, O=Technicolor, CN=CATechnicolor"
Sun Feb 9 22:21:51 2020 authpriv.info ipsec: 09[CFG] checking certificate status of "C=US, O=Technicolor, CN=myvpnclient"
Sun Feb 9 22:21:51 2020 daemon.info ipsec: 09[CFG] checking certificate status of "C=US, O=Technicolor, CN=myvpnclient"
Sun Feb 9 22:21:51 2020 authpriv.info ipsec: 09[CFG] certificate status is not available
Sun Feb 9 22:21:51 2020 daemon.info ipsec: 09[CFG] certificate status is not available
Sun Feb 9 22:21:51 2020 authpriv.info ipsec: 09[CFG] reached self-signed root ca with a path length of 0
Sun Feb 9 22:21:51 2020 daemon.info ipsec: 09[CFG] reached self-signed root ca with a path length of 0
Sun Feb 9 22:21:51 2020 authpriv.info ipsec: 09[CFG] using trusted certificate "C=US, O=Technicolor, CN=myvpnclient"
Sun Feb 9 22:21:51 2020 daemon.info ipsec: 09[CFG] using trusted certificate "C=US, O=Technicolor, CN=myvpnclient"
Sun Feb 9 22:21:51 2020 authpriv.info ipsec: 09[IKE] authentication of 'C=US, O=Technicolor, CN=myvpnclient' with RSA_EMSA_PKCS1_SHA256 successful
Sun Feb 9 22:21:51 2020 daemon.info ipsec: 09[IKE] authentication of 'C=US, O=Technicolor, CN=myvpnclient' with RSA_EMSA_PKCS1_SHA256 successful
Sun Feb 9 22:21:51 2020 authpriv.info ipsec: 09[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sun Feb 9 22:21:51 2020 daemon.info ipsec: 09[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sun Feb 9 22:21:51 2020 authpriv.info ipsec: 09[IKE] peer supports MOBIKE
Sun Feb 9 22:21:51 2020 daemon.info ipsec: 09[IKE] peer supports MOBIKE
Certificate status is not available. Potrebbe essere questo il problema?
-
No, il problema è quello sotto. Hai selezionato "IKEv2 Certificate" sull'app o hai messo qualcos'altro tipo EAP?
-
In VPN Type seleziono IKEv2 Certificate, ed ho come risultato quei log.
Se invece seleziono "IKEv2 Certificate + EAP (Username e password)" ed inserisco le credenziali contenute nel file /etc/ipsec.secrets, mi restituisce AUTHENTICATION_FAILED notify error
Questo è il mio ipsec.conf:
config setup
conn %default
keyexchange=ikev2
conn roadwarrior
left=%any
leftauth=pubkey
leftcert=serverCert.pem
[email protected]
leftsubnet=0.0.0.0/0,::/0
right=%any
[email protected]
rightsourceip=%dhcp
rightauth=pubkey
rightcert=clientCert.pem
#rightauth2=eap-mschapv2
auto=add
include /var/ipsec/ipsec.conf
-
Se la config è per sola pubkey è normale che non ti funzioni selezionando "IKEv2 Certificate + EAP" per quello ti servirebbe il secondo round.
Comunque fai sempre riferimento alla guida originale che è più aggiornata: https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior
-
Niente da fare... alla fine nei log ho questo ma non vuole collegarsi
Mon Feb 10 20:58:02 2020 daemon.info syslog: 14[IKE] received end entity cert "C=US, O=Technicolor, CN=myvpnclient"
Mon Feb 10 20:58:02 2020 daemon.info syslog: 14[CFG] looking for peer configs matching 123.456.789.123[%any]...123.456.789.123[C=US, O=Technicolor, CN=myvpnclient]
Mon Feb 10 20:58:02 2020 daemon.info syslog: 14[CFG] selected peer config 'roadwarriorPUBKEY'
Mon Feb 10 20:58:02 2020 daemon.info syslog: 14[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Mon Feb 10 20:58:02 2020 daemon.info syslog: 14[IKE] peer supports MOBIKE
Mon Feb 10 20:58:02 2020 daemon.info syslog: 14[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Mon Feb 10 20:58:02 2020 daemon.info syslog: 14[NET] sending packet: from 123.456.789.123[4500] to 123.456.789.123[14463] (80 bytes)
-
Ma stai provando a connetterti da remoto vero? Sei sicuro che l'host usato per la config combaci con quello nel certificato? Cos'è quel "@mio.dominio.it" che vedo nella config?
-
Devi mettere leftid=il tuo dominio senza @
sulla app :
nome e server il tuo dominio
-
Esattamente, o al limite puoi metterci un ip se ce l'hai statico.
-
Buongiorno a tutti!
Ho installato questa mod sul mio TG789vac con GUI Ansuel configurandola come una L2TP/IPSec con PSK e funziona tutto alla grande.
C'è solo un problemino: quando mi connetto con il client Android nativo, dopo 65-70 secondi la connessione viene terminata, qualsiasi cosa stia facendo. Collegandomi invece da un pc Windows non ho nessun problema di questo tipo. È un problema noto per caso?
Un'altra cosa, ci sarebbe modo di installare direttamente questa mod da GUI Ansuel? Più che altro perché tutte le volte che la GUI si aggiorna si deve andare a ricaricare a mano le card in \www perché l'aggiornamento fa il clean di tutta la cartella www...
Grazie!
-
Salve a tutti,
ho DGA4132 con 2.2.0 e GUI Ansuel.
Seguendo le indicazioni del primo post ottengo questo output:
root@modemtim:~# opkg update
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/base/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_base
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_packages
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/luci/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_luci
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/routing/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_routing
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/telephony/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_telephony
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/target/packages/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_core
root@modemtim:~# opkg install xl2tpd strongswan-default
Package xl2tpd (1.3.12-1) installed in root is up to date.
Package strongswan-default (5.6.3-3) installed in root is up to date.
root@modemtim:~# curl -s https://raw.githubusercontent.com/FrancYescO/sharing_tg
789/modgui-vpn/modgui-vpn_1.0-0_all.ipk -o /tmp/modgui-vpn_1.0-0_all.ipk
curl: error while loading shared libraries: libmbedtls.so.10: cannot open shared object file: No such file or directory
root@modemtim:~# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Collected errors:
* wfopen: /tmp/modgui-vpn_1.0-0_all.ipk: No such file or directory.
* pkg_init_from_file: Failed to extract control file from /tmp/modgui-vpn_1.0-0_all.ipk.
root@modemtim:~# rm /tmp/modgui-vpn_1.0-0_all.ipk
rm: can't remove '/tmp/modgui-vpn_1.0-0_all.ipk': No such file or directory
root@modemtim:~# curl -s https://raw.githubusercontent.com/FrancYescO/sharing_tg
789/modgui-vpn/modgui-vpn_1.0-0_all.ipk -o /tmp/modgui-vpn_1.0-0_all.ipk
curl: error while loading shared libraries: libmbedtls.so.10: cannot open shared object file: No such file or directory
root@modemtim:~# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Collected errors:
* wfopen: /tmp/modgui-vpn_1.0-0_all.ipk: No such file or directory.
* pkg_init_from_file: Failed to extract control file from /tmp/modgui-vpn_1.0-0_all.ipk.
root@modemtim:~# rm /tmp/modgui-vpn_1.0-0_all.ipk
rm: can't remove '/tmp/modgui-vpn_1.0-0_all.ipk': No such file or directory
Una mano? Grazie mille a tutti!
-
Ciao, scaricalo a mano col browser: https://github.com/FrancYescO/sharing_tg789/blob/modgui-vpn/modgui-vpn_1.0-0_all.ipk ,cerca la voce download, poi lo carichi nella cartella tmp con winscp, poi dai solo la seconda parte del comando.
-
Grazie! Credo di aver fatto rimbambire il router e ho preferito reinstallare la GUI da zero. E' bastato scaricare il file e installare come da tue indicazioni ed è andato tutto ok: è spuntata la casella Server VPN sulla GUI.
Codice ottenuto all'atto dell'installazione:
root@modemtim:~# opkg update
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/base/Pac kages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_base
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_packages
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/luci/Pac kages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_luci
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/routing/ Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_routing
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/telephon y/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_telephony
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/target/p ackages/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_core
Downloading http://downloads.openwrt.org/chaos_calmer/15.05.1/brcm63xx-tch/VANTW /packages/Packages.gz
wget: server returned error: HTTP/1.1 404 Not Found
*** Failed to download the package list from http://downloads.openwrt.org/chaos_ calmer/15.05.1/brcm63xx-tch/VANTW/packages/Packages.gz
Collected errors:
* opkg_download: Failed to download http://downloads.openwrt.org/chaos_calmer/1 5.05.1/brcm63xx-tch/VANTW/packages/Packages.gz, wget returned 1.
root@modemtim:~# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Installing modgui-vpn (1.0-0) to root...
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. U sing latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Installing strongswan (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-charon (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-charon_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-ipsec (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-ipsec_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-aes (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-aes_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-attr (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-attr_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-connmark (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-connmark_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-constraints (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-constraints_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-des (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-des_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-dnskey (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-dnskey_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-sha1 (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-sha1_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-fips-prf (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-fips-prf_5.6.3-3_arm_cortex-a9_neon.ipk
Installing libgmp (6.1.2-1) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/base/lib gmp_6.1.2-1_arm_cortex-a9_neon.ipk
Installing strongswan-mod-gmp (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-gmp_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-hmac (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-hmac_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-kernel-netlink (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-kernel-netlink_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-md5 (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-md5_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-nonce (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-nonce_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-pem (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-pem_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-pgp (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-pgp_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-pkcs1 (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-pkcs1_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-pubkey (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-pubkey_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-random (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-random_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-rc2 (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-rc2_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-resolve (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-resolve_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-revocation (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-revocation_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-sha2 (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-sha2_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-socket-default (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-socket-default_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-sshkey (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-sshkey_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-stroke (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-stroke_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-updown (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-updown_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-x509 (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-x509_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-xauth-generic (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-xauth-generic_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-mod-xcbc (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-mod-xcbc_5.6.3-3_arm_cortex-a9_neon.ipk
Installing strongswan-default (5.6.3-3) to root...
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages /strongswan-default_5.6.3-3_arm_cortex-a9_neon.ipk
Configuring strongswan.
Configuring strongswan-mod-constraints.
Configuring strongswan-mod-sha1.
Configuring strongswan-mod-sha2.
Configuring strongswan-mod-connmark.
Configuring strongswan-mod-pem.
Configuring strongswan-mod-rc2.
Configuring strongswan-mod-aes.
Configuring strongswan-mod-pgp.
Configuring strongswan-mod-sshkey.
Configuring strongswan-mod-xcbc.
Configuring strongswan-mod-random.
Configuring strongswan-mod-pkcs1.
Configuring strongswan-mod-dnskey.
Configuring strongswan-mod-hmac.
Configuring strongswan-charon.
Configuring strongswan-mod-des.
Configuring strongswan-mod-fips-prf.
Configuring strongswan-mod-socket-default.
Configuring strongswan-mod-resolve.
Configuring strongswan-mod-pubkey.
Configuring strongswan-mod-kernel-netlink.
Configuring strongswan-ipsec.
Configuring strongswan-mod-attr.
Configuring libgmp.
Configuring strongswan-mod-gmp.
Configuring strongswan-mod-md5.
Configuring strongswan-mod-nonce.
Configuring strongswan-mod-revocation.
Configuring strongswan-mod-stroke.
Configuring strongswan-mod-updown.
Configuring strongswan-mod-x509.
Configuring strongswan-mod-xauth-generic.
Configuring strongswan-default.
Configuring modgui-vpn.
Ora però sto provando a connettermi tramite rete 4G da Android ma non riesce a connettersi.
Inserisco il server (mio DDNS, impostato anche su TIM HUB), chiave precondivisa, username e chiave. Non si connette purtroppo. Sto usando il protocollo L2TP/IPSEC PSK come da screen trovato in questo topic.
Come posso fare?
-
l'esperto e' @FrancYescO , io ho installato strongswan e non la scheda, perche' non mi funziona il driver xL2TPd.
Apriti due istanze di putty,in una dai il comando:
logread -f
Nell'altra prova:
ps a | grep xl2
poi prova a riavviare il servizio:
/etc/init.d/ipsec restart
e controlla il log
-
Log:
root@modemtim:~# logread -f
Mon Mar 16 21:53:42 2020 daemon.warn dnsmasq[2985]: possible DNS-rebind attack detected: device7718983-dafb6237-local.wd2go.com
Mon Mar 16 21:53:42 2020 daemon.warn dnsmasq[2985]: possible DNS-rebind attack detected: device7718983-dafb6237-local.wd2go.com
Mon Mar 16 21:54:16 2020 authpriv.info ipsec: 06[NET] received packet: from INDIRIZZO IP TELEFONO[26522] to INDIRIZZO IP CASA[500] (716 bytes)
Mon Mar 16 21:54:16 2020 daemon.info ipsec: 06[NET] received packet: from INDIRIZZO IP TELEFONO[26522] to INDIRIZZO IP CASA[500] (716 bytes)
Mon Mar 16 21:54:16 2020 authpriv.info ipsec: 06[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Mon Mar 16 21:54:16 2020 daemon.info ipsec: 06[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Mon Mar 16 21:54:16 2020 authpriv.info ipsec: 06[IKE] no IKE config found for INDIRIZZO IP CASA...INDIRIZZO IP TELEFONO, sending NO_PROPOSAL_CHOSEN
Mon Mar 16 21:54:16 2020 daemon.info ipsec: 06[IKE] no IKE config found for INDIRIZZO IP CASA...INDIRIZZO IP TELEFONO, sending NO_PROPOSAL_CHOSEN
Mon Mar 16 21:54:16 2020 authpriv.info ipsec: 06[ENC] generating IKE_SA_INIT response 0 [ N(NO_PROP) ]
Mon Mar 16 21:54:16 2020 daemon.info ipsec: 06[ENC] generating IKE_SA_INIT response 0 [ N(NO_PROP) ]
Mon Mar 16 21:54:16 2020 authpriv.info ipsec: 06[NET] sending packet: from INDIRIZZO IP CASA[500] to INDIRIZZO IP TELEFONO[26522] (36 bytes)
Mon Mar 16 21:54:16 2020 daemon.info ipsec: 06[NET] sending packet: from INDIRIZZO IP CASA[500] to INDIRIZZO IP TELEFONO[26522] (36 bytes)
Mon Mar 16 21:54:28 2020 authpriv.info ipsec: 09[NET] received packet: from INDIRIZZO IP TELEFONO[27222] to INDIRIZZO IP CASA[500] (716 bytes)
Mon Mar 16 21:54:28 2020 daemon.info ipsec: 09[NET] received packet: from INDIRIZZO IP TELEFONO[27222] to INDIRIZZO IP CASA[500] (716 bytes)
Mon Mar 16 21:54:28 2020 authpriv.info ipsec: 09[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Mon Mar 16 21:54:28 2020 daemon.info ipsec: 09[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Mon Mar 16 21:54:28 2020 authpriv.info ipsec: 09[IKE] no IKE config found for INDIRIZZO IP CASA...INDIRIZZO IP TELEFONO, sending NO_PROPOSAL_CHOSEN
Mon Mar 16 21:54:28 2020 daemon.info ipsec: 09[IKE] no IKE config found for INDIRIZZO IP CASA...INDIRIZZO IP TELEFONO, sending NO_PROPOSAL_CHOSEN
Mon Mar 16 21:54:28 2020 authpriv.info ipsec: 09[ENC] generating IKE_SA_INIT response 0 [ N(NO_PROP) ]
Mon Mar 16 21:54:28 2020 daemon.info ipsec: 09[ENC] generating IKE_SA_INIT response 0 [ N(NO_PROP) ]
Mon Mar 16 21:54:28 2020 authpriv.info ipsec: 09[NET] sending packet: from INDIRIZZO IP CASA[500] to INDIRIZZO IP TELEFONO[27222] (36 bytes)
Mon Mar 16 21:54:28 2020 daemon.info ipsec: 09[NET] sending packet: from INDIRIZZO IP CASA[500] to INDIRIZZO IP TELEFONO[27222] (36 bytes)
Mon Mar 16 21:54:28 2020 daemon.info odhcpd[3105]: Using a RA lifetime of 0 seconds on wl0_1
Durante questo log ho mandato i seguenti comandi + provato a connettermi dal cellulare:
root@modemtim:~# ps a | grep xl2
ps: invalid option -- 'a'
BusyBox v1.23.2 (2019-10-16 14:39:14 UTC) multi-call binary.
Usage: ps
Show list of processes
w Wide output
root@modemtim:~# /etc/init.d/ipsec restart
Al comando etc/init.d/ipsec restart non è successo nulla. Solo la prima volta (non nel log) ha constatato che non era attivo il servizio e l'ha inizializzato. Grazie ragazzi!
-
L'errore è questo:
no IKE config found for INDIRIZZO IP CASA...INDIRIZZO IP TELEFONO, sending NO_PROPOSAL_CHOSEN
C'è qualcosa che non va nel file di config di strongswan. Non hai nessuna config che corrisponda all'ip del cellulare. Controlla i parametri inerenti il lato "right"
-
Prova a ricontrollare la configurazione deltelefono con cui ti stai connettendo:
06[NET] received packet: from INDIRIZZO IP TELEFONO[26522] to INDIRIZZO IP CASA[500] (716 bytes)
qui ti dice che ha ricevuto il pacchetto con cui deve negoziare la connessione
06[IKE] no IKE config found for INDIRIZZO IP CASA...INDIRIZZO IP TELEFONO, sending NO_PROPOSAL_CHOSEN
qui ti dice che non trova la configurazione NO_PROPOSAL_CHOSEN
09[ENC] generating IKE_SA_INIT response 0 [ N(NO_PROP) ]
qui rifiuta la tua connessione .
questa e' la mia connessione "roadwarrior" con certificati:
Mon Mar 16 22:26:10 2020 daemon.info syslog: 05[NET] received packet: from 37.160.184.63[2524] to 93.38.122.x[500] (464 bytes)
Mon Mar 16 22:26:10 2020 daemon.info syslog: 05[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Mon Mar 16 22:26:10 2020 daemon.info syslog: 05[IKE] 37.160.184.63 is initiating an IKE_SA
Mon Mar 16 22:26:10 2020 authpriv.info syslog: 05[IKE] 37.160.184.63 is initiating an IKE_SA
Mon Mar 16 22:26:10 2020 daemon.info syslog: 05[IKE] remote host is behind NAT
Mon Mar 16 22:26:10 2020 daemon.info syslog: 05[IKE] sending cert request for "C=US, O=openwrt, CN=myvpn"
Mon Mar 16 22:26:10 2020 daemon.info syslog: 05[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Mon Mar 16 22:26:10 2020 daemon.info syslog: 05[NET] sending packet: from 93.38.122.x[500] to 37.160.184.63[2524] (489 bytes)
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[NET] received packet: from 37.160.184.63[2530] to 93.38.122.x[4500] (1356 bytes)
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] received cert request for "C=US, O=openwrt, CN=myvpn"
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] received end entity cert "C=US, O=openwrt, CN=x"
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] looking for peer configs matching 93.38.122.x[%any]...37.160.184.63[C=US, O=openwrt, CN=x]
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] selected peer config 'roadwarriorPUBKEY'
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] using certificate "C=US, O=openwrt, CN=x"
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] using trusted ca certificate "C=US, O=openwrt, CN=myvpn"
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] checking certificate status of "C=US, O=openwrt, CN=x"
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] certificate status is not available
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] reached self-signed root ca with a path length of 0
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] authentication of 'C=US, O=openwrt, CN=x' with RSA_EMSA_PKCS1_SHA256 successful
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] peer supports MOBIKE
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] authentication of 'il mio ddns' (myself) with RSA_EMSA_PKCS1_SHA256 successful
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] IKE_SA roadwarriorPUBKEY[28] established between 93.38.122.x[a1pollo.myddns.rocks]...37.160.184.63[C=US, O=openwrt, CN=x]
Mon Mar 16 22:26:11 2020 authpriv.info syslog: 02[IKE] IKE_SA roadwarriorPUBKEY[28] established between 93.38.122.x[a1pollo.myddns.rocks]...37.160.184.63[C=US, O=openwrt, CN=x]
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] scheduling reauthentication in 10114s
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] maximum IKE_SA lifetime 10654s
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] sending end entity cert "C=US, O=openwrt, CN=il mio ddns"
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] peer requested virtual IP %any
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] sending DHCP DISCOVER to 192.168.1.255
Mon Mar 16 22:26:11 2020 daemon.info syslog: 10[CFG] received DHCP OFFER 192.168.1.16 from 192.168.1.1
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[CFG] sending DHCP REQUEST for 192.168.1.16 to 192.168.1.1
Mon Mar 16 22:26:11 2020 daemon.info syslog: 03[CFG] received DHCP ACK for 192.168.1.16
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] assigning virtual IP 192.168.1.16 to peer 'C=US, O=openwrt, CN=x'
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] peer requested virtual IP %any6
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] no virtual IP found for %any6 requested by 'C=US, O=openwrt, CN=x'
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[IKE] CHILD_SA roadwarriorPUBKEY{25} established with SPIs c88c873d_i 4f4195b3_o and TS 0.0.0.0/0 ::/0 === 192.168.1.16/32
Mon Mar 16 22:26:11 2020 authpriv.info syslog: 02[IKE] CHILD_SA roadwarriorPUBKEY{25} established with SPIs c88c873d_i 4f4195b3_o and TS 0.0.0.0/0 ::/0 === 192.168.1.16/32
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS NBNS DNS) SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) ]
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[ENC] splitting IKE message with length of 1132 bytes into 3 fragments
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[ENC] generating IKE_AUTH response 1 [ EF(1/3) ]
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[ENC] generating IKE_AUTH response 1 [ EF(2/3) ]
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[ENC] generating IKE_AUTH response 1 [ EF(3/3) ]
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[NET] sending packet: from 93.38.122.x[4500] to 37.160.184.63[2530] (544 bytes)
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[NET] sending packet: from 93.38.122.x[4500] to 37.160.184.63[2530] (544 bytes)
Mon Mar 16 22:26:11 2020 daemon.info syslog: 02[NET] sending packet: from 93.38.122.x[4500] to 37.160.184.63[2530] (176 bytes)
-
Ma la configurazione si fa da GUI e basta? Se si, beh credo di aver fatto tutto. Cosa dovrei impostare di piu? :(
-
prova questo:
ps | grep xl2tp
Si la configurazione la fa' in automatico la gui, l'unica cosa che devi ricontrollare sono le password e user sullo smartphone.
Potrebbe essere che il driver xl2tpd non sia compatibile.
Io ho il fastgate dga4131 ed ho installato strongswan che non ha bisogno del driver sopra citato, funziona benissimo ed ha anche una ottima banda, ci collego fino a 8 dispositivi , la configurazione e' un po' piu lunga e rognosa, ma ne vale la pena.
https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior
-
Output:
root@modemtim:~# ps | grep xl2tp
4604 root 2056 S xl2tpd -D -l -p /var/run/xl2tpd.pid
26777 root 3324 S grep xl2tp
Eh mi piaceva avere tutto da UI, senza problemi di configurazione lunga e problematica da rifare in caso di reset del router.
-
Sembra tutto ok. Io di piu' non riesco, chiedi aiuto a Francyesco o a LuKe, che ne capiscono piu di me.
-
Grazie mille :)
-
La configurazione di questa variante di VPN, si si fa solo da GUI, ma io l'ho testato al 100% solo sui TG78x, spiega meglio "/etc/init.d/ipsec restart non è successo nulla" ... è andato oltre o è rimasto lì senza ridarti il prompt? perchè io è lì che mi ero arreso dui DGA al capire sul perchè non funzionasse, ma non credo fosse un problema insormontabile...
inoltre mentre ti connetti con il cellulare prova a restare in ascolto sul log con logread -f almeno vedi se qualcosa risponde (e scrive sul log), o comunque dai un logread -l100 per vedere se c'è qualcosa di utile nelle ultime 100 righe del log...
Per Strongswan con le chiavi già gliel'ho segnalato, anche se forse alcuni dei post qui precedenti riguardano comunque quello, abbiamo il topic (e lo script) dedicato: https://www.ilpuntotecnico.com/forum/index.php/topic,82673.msg255196.html#msg255196
-
Ho dato il comando una volta e c'era scritto che il servizio non era attivo e lo ha attivato. Dopo la prima volta non mi ha più dato output, anche dopo aver riavviato il tim hub.
Nel log che ho postato prima è incluso il "momento" in cui provo a connettermi da cellulare. Grazie :)
-
giusto per la stavo riprovando su un 789 e ho questo errore che comunque non sembra il tuo, ma per ora ci ho sbattutto gia' troppo la testa, parto con il fixare una cosa e ne trovo altre 10 rotte per la strada...
daemon.debug xl2tpd[21854]: control_finish: Denied connection to unauthorized peer
comunque controlla che i daemon di ipsec siano partiti (dopo che da GUI l'hai messa come abilitata la VPN), dai un po un occhio in giro a se sta generando bene le config...
questi son un po di output sul 789:
root@dsldevice:~# ps | grep ips
22733 root 1932 S /usr/lib/ipsec/starter --daemon charon
22734 root 38076 S /usr/lib/ipsec/charon --use-syslog
23354 root 1912 S grep ips
root@dsldevice:~# ps | grep xl
21854 root 1272 S xl2tpd
23411 root 1912 S grep xl
root@dsldevice:~# cat /etc/ipsec.secrets
# /etc/ipsec.secrets - strongSwan IPsec secrets file
include /var/ipsec/ipsec.secrets
root@dsldevice:~# cat /var/ipsec/ipsec.secrets
# generated by /etc/init.d/ipsec
78.12.x.x %any : PSK "vpn_user"
root@dsldevice:~# cat /var/ipsec/ipsec.conf
# generated by /etc/init.d/ipsec
version 2
conn l2tp-server
left=%any
right=%any
leftsubnet=0.0.0.0/0[udp/l2tp]
leftfirewall=yes
ikelifetime=60m
lifetime=60m
margintime=9m
keyingtries=3
dpdaction=clear
dpddelay=0
leftauth=psk
rightauth=psk
rightsubnet=0.0.0.0/0[udp/%any]
auto=add
keyexchange=ike
esp=aes128-sha1
ike=3des-sha1-modp1024,aes128-sha1
type=transport
-
Ho provato a dare uno start e un restart e questo è l'output:
root@modemtim:~# ipsec restart
Stopping strongSwan IPsec...
Starting strongSwan 5.6.3 IPsec [starter]...
root@modemtim:~# ipsec start
Starting strongSwan 5.6.3 IPsec [starter]...
charon is already running (/var/run/charon.pid exists) -- skipping daemon start
starter is already running (/var/run/starter.charon.pid exists) -- no fork done
Dovrei potrei guardare per capire se sta configurando bene?
Potrei seguire questa guida per configurare la VPN? https://www.digitalocean.com/community/tutorials/how-to-set-up-an-ikev2-vpn-server-with-strongswan-on-ubuntu-16-04
-
Non mischiare le cose. La card da gui di cui si parla qui riguarda L2TP/IPsec (IKEv1). La parte Ipsec è fatta da strongswan.
La guida che hai indicato tu è per una vpn non L2TP, ma pura IPsec su IKEv2, e anche in questo caso la parte IPsec è fatta da strongswan. Questa non la puoi configurare da gui. Ti hanno già indicato il topic in cui se ne parla.
Devi scegliere, convincerti che sia la scelta giusta e dedicarti ad una delle due.
PS: riguardo la L2TP/IPsec di cui si parla qui, secondo me c'è qualcosa che non va nello starter script del servizio ipsec. In particolare a me sembra che lo starter script in uso sul suo router sia quello standard di strongswan che sostanzialmente non va a prendersi le config fatte da uci/gui. Per prendere le impostazioni è necessario lo starter script patchato da technicolor, bisogna metterlo al posto di quello di default presente nel pacchetto strongswan, e bisogna sperare che funzioni anche con la versione di strongswan che hai installato. Se configuri tutto a mano, nella condizione in cui sei ora, secondo me riesci a configurarla tranquillamente.
-
Grazie per il chiarimento. Informandomi un po' mi è sembrato di capire che la L2TP/IPsec è un po' meno sicura della IKEv2 ma vorrei proseguire con il metodo di questo post in quanto mi sembra facile da configurare (in teoria). Avrei un HDD collegato via USB al mio TIM HUB e vorrei usare la VPN per accedere facilmente ai file da remoto: a livello di sicurezza entrambi i metodi mi danno una buona sicurezza, ammesso che si scelgano chiaramente password e/o certificati robusti?
In ogni caso io sono arrivato al punto indicato nel mio post precedente e non saprei come andare avanti :/
-
Ti ho aggiunto qualche dettaglio al post precedente.
La sicurezza è identica. Tra una L2TP/IPsec (IKEv1) e una IPsec (IKEv2) ci sono solo differenze in termini di funzionalità. Ad esempio la seconda supporta il roaming ed è più indicata da usare da client mobile. La prima di contro ti fornisce un tunnel L2, quindi di da altri vantaggi per determinate altre situazioni. Quello che serve a te si può fare con entrambe.
Io sono del parere che IPsec IKEv2 sia da preferire sempre e comunque, ma se uno ha a che fare con roba vecchia che non lo supporta (ormai è supportato su qualsiasi device recente), allora L2TP/IPsec è una buona seconda scelta.
-
Come accennato da Luke, il restart di ipsec è da fare con /etc/init.d/ipsec restart e non ipsec restart, lo script in init.d, così come lo ha pensato technicolor, si occupa anche di costruire la config in base a quello messo da GUI, ci credo che ti mancano..
-
Benissimo, grazie ancora delle risposte. Dunque dovrei semplicemente capire se effettivamente la config inserita da GUI è stata scritta.
root@modemtim:~# /etc/init.d/ipsec restart
Stopping strongSwan IPsec...
Starting strongSwan 5.6.3 IPsec [starter]...
Se vado a vedere il file in /etc/xl2tpd/xl2tpd.conf trovo
[global]
port = 1701
auth file = /etc/xl2tpd/xl2tp-secrets
access control = no
[lns default]
exclusive = yes
local ip = 192.168.1.80
ip range = 192.168.1.246-192.168.1.253
;hidden bit = no
length bit = yes
refuse authentication = yes
name = tchvpn
;ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
E trovo le stesse impostazioni settate da GUI.
Il file /etc/xl2tpd/xl2tp-secrets sembra invece vuoto:
# Secrets for authenticating l2tp tunnels
# us them secret
# * marko blah2
# zeus marko blah
# * * interop
-
si ma questi due sono file di xl2tpd, controlla quelli di strongswan
-
In /var/ipsec/ipsec.secrets c'è l'ip del router e la chiave IPSec precondivisa che ho impostato da GUI.
In /var/ipsec/ipsec.conf c'è:
# generated by /etc/init.d/ipsec
version 2
conn l2tp-server
left=%any
right=%any
leftsubnet=0.0.0.0/0[udp/l2tp]
leftfirewall=yes
ikelifetime=60m
lifetime=60m
margintime=9m
keyingtries=3
dpdaction=clear
dpddelay=0
leftauth=psk
rightauth=psk
rightsubnet=0.0.0.0/0[udp/%any]
auto=add
keyexchange=ike
esp=aes128-sha1
ike=3des-sha1-modp1024,aes128-sha1
type=transport
In etc/ipsec.conf
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
# strictcrlpolicy=yes
# uniqueids = no
# Add connections here.
# Sample VPN connections
#conn sample-self-signed
# leftsubnet=10.1.0.0/16
# leftcert=selfCert.der
# leftsendcert=never
# right=192.168.0.2
# rightsubnet=10.2.0.0/16
# rightcert=peerCert.der
# auto=start
#conn sample-with-ca-cert
# leftsubnet=10.1.0.0/16
# leftcert=myCert.pem
# right=192.168.0.2
# rightsubnet=10.2.0.0/16
# rightid="C=CH, O=Linux strongSwan CN=peer name"
# auto=start
include /var/ipsec/ipsec.conf
Dando il comando ipsec statusall ottengo:
root@modemtim:~# ipsec statusall
Status of IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l):
uptime: 113 minutes, since Mar 17 13:09:14 2020
malloc: sbrk 638976, mmap 0, used 131976, free 507000
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default connmark stroke updown xauth-generic
Listening IP addresses:
IP DEL MIO ROUTER
Connections:
Security Associations (0 up, 0 connecting):
none
-
Strano, da statusall dovresti vedere la "l2tp-server" definita in /var/ipsec/ipsec.conf sotto "Connections:"
Prova a fare "/etc/init.d/ipsec restart && logread -f" e vedi cosa dice, vedi se dice di stare caricando le configurazioni correttamente o meno, dovresti vederlo caricare la conn l2tp-server
-
Possibile che debba modificare qualcosa in quel file? Vedo che gli indirizzi sono 0.0.0.0
Dando il comando /etc/init.d/ipsec restart && logread -f non succede nulla. Si blocca e non ottengo output.
EDIT:
root@modemtim:~# /etc/init.d/ipsec restart && logread -f
^[[A^[[A^[[A^[[A^C
root@modemtim:~# ipsec restart
Stopping strongSwan IPsec...
Starting strongSwan 5.6.3 IPsec [starter]...
iroot@modemtim:~# ipsec start
Starting strongSwan 5.6.3 IPsec [starter]...
charon is already running (/var/run/charon.pid exists) -- skipping daemon start
starter is already running (/var/run/starter.charon.pid exists) -- no fork done
root@modemtim:~# /etc/init.d/ipsec restart && logread -f
Stopping strongSwan IPsec...
Starting strongSwan 5.6.3 IPsec [starter]...
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loading ca certificates fr om '/etc/ipsec.d/cacerts'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loading aa certificates fr om '/etc/ipsec.d/aacerts'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loading ocsp signer certif icates from '/etc/ipsec.d/ocspcerts'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loading ocsp signer certific ates from '/etc/ipsec.d/ocspcerts'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loading attribute certific ates from '/etc/ipsec.d/acerts'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loading attribute certificat es from '/etc/ipsec.d/acerts'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loading crls from '/etc/ip sec.d/crls'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loading crls from '/etc/ipse c.d/crls'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loading secrets from '/etc /ipsec.secrets'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loading secrets from '/etc/i psec.secrets'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loading secrets from '/var /ipsec/ipsec.secrets'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loading secrets from '/var/i psec/ipsec.secrets'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[CFG] loaded IKE secret for 95 .250.72.180 %any
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[CFG] loaded IKE secret for 95.2 50.72.180 %any
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-def ault connmark stroke updown xauth-generic
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[LIB] loaded plugins: charon aes d es rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp d nskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-defau lt connmark stroke updown xauth-generic
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 00[JOB] spawning 16 worker threads
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 00[JOB] spawning 16 worker threads
Tue Mar 17 15:52:38 2020 authpriv.info ipsec_starter[10691]: charon (10692) star ted after 80 ms
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 07[CFG] received stroke: add conne ction 'l2tp-server'
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 07[CFG] received stroke: add connect ion 'l2tp-server'
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 07[CFG] a DH group is mandatory in IKE proposals
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 07[CFG] a DH group is mandatory in I KE proposals
Tue Mar 17 15:52:38 2020 authpriv.info ipsec: 07[CFG] skipped invalid proposal s tring: aes128-sha1
Tue Mar 17 15:52:38 2020 daemon.info ipsec: 07[CFG] skipped invalid proposal str ing: aes128-sha1
Tue Mar 17 15:52:42 2020 daemon.notice hostapd: [HAPD] STA 00:00:00:00:00:00 - W PS Enrollee sending msg type M1
Tue Mar 17 15:52:57 2020 daemon.info odhcpd[3105]: Using a RA lifetime of 0 seconds on br-lan
Sembra che etc/init.d/ipsec restart non funzioni. Funziona solamente se prima do ipsec restart.
EDIT 2:
root@modemtim:~# ipsec statusall
Status of IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l):
uptime: 2 minutes, since Mar 17 15:52:38 2020
malloc: sbrk 638976, mmap 0, used 131976, free 507000
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default connmark stroke updown xauth-generic
Listening IP addresses:
95.250.72.180
Connections:
Security Associations (0 up, 0 connecting):
none
-
E allora c'è qualcosa di rotto nello starter script, come detto in prima pagina. Quando usi direttamente ipsec restart in pratica tu vai a saltare tutta la parte di starter script aggiunta da technicolor che dovrebbe prendere le config fatte da gui e applicarle. Qualche volta che l'hai lanciato qualcosa è stato applicato ma le config di strongswan per qualche motivo non le prende o a strongswan non piacciono, perchè altrimenti le vedresti apparire. Se scopri dov'è il bug faccelo sapere, o aspetta che @FrancYescO lo scovi.
-
Non credo di essere in grado di trovare il problema. Posso fare qualche test se @FrancYescO mi da indicazioni precise. Se riuscissimo a trovare il problema credo che tutti sarebbero contenti di avere una semplice config per la VPN per i DGA 413x sulla 2.2.0.
-
@LuKePicci
Buongiorno a tutti, scusate se mi intrometto, cosi' per prova, ho messo stronswan sul mio secondo router(FASTGate DGA4131 (VBNT-O) aggiornato alla versione 18, con cui condivide i feed con quelli di satigno, ho importato le config uguali al primo router con versione 17.., e non va' ,ossia il servizio e' ok,ma non connette nessun device remoto. Cambia la versione di strongswan prima era 5.3 ora e' 5.6.3,nella cartella strongswan.d compare un charon.conf, invece nella sub cartella charon mancano molti files .conf ad esempio dhcp.conf(che io usavo per farmi assegnare lo stesso indirizzo ip) poiche' deprecato, eap-identity.con e tanti altri, che il problema sia li?
-
il ripristino delle conf non ripristina anche i pacchetti dopo un upgrade firmware: devi reinstallare tutto dopo essere passato dalla 17 alla 18 e il ripristino delle config puo aver fatto solo danni, ti consiglierei di partire da 0 in modo da scansare a priori altri danni collaterali.
comunque il debug da fare è lo stesso fatto con satigno negli ultimi post... in primis.. /etc/init.d/ipsec restart funziona?
piu' che altro quindi sul firmware 17 lo hai installato e funzionava senza problemi? xl2tpd (che è quello che mi mancava su 4130/2) è già integrato?
-
Nel percorso /etc/strongswan.d/charon/ ho i seguenti file:
aes.conf
attr.conf
connmark.conf
constraints.conf
des.conf
dnskey.conf
fips-prf.conf
gmp.conf
hmac.conf
kernel-netlink.conf
md5.conf
nonce.conf
pem.conf
pgp.conf
pkcs1.conf
pubkey.conf
random.conf
rc2.conf
resolve.conf
revocation.conf
sha1.conf
sha2.conf
socket-default.conf
sshkey.conf
stroke.conf
updown.conf
x509.conf
xauth-generic.conf
xcbc.conf
-
Scusami forse mi sono spiegato male, ho installato strongswan dai feed di ansuel kernel-4.1 per la versione 18,e l'installazione e' ok.
Poi ho preso i settaggi dei vari files (ipsec.conf,strongswan.conf etc), i certificati ,che ho memorizzato sul pc (in caso di reset imprevisti),e che ho gia' riutilizzato dopo aver ripristinato varie volte il router alla versione 17,e funzionanti tuttora. E sulla versione 18 non vanno.
Dimenticavo posseggo 2 FASTGate DGA4131 (VBNT-O)
1 di mia proprieta' aggiornato alla versione 18
1 di fastweb versione 17 con strongswan perfettamente funzionante
-
Cercando di approfondire la questione.. è tutto molto strano è lo stop che lo fa bloccare, se prima di fare lo stop da init.d si da ipsec stop .. funziona
@a1pollo anche se credo ci stiamo per scontrare con lo stesso problema, mi sa che stai parlando della versione IKEv2, spostiamoci qui https://www.ilpuntotecnico.com/forum/index.php/topic,82673.0.html e teniamo questo thread solo per la versione "con GUI" direi come prima cosa serve un logread mentre ti connetti per capire cosa succede
-
Pensate che debba abbandonare l'idea di fare funzionare questo metodo e migrare sull'altro topic? :/
-
11412 root 3456 S {ipsec} /bin/sh /etc/rc.common /etc/init.d/ipsec stop
11416 root 1980 S flock 1000il colpevole di questa storia del freeze sullo stop è questo flock 1000 ... killandolo due volte lo stop riesce, ma continuo a non capire da cosa scaturisce tutto ciò
-
e fatto ciò dovrei riuscire a far funzionare il tutto?
-
no. sto solo riportando un minimo di quello che sto cercando di capire sul perchè non funziona.
Inizio a pensare sia qualche flag di compilazione e/o qualche configurazione di default che non gli va giu' con la nuova versione di stronswan
-
@satigno se il metodo "con GUI" per L2TP/IPsec non funziona hai due alternative:
- configurare comunque una L2TP/IPsec a mano
- configurare una IKEv2 a mano come spiegato nell'altro topic
Se non hai particolari esigenze tecniche per voler usare L2TP/IPsec e decidi di configurare tutto a mano, secondo me non ti conviene puntare ancora su L2TP/Ipsec
-
Prova che ti riprova mi son ritrovato su questo bug report (https://wiki.strongswan.org/issues/2690) e almeno sono arrivato a capire cosa non fa caricare la config sulle nuove versioni di strongswan:
di default tch ha usato questi valori nella config ipsec di uci:
ipsec.l2tp.crypto_proposal='g_3des_sha1_modp1024 g_aes128_sha1'
ipsec.g_aes128_sha1=crypto_proposal
ipsec.g_aes128_sha1.encryption_algorithm='aes128'
ipsec.g_aes128_sha1.hash_algorithm='sha1'
ipsec.g_3des_sha1_modp1024=crypto_proposal
ipsec.g_3des_sha1_modp1024.encryption_algorithm='3des'
ipsec.g_3des_sha1_modp1024.hash_algorithm='sha1'
ipsec.g_3des_sha1_modp1024.dh_group='modp1024'che si traducono in un file di config /var/ipsec/ipsec.conf con questa riga che fa fallire il caricamento dato che a quanto pare nelle nuove versioni non gli piace il crypto_proposal aes128-sha1
ike=3des-sha1-modp1024,aes128-sha1
@LuKePicci non sono andato a cercare oltre per le best practices, hai consigli con cosa sostituirli che sia un buon compromesso tra (retro)compatibilità e sicurezza?
PS. Si son davvero impegnati a farla per bene questa storia della conversione da uci alle config :nod:
-
aes256 con sha1 (hmac) per ike, aes128 con sha1 (hmac) per esp, e vai bene sia in compatibilità che performance
con aes256 per esp perdi performance, con sha256 su ike o esp perdi compatibilità
3des va elimiinato
-
Dovrei avercela fatta, in effetti il problema era ancora piu' semplice, ovvero che nel blocco "aes128_sha1" non era definito il dh_group e a quanto pare nelle nuove versioni è obbligatorio specificarlo per ike
Comunque ne ho approfittato per innalzare un po il livello di sicurezza mettendo 3des_sha256_modp3072 e aes128_sha256_modp3072 come prioritari rispetto lo sha1 messo da tch
Sperando che le modifiche non spacchino niente su vecchi device, ho rifatto un test su 789 (fw UNO 17.2) e 4130 (fw 18.3) e mi sembra tutto funzionante, ora la ciliegina sulla torta sarebbe @roleo che ci fa il favore di aggiungere ai feed per fw TIM <18.3 xl2tpd
in breve, per tutti: ora funziona anche su 413x, disinstallate e reinstallate come da primo post.
-
Ottimo! Si può introdurre nella GUI di Ansuel o quanto meno renderlo compatibile? Per evitare che ad ogni aggiornamento venga spazzato via...
-
Ho ritentato l'installazione: continua a darmi problemi quando do il comando /etc/init.d/ipsec restart. Non riesco a connettermi alla VPN. :(
-
@lorenzocanalelc si, prima o poi
fregatene di quello, continua a non farlo quel restart nemmeno a me sul 4130 ma funziona.
posta il risultato di ipsec statusall
-
Eccolo
ipsec statusall
Status of IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l):
uptime: 22 minutes, since Mar 19 10:12:31 2020
malloc: sbrk 638976, mmap 0, used 139872, free 499104
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default connmark stroke updown xauth-generic
Listening IP addresses:
MIO IP PUBBLICO
Connections:
l2tp-server: %any...%any IKEv1/2
l2tp-server: local: uses pre-shared key authentication
l2tp-server: remote: uses pre-shared key authentication
l2tp-server: child: 0.0.0.0/0[udp/l2f] === 0.0.0.0/0[udp] TRANSPORT
Security Associations (0 up, 0 connecting):
none
root@modemtim:~#
-
infatti ora è tutto ok... logread -f mentre ti colleghi
-
Te lo stavo giusto incollando :)
root@modemtim:~# logread -f
Thu Mar 19 10:36:11 2020 authpriv.info ipsec: 06[NET] received packet: from IP TELEFONO[23037] to IP CASA[4500] (76 bytes)
Thu Mar 19 10:36:11 2020 daemon.info ipsec: 06[NET] received packet: from IP TELEFONO[23037] to IP CASA[4500] (76 bytes)
Thu Mar 19 10:36:11 2020 authpriv.info ipsec: 06[ENC] invalid ID_V1 payload length, decryption failed?
Thu Mar 19 10:36:11 2020 daemon.info ipsec: 06[ENC] invalid ID_V1 payload length, decryption failed?
Thu Mar 19 10:36:11 2020 authpriv.info ipsec: 06[ENC] could not decrypt payloads
Thu Mar 19 10:36:11 2020 daemon.info ipsec: 06[ENC] could not decrypt payloads
Thu Mar 19 10:36:11 2020 authpriv.info ipsec: 06[IKE] message parsing failed
Thu Mar 19 10:36:11 2020 daemon.info ipsec: 06[IKE] message parsing failed
Thu Mar 19 10:36:11 2020 authpriv.info ipsec: 06[ENC] generating INFORMATIONAL_V1 request 734986945 [ HASH N(PLD_MAL) ]
Thu Mar 19 10:36:11 2020 daemon.info ipsec: 06[ENC] generating INFORMATIONAL_V1 request 734986945 [ HASH N(PLD_MAL) ]
Thu Mar 19 10:36:11 2020 authpriv.info ipsec: 06[NET] sending packet: from IP CASA[500] to IP TELEFONO[22273] (68 bytes)
Thu Mar 19 10:36:11 2020 daemon.info ipsec: 06[NET] sending packet: from IP CASA[500] to IP TELEFONO[22273] (68 bytes)
Thu Mar 19 10:36:11 2020 authpriv.info ipsec: 06[IKE] ID_PROT request with message ID 0 processing failed
Thu Mar 19 10:36:11 2020 daemon.info ipsec: 06[IKE] ID_PROT request with message ID 0 processing failed
Thu Mar 19 10:36:14 2020 authpriv.info ipsec: 16[NET] received packet: from IP TELEFONO[23037] to IP CASA[4500] (76 bytes)
Thu Mar 19 10:36:14 2020 daemon.info ipsec: 16[NET] received packet: from IP TELEFONO[23037] to IP CASA[4500] (76 bytes)
Thu Mar 19 10:36:14 2020 authpriv.info ipsec: 16[ENC] invalid ID_V1 payload length, decryption failed?
Thu Mar 19 10:36:14 2020 daemon.info ipsec: 16[ENC] invalid ID_V1 payload length, decryption failed?
Thu Mar 19 10:36:14 2020 authpriv.info ipsec: 16[ENC] could not decrypt payloads
Thu Mar 19 10:36:14 2020 daemon.info ipsec: 16[ENC] could not decrypt payloads
Thu Mar 19 10:36:14 2020 authpriv.info ipsec: 16[IKE] message parsing failed
Thu Mar 19 10:36:14 2020 daemon.info ipsec: 16[IKE] message parsing failed
Thu Mar 19 10:36:14 2020 authpriv.info ipsec: 16[ENC] generating INFORMATIONAL_V1 request 3933441266 [ HASH N(PLD_MAL) ]
Thu Mar 19 10:36:14 2020 daemon.info ipsec: 16[ENC] generating INFORMATIONAL_V1 request 3933441266 [ HASH N(PLD_MAL) ]
Thu Mar 19 10:36:14 2020 authpriv.info ipsec: 16[NET] sending packet: from IP CASA[500] to IP TELEFONO[22273] (68 bytes)
Thu Mar 19 10:36:14 2020 daemon.info ipsec: 16[NET] sending packet: from IP CASA[500] to IP TELEFONO[22273] (68 bytes)
Thu Mar 19 10:36:14 2020 authpriv.info ipsec: 16[IKE] ID_PROT request with message ID 0 processing failed
Thu Mar 19 10:36:14 2020 daemon.info ipsec: 16[IKE] ID_PROT request with message ID 0 processing failed
Thu Mar 19 10:36:17 2020 authpriv.info ipsec: 07[NET] received packet: from IP TELEFONO[23037] to IP CASA[4500] (76 bytes)
Thu Mar 19 10:36:17 2020 daemon.info ipsec: 07[NET] received packet: from IP TELEFONO[23037] to IP CASA[4500] (76 bytes)
Thu Mar 19 10:36:17 2020 authpriv.info ipsec: 07[ENC] invalid ID_V1 payload length, decryption failed?
Thu Mar 19 10:36:17 2020 daemon.info ipsec: 07[ENC] invalid ID_V1 payload length, decryption failed?
Thu Mar 19 10:36:17 2020 authpriv.info ipsec: 07[ENC] could not decrypt payloads
Thu Mar 19 10:36:17 2020 daemon.info ipsec: 07[ENC] could not decrypt payloads
Thu Mar 19 10:36:17 2020 authpriv.info ipsec: 07[IKE] message parsing failed
Thu Mar 19 10:36:17 2020 daemon.info ipsec: 07[IKE] message parsing failed
Thu Mar 19 10:36:17 2020 authpriv.info ipsec: 07[ENC] generating INFORMATIONAL_V1 request 1483864306 [ HASH N(PLD_MAL) ]
Thu Mar 19 10:36:17 2020 daemon.info ipsec: 07[ENC] generating INFORMATIONAL_V1 request 1483864306 [ HASH N(PLD_MAL) ]
Thu Mar 19 10:36:17 2020 authpriv.info ipsec: 07[NET] sending packet: from IP CASA[500] to IP TELEFONO[22273] (68 bytes)
Thu Mar 19 10:36:17 2020 daemon.info ipsec: 07[NET] sending packet: from IP CASA[500] to IP TELEFONO[22273] (68 bytes)
Thu Mar 19 10:36:17 2020 authpriv.info ipsec: 07[IKE] ID_PROT request with message ID 0 processing failed
Thu Mar 19 10:36:17 2020 daemon.info ipsec: 07[IKE] ID_PROT request with message ID 0 processing failed
Thu Mar 19 10:36:20 2020 authpriv.info ipsec: 08[NET] received packet: from IP TELEFONO[23037] to IP CASA[4500] (76 bytes)
Thu Mar 19 10:36:20 2020 daemon.info ipsec: 08[NET] received packet: from IP TELEFONO[23037] to IP CASA[4500] (76 bytes)
Thu Mar 19 10:36:20 2020 authpriv.info ipsec: 08[ENC] invalid ID_V1 payload length, decryption failed?
Thu Mar 19 10:36:20 2020 daemon.info ipsec: 08[ENC] invalid ID_V1 payload length, decryption failed?
Thu Mar 19 10:36:20 2020 authpriv.info ipsec: 08[ENC] could not decrypt payloads
Thu Mar 19 10:36:20 2020 daemon.info ipsec: 08[ENC] could not decrypt payloads
Thu Mar 19 10:36:20 2020 authpriv.info ipsec: 08[IKE] message parsing failed
Thu Mar 19 10:36:20 2020 daemon.info ipsec: 08[IKE] message parsing failed
Thu Mar 19 10:36:20 2020 authpriv.info ipsec: 08[ENC] generating INFORMATIONAL_V1 request 2631970308 [ HASH N(PLD_MAL) ]
Thu Mar 19 10:36:20 2020 daemon.info ipsec: 08[ENC] generating INFORMATIONAL_V1 request 2631970308 [ HASH N(PLD_MAL) ]
Thu Mar 19 10:36:20 2020 authpriv.info ipsec: 08[NET] sending packet: from IP CASA[500] to IP TELEFONO[22273] (68 bytes)
Thu Mar 19 10:36:20 2020 daemon.info ipsec: 08[NET] sending packet: from IP CASA[500] to IP TELEFONO[22273] (68 bytes)
Thu Mar 19 10:36:20 2020 authpriv.info ipsec: 08[IKE] ID_PROT request with message ID 0 processing failed
Thu Mar 19 10:36:20 2020 daemon.info ipsec: 08[IKE] ID_PROT request with message ID 0 processing failed
Thu Mar 19 10:36:22 2020 authpriv.info ipsec: 10[JOB] deleting half open IKE_SA with IP TELEFONO after timeout
Thu Mar 19 10:36:22 2020 daemon.info ipsec: 10[JOB] deleting half open IKE_SA with IP TELEFONO after timeout
Thu Mar 19 10:36:45 2020 daemon.info cwmpd[11947]: PROT_TRACE: Events are waiting, need to contact ACS
Thu Mar 19 10:36:45 2020 daemon.info cwmpd[11947]: CONNECTION: Connecting to server
Thu Mar 19 10:36:45 2020 daemon.info cwmpd[11947]: UBUS_CLIENT: external IP address is IP CASA
Thu Mar 19 10:36:45 2020 daemon.info cwmpd[11947]: UBUS_CLIENT: Sending event cwmpd
Thu Mar 19 10:36:45 2020 daemon.info cwmpd[11947]: CONNECTION: Connected to server, starting transaction.
Thu Mar 19 10:36:45 2020 daemon.info cwmpd[11947]: UBUS_CLIENT: external IP address is IP CASA
Thu Mar 19 10:36:45 2020 daemon.info cwmpd[11947]: PROT_TRACE: ConnectionRequestURL updated to http://IP CASA:7170/ConnectionRequest
Thu Mar 19 10:36:45 2020 daemon.info cwmpd[11947]: PROT_TRACE: ConnectionRequestURL updated to http://IP CASA:7170/ConnectionRequest
Dal web leggo che alcuni risolvono in questo modo:
You are initiating a Mode Config push, but the client at the same time does a Mode Config pull.
modeconfig=push
push mode support was not supported until 5.1.1, so it just used pull mode. This is what you usually want with road warrior clients. Try to remove that modeconfig statement for 5.1.1 to use the default pull mode.
-
direi che stai mettendo la PSK sbagliata.
-
Purtroppo no.. l'ho cambiata 80 volte e ricontrollata ma niente
-
Ma cosa stai usando come client? mi scrivi/screenshotti le config?
-
Sto usando il client VPN integrato in Android e imposto i parametri come da tuo screenshot presente in questo topic.
Tipo: L2TP/IPSec PSK
Indirizzo server: mio ip pubblico casa o DDNS
Chiave precondivisa IPsec: Chiave IPSec precondivisa da GUI
Nome utente: Username da GUI
Password: password del corrispondente Username da GUI
-
prova semplicemente a riavviare il modem, sinceramente nn ho altre idee, quel log a me esce identico se metto una PSK sbagliata
-
Mi sembra che dopo aver riavviato siano cambiati username e password e sia sparito un utente che avevo aggiunto. Da quali file posso vedere tramite winscp che password e utenti si trova salvati effettivamente il sistema?
EDIT:
a differenza di quando l'ho installato l'altra volta, non trovo piu il file /var/ipsec/ipsec.secrets che dovrebbe contenere la chiave precondivisa.
EDIT2:
Non trovando la cartella /var/ipsec ho pensato di dare i seguenti comandi:
root@modemtim:~# /etc/init.d/ipsec stop
Stopping strongSwan IPsec failed: starter is not running
Command failed: Not found
root@modemtim:~# /etc/init.d/ipsc start
-ash: /etc/init.d/ipsc: not found
root@modemtim:~# /etc/init.d/ipsec start
Starting strongSwan 5.6.3 IPsec [starter]...
root@modemtim:~#
e MAGIA! :clap:
Ora appena posso provo a riavviare il router per capire se effettivamente devo far ripartire ogni volta ipsec manualmente (cosa assolutamente non fattibile)
EDIT3:
ad ogni riavvio del router devo far ripartire ipsec con il comando /etc/init.d/ipsec start. Come posso risolvere questa cosa?
Segnalo che comunque i cambiamenti effettuati da GUI non vengono applicati subito e non sempre dopo un riavvio e un restart : con il comando ipsec reload si risolve subito.
-
per il fatto che non va all'avvio fammi sapere se si risolve dando /etc/init.d/ipsec enable
il perchè non ti prende le modifiche immagino sia riconducibile al fatto che si blocca quel restart, ma io ho provato e me le prende..
-
Il comando ha funzionato, anche al riavvio mi ritrovo la cartella.
Per l'aggiornamento non è un problema: tanto non cambio tutti i giorni utente e password per fortuna :)
Su Android fila tutto liscio ma su Windows non riesco a configurare la connessione VPN tramite il client integrato: c'è un client più semplice, comodo e che salvi la password che tu sappia?
Se mi dai l'ok pensavo di scrivere qualche faq/troubleshooting per chi ha DGA4132 cosi poi lo aggiungi in prima pagina. Che ne pensi?
-
Il client integrato di windows è quello più comodo che esista, ed è anche l'unico che è garantito per essere compatibile con aggiornamenti di windows. Deve funzionare con quello.
-
Beh comodo mica tanto se ogni 24 ore al massimo devo reinserire la password per connettermi alla VPN.
Comunque anche disattivando il firewall non riesco a connettermi: tentativo di connessione L2TP non riuscito: impossibile trovare il criterio di sicurezza per la connessione.
Ho provato a usare Check point Endpoint Security ma non riesco a configurare nemmeno quello.
-
Su utente + certificato il problema di reinserire la password non si pone. Su utente + psk di preciso cosa ti chiede di reinserire ogni 48h? Quella dell'utente o la psk? Il firewall va tenuto tassativamente attivo, su connessioni client non devi preoccuparti che possa rappresentare un problema.
Fai una prova a configurare sempre in L2TP/IPsec una vpn su vpngate tra quelle compatibili con quel protocollo. Io il client di windows lo uso spesso su quelle. Quando riesci a farne funzionare una procedi a configurarlo per quella sul DGA.
-
Niente, mi sono sbagliato per quanto riguarda la memorizzazione di utente e psw.
Comunque ho anche seguito la guida: https://www.vpngate.net/en/howto_l2tp.aspx#windows ma senza successo. Ho provato come da te suggerito 2 vpn da vpn gate ma niente.
EDIT:
Dando logread -f e provando a connettermi sembra che non ci sia alcun "movimento". Immagino quindi che il pc non riesca proprio a raggiungere la VPN. Disattivando il firewall non cambia nulla. Qualche idea? Grazie ragazzi.
-
Infatti come sispettavo il tuo problema nemmeno dipende dalla config sul DGA. Devi prima capire che problemi ha il tuo PC ad usare/configurare un tunnel L2TP/IPsec. Finchè quelle su vpngate non ti funzionano è inutile che provi a configurare la tua.
@FrancYescO xl2tpd per vbnt-o 3.4 17.2 https://anonfile.com/f6G0reieo8/xl2tpd_devel-20150930-1_brcm63xx-tch_ipk dovrebbe funzionare anche su vbnt-s/k 3.4 17.3, AGTxx >= 1.1.0 e < 2.1.0 insomma,
-
Ma la mia l'ho già configurata, semplicemente mi da lo stesso errore delle vpn di vpn gate.
Spero di non aver disattivato tempo fa qualche servizio all'avvio :facepalm:
EDIT:
Ho risettato 1000 volte la connessione, sempre allo stesso modo poi eh.
Ho controllato tutti i servizi all'avvio e non c'era nulla di disabilitato.
Ho fatto mille prove cambiando parametri ecc ma nulla.
Alla fine ho risolto disinstallando TUTTI i programmi relativi a VPN che avevo installato per vari motivi (Fritz VPN, Check point vpn, openVPN), cancellando tutte le connessioni VPN che avevo creato e riavviando il PC.
-
@FrancYescO
Se vuoi aggiungere questa piccola sezione per chi ha DGA4132, ammesso che anche gli altri con DGA 4132 e FW 2.2.0 riscontrino i problemi che ho riscontrato io. Immagino di si dato che ero partito dal router piallato. Grazie mille a te e a @LuKePicci per l'assistenza :)
Troubleshooting per DGA4132 con FW >= 2.2.0
1) Non ottengo alcuna risposta dopo aver dato il comando /etc/init.d/ipsec restart.
Non è necessario utilizzare il comando in questione: si riesce comunque a far partire il server VPN.
2) Dal log vedo il seguente errore: invalid ID_V1 payload length, decryption failed.
Quell'errore generalmente indica che hai inserito dati di accesso errati: controlla bene di averli inseriti correttamente.
Se i dati inseriti sono corretti allora probabilmente hai aggiornato/impostato i dati di accesso (chiave precondivisa, username, password) e la GUI non ha aggiornato i file necessari: dunque per il server i dati di accesso sono sbagliati. E' necessario dare il comando ipsec reload per aggiornarli.
3) Al riavvio del router il server VPN non funziona.
Dai il comando /etc/init.d/ipsec enable e da quel momento al riavvio del router il server dovrebbe avviarsi.
-
La 1 direi che è superflua: non viene mai richiesto di eseguirlo quel comando :P
La 3 l'ho resa superflua integrando tutto nel pacchetto
Per la 2 ovviamente starebbe all'utente scrivere bene :D ma comunque ora un minimo di faq le metto
-
Beh però aspetta: la 2) purtroppo non dipende solo dall'utente che scrive bene. A volte se cambi qualcosa nella GUI (user, password o chiave precondivisa) le modifiche non vanno nei file e quando inserisci i nuovi dati per connetterti alla VPN questi risultano errati (perchè quelli validi sono quelli che hai appena cambiato).
-
Come dicevo, qualsiasi client vpn che non sia quello di windows fa solo casino.
@FrancYescO quella ciphersuite con 3des è meglio farla sparire, solo aes128 o superiori per la crittografia e sha256 o superiori per l'hashing, ma hmac anche sha1 va ancora bene. L'unica cosa che uccide le performance è aes256 sulla CHILD_SA in ESP, cioè quella che trasporta il traffico della vpn. Per la IKE_SA anche aes256 non è un problema.
In sostanza una cosa del genere è ancora accettabile come minimo ed è compatibil un po' con tutto.:
roadwarriorEAPTLS[32]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
roadwarriorEAPTLS{10}: INSTALLED, TUNNEL, reqid 4, ESP in UDP SPIs: c49870ed_i 426771ff_o
roadwarriorEAPTLS{10}: AES_CBC_128/HMAC_SHA1_96, 64 bytes_i (1 pkt, 1s ago), 40 bytes_o (1 pkt,
1s ago), rekeying in 43 minutes
Poi per qualche motivo non meglio precisato il mio 4131 anche così, come banda, va uguale anche se la cpu si vede palesemente più in difficoltà:
roadwarriorEAPTLS[34]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
roadwarriorEAPTLS{11}: INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: c2e12766_i 31b3ced4_o
roadwarriorEAPTLS{11}: AES_CBC_256/HMAC_SHA1_96, 53497918 bytes_i (49119 pkts, 1s ago), 25382879
bytes_o (28988 pkts, 2s ago), rekeying in 49 minutes
Un 4130/4132 con firmware 18.x dovrebbe andare molto più veloce a patto di usare una crittografia supportata dall'acceleratore hw.
-
Ah quindi non sono pazzo, avevo fatto anche io test di performance perchè avevo paura di tagliare banda, ma anche sul 4130 mi è sembrato di non vedere differenze
il 3des dici di farlo scendere di priorità (che poi nemmeno so se sapranno scegliere bene client vecchi) o toglierlo proprio? l'ho mantenuto giusto perchè lo aveva messo tch...
-
3des va proprio tolto, che aes256 prenda più risorse di aes128 è sicuro ma la banda non capisco da cosa sia inficiata, forse da altro, a me con entrambi fa 25 in down e 40 in up da speedtest con pc connesso tramite lan in ipsec al 4131. E di sicuro sta facendo tutto sul kenrel via software. Il 4130 dovrebbe usare l'spu e andare più forte/usare meno/non usare affatto cpu.
-
Ok tolto tutti i 3ds e modp1024, aes128-sha256-modp3072 come auth e aes128-sha1-modp2048 per il trasporto
ma direi che ho qualcosa che non va.. http://eolo.speedtestcustom.com/result/1e2da620-6a1f-11ea-b4fb-53ebc63077f1
-
Ho notato che se vado nel file /var/ppp/chap-secrets trovo username con password non criptata. E' normale e sicura questa cosa?
-
è normale, e no, non è sicura, perciò io preferisco sempre i certificati. In quel caso l'unico segreto salvato "in chiaro" sul router è la chiave privata del server, quindi anche rubandomela non possono connettersi alla mia rete in VPN, possono solo (se proprio ci tengono) organizzare in altro modo un dirottamento della connessione fatta dal mio dispositivo e grazie a quella chiave convincermi di star parlando col mio server.
-
Non è sicura nemmeno se l'accesso SSH è disattivato da WAN?
E' possibile creare un certificato da accostare alla password?
-
E' insicura perchè fa dipendere la possibilità di rubare quelle credenziali da fatto che il router sia o meno stato compromesso. Più il router è inaccessibile è più è improbabile, ma con un certificato la chiave sul router non c'è proprio quindi è evidentemente meglio fin dal principio. SSH da wan c'entra relativamente poco, basta compromettere un qualsiasi dispositivo nella tua rete e poi da lì accedere al router via lan e sei fritto.
So che è possibile fare in strongswan doppia autenticazione sia certificato che password, ma questa cosa la supportano pochissimi client, tra cui strongswan ovviamente, quindi non la consiglio. Una volta che hai il certificato con la chiave per l'utente basta quello, a quel punto la password è inutile e pure scomoda da inserire se complessa o fatta di caratteri non visualizzabili a schermo/inseribili da tastiera..
-
Ho capito. Quindi volendo mantenere questa configurazione non è possibile aggiungere un certificato per stare più tranquilli.
In teoria però, ipotizzando che un dispositivo venga compromesso, dovrebbero comunque riuscire ad accedere alla configurazione del router o tramite il suo ip locale (da GUI) o tramite ssh, cosa non scontata se ho modificato le password e le ho messe belle robuste.
Sbaglio?
-
Non sbagli, ma come dicevo, per quanto tu possa sforzarti di tenerlo al sicuro, in base a quanto sappiamo ora in merito alla sicurezza di questi aggeggi, è ovvio che un sistema col quale non si pone proprio il problema vinca su tutta la linea.
Ripeto, non è impossibile aggiungere un ulteriore round di autenticazione IPsec su certificato, è semplicemente insensato. La config in queste pagine si basa comunque su due round di autenticazione, uno sulla PSK di IPsec uguale per tutti, ed uno su nome utente/password CHAP di PPP diverse per utente. Purtroppo anche la PSK di IPsec è salvata in chiaro. Una cosa che puoi fare (ma non so dirti quando fastidio dia ai vari client in circolazione) è sostituire il round PSK di IPsec con uno basato su certificato. Rimpiazzare il CHAP di PPP con altro la vedo difficile
-
Afferrato il concetto :)
Grazie della spiegazione!
-
Prerequisiti:
Assicuratevi di avere dei feed da cui è possibile scaricare xl2tpd e strongswan (alcuni firmware Technicolor Includono entrambi), in linea di massima se avete la GUI installata c'è buona probabilità son stati già inseriti, assicuratevi con un opkg update siano aggiornati e funzionanti.
Effettuando il comando indicato, l'operazione non viene portata a termine perchè il link non è disponibile .
La directory" http://downloads.openwrt.org/chaos_calmer/15.05.1/brcm63xx-tch
/VANTF/packages/Packages.gz" è corretta fino a "http://downloads.openwrt.org/chaos_calmer/15.05.1/" , il resto non c'è.
Possibile scaricare il pacchetto da un altro link?
-
puoi ignorare e andare oltre, i feed importanti sono gli altri che da quanto ho capito ti ha scaricato senza problemi.
-
questo quanto riporta la console:
root@dsldevice:~# curl -s https://raw.githubusercontent.com/FrancYescO/sharing_t
g789/modgui-vpn/modgui-vpn_1.0-0_all.ipk -o /tmp/modgui-vpn_1.0-0_all.ipk
root@dsldevice:~# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Installing modgui-vpn (1.0-0) to root...
Collected errors:
* satisfy_dependencies_for: Cannot satisfy the following dependencies for modgui-vpn:
* xl2tpd * strongswan-default *
* opkg_install_cmd: Cannot install package modgui-vpn.
Pensando di aver fatto casini ho resettato il modem ripartendo da zero con il firmware UNOUK, ma nulla da fare.
-
aspetta, mi sa ho frainteso: se quello di prima è l'unico output del comando opkg update i feed non ci sono, se hai la gui modificata metti la dev che ci sono vari fix a riguardo il setup dei feed
Se non la hai questi sono i feed da usare https://github.com/FrancYescO/789vacv2_opkg/ e devi installare preventivamente openssl-util per sistemare il download di feed https
-
Salve ragazzi, ho effettuato la procedura in prima pagina, non mi è uscito nessun errore e tutto è filato liscio. avevo gia fatto questa procedura su un altro router ma ora non vuole saperne niente di apparire la tab, qualcuno mi può aiutare su cosa controllare?
grazie anticipatamente
-
hai la GUI? l'hai aggiornata post installazione di questo pacchetto? disintalla e reinstalla.
-
ho installato prima l'ultimo aggiornamento alla GUI ansuel 9.5.38 e poi la mod gui vpn ho anche disinstallato e rinstallato ma il tab nulla.
edit
Risolto, reinstallato la gui e rinstallato mod gui vpn, ora è uscito il tab e funziona.
Grazie
-
Novità sull'integrazione nella GUI? O integrare almeno un workaround per evitare che sparisca ogni aggiornamento... Anche perché con gli ultimi aggiornamenti del pacchetto ho provato l'installazione sia su un DGA4130 che su un DGA4131 appena sbloccati con GUI e ha funzionato tutto a primo colpo senza nessuna configurazione particolare
-
Mi sono reso conto oggi che con questa VPN non riesco più a far passare tutto il traffico internet del client verso la VPN (Cosa che riuscivo a fare con la configurazione di strongswan con i certificati), ci sono configurazioni particolari da attivare?
-
A memoria ricordo di aver visto una flag su qualche client del tipo "route all traffic through VPN"
-
Si la flag è attiva, ma mentre funzionava, ad esempio con la VPN L2TP della VSR non funziona con questa VPN... Pensi che il problema sia da ricercare nel client?
EDIT: E in effetti avevi ragione, l'iPhone non mi ha dato problemi, grazie :rotfl:
-
serve "aiutino"...
ho istallato il tutto su un 789vac v2 (istruzioni post n.1) con GUI di Ansuel (9.5.xx), configurato il server tramite GUI, ma non mi si connettono i client...
il 789 è dietro un router (il DGA4131 non modificato) su cui ho impostato il port forwarding per la 1701 TCP, 500 e 4500 UDP. Porte scelte navigando nel web perché nel modem ho trovato riferimento solo per la 1701 (xl2tpd.conf)
penso che il problema sia qui: come dovrei configurare le porte?
inoltre:
per provare sto usando un client android. Dopo sarà un TPLink MR200 a connettersi come client la cui GUI NON ha la possibilità di inserire nome e password dell'utente che si connette. Come configuro il 789 per evitare di chiederli?
aggiungo:
ipsec statusall:
no files found matching '/etc/strongswan.d/*.conf'
Status of IKE charon daemon (strongSwan 5.3.3, Linux 3.4.11-rt19, mips):
uptime: 79 minutes, since May 22 22:18:10 2020
malloc: sbrk 196608, mmap 0, used 110688, free 85920
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
loaded plugins: charon aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default stroke updown xauth-generic
Listening IP addresses:
Connections:
l2tp-server: %any...%any IKEv1/2
l2tp-server: local: uses pre-shared key authentication
l2tp-server: remote: uses pre-shared key authentication
l2tp-server: child: 0.0.0.0/0[udp/l2f] === 0.0.0.0/0[udp] TRANSPORT
logread -f (mentre si connette un client windows 10), unica riga:
Fri May 22 23:40:19 2020 daemon.notice [4214]: [mobiled] (WaitingForDevice) runs WaitingForDevice-Main.check(timeout, 1)
e Windows riporta:
"tentativo connessione non riuscito. il livello si sicurezza ha rilevato errore di elaborazione durante le negoziazioni iniziali con il computer remoto"
-
porta 1723
anzi no credo sia questo che non so come si rediretta https://github.com/FrancYescO/sharing_tg789/blob/modgui-vpn/modgui-vpn/lib/functions/firewall-l2tp-ipsec-server.sh#L35
-
@FrancYescO
forward anche porta 1723 = non connette
DMZ sul Fastgate su IP del "tuo" 789 = non connette
nel 789 ho il file del link che hai messo e riguarda le porte standard (1701, 4500, 500) già col forward attivo sul Fastgate (standard, non modificato). il 789 ha firewall impostato su "basso"
da Android ho anche provato a connettere VPN arrivando da "dentro" (cioè già con IP interno della LAN, non accedendo da Internet al fastgate), ma niente
-
ripeto, oltre a quelle porte udp devi fare il redirect di quel protocollo esp per farlo funzionare su un device in cascata, immagino la cosa necessiti di un helper apposito sul DGA4131
inoltre non credo che sulla lan sia abilitato al listen, di sicuro con quel logread lui non sta ricevendo un bel niente quindi è qualcosa a livello networking e di firewall che non passa più che applicativo
-
"devi fare il redirect di quel protocollo esp [cut] immagino la cosa necessiti di un helper apposito sul DGA4131"
che non so fare...
ma, domanda, se attivo DMZ sull'IP del 789, non dovrebbe "passargli" tutto senza controlli?
-
No il DMZ lascialo perdere. Per far funzionare il "server" IPsec sul 789 in cascata devi fare sul 4131 il normale forward di quelle porte, ovvero UDP 500 e 4500, più la UDP 1701 nel caso tu ci stia facendo passare sopra una L2TP, come in questo caso.
A quel punto ti metti da "fuori", quindi da smartphone su rete mobile e provi. Una IPsec pura funziona anche in locale tra client connesso al 789 e "server" IPsec al suo interno, ma con L2TP non saprei dirti.
E' comunque strano che il tplink abbia un client L2TP che non ti fa scegliere una nome utente e password, sicuro sia davvero L2TP? dal manuale a me sembra tanto una vecchia IPsec con IKEv1 senza nè L2TP nè Xauth
PS: a parte il divertimento di riuscirci a prescindere, se installi strongswan sul 4131 su firmware 18.x funziona molto meglio, accetta ciphersuite più moderne e va sui 100 megabit/s.
-
@LuKePicci
il 4131 è "operativo" = non lo tocco
il 789 è "smanettabile"... :-)
Riprovato anche adesso (da android fuori LAN) aprendo 1701 sia TCP, sia UDP (avevo aperto solo la TCP) = niente
secondo FrancYescO il 789 non riceve richieste
ri-domando: ma se imposto la DMZ, anche solo per prova, il 4131 dovrebbe diventare totalmente trasparente, o no?
Approfondisco il discorso TPlink, ma anche android non si connette al 789.
-
Compra un altro 4131 e smanetta su quello. Il "DMZ simulato" come inteso su questi aggeggi consumer non rende trasparente un fico secco. Cosa faccia di rpeciso sul 4131 non l'ho mai guardato ma è una di quelle feature come le famose "bridge mode" che i produttori interpretano ognuno a modo loro e la cui sostanza cambia da caso a caso.
(edit: eccolo qua https://github.com/FrancYescO/tch_firmware_extracted/blob/AGTHP_2.2.1_003_CLOSED/lib/functions/dmz.sh
per capirci, un DMZ un minimo più serio - anche se comunque non del tutto aderente alla definizione di DMZ - è quello spiegato al primo post qui: https://forum.openwrt.org/t/guide-to-set-up-dmz-via-luci/21616/1)
IPsec è fatto da ESP, AH e qualcosa su UDP. Solo per quest'ultimo esiste il concetto di porta. Ti direi di provare prima senza L2TP che richiede qualche forward in più (anche GRE credo), giusto per capire se il 4131 sta o meno tappando ESP ed AH.
-
@LuKePicci
escludo di comprare un altro 4131... vado di risparmio (modem di Fastweb) & riciclo (789)
100 Mb.. magari! qui da me solo VDSL da 30Mb... :(
"Ti direi di provare prima senza L2TP che richiede qualche forward in più (anche GRE credo), giusto per capire se il 4131 sta o meno tappando ESP ed AH."
grazie, ma.... devi tradurmelo in "ignorantese" ! ;)
come imposto il port forwarding sul 4131?
e sulla Ansuel GUI del 789?
-
Sul 4131 senza root non puoi forwardare nient'altro che tcp e udp, e l'hai già fatto. Sul 789 non c'è nulla da forwardare. C'è un thread per ipsec puro su strongswan per questi device, vedi lì che si dice.
Nei primi post c'è indicata una guida per IPsec su IKEv2, puoi iniziare con da lì e poi cambiare in IPsec IKEv1 (senza L2TP) se il tplink supporta solo quello.
https://www.ilpuntotecnico.com/forum/index.php/topic,82673.0.html
-
siete grandi :)
sarebbe ancora piu perfetto se fosse possibile ampliare i campi della lista dei dispositivi
(https://i.ibb.co/v4ws1Jk/SUGGERIMENTI.jpg) (https://ibb.co/5hMYT5L)
aggiungendo :
Access Point
Notebook
Switch
Router
Smartphone
IP Cam
Tablet
VoIP
ve ne sarei grato :pray:
-
Buongiorno a tutti, torno in questo post perché ho appena scoperto un problema che si verifica dopo la disconnessione. Mi spiego, quando mi connetto alla VPN va tutto bene, il client si autentica senza problemi e la VPN funziona. Una volta disconnesso però sembra che qualcosa si blocchi e non riesco ne a riconnettermi alla VPN ne ad accedere alla GUI da remoto (e forse anche da locale) riesco solo a connettermi via SSH, dando il comando "ipsec restart" torna tutto a funzionare. Questo è il log completo dalla connessione alla disconnessione
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[NET] received packet: from "clientip"[500] to "serverip"[500] (788 bytes)
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[NET] received packet: from "clientip"[500] to "serverip"[500] (788 bytes)
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V V V V V ]
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V V V V V ]
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[IKE] received NAT-T (RFC 3947) vendor ID
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[IKE] received NAT-T (RFC 3947) vendor ID
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[IKE] received FRAGMENTATION vendor ID
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[IKE] received FRAGMENTATION vendor ID
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[IKE] received DPD vendor ID
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[IKE] received DPD vendor ID
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[IKE] "clientip" is initiating a Main Mode IKE_SA
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[IKE] "clientip" is initiating a Main Mode IKE_SA
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[ENC] generating ID_PROT response 0 [ SA V V V ]
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[ENC] generating ID_PROT response 0 [ SA V V V ]
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 07[NET] sending packet: from "serverip"[500] to "clientip"[500] (136 bytes)
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 07[NET] sending packet: from "serverip"[500] to "clientip"[500] (136 bytes)
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 09[NET] received packet: from "clientip"[500] to "serverip"[500] (380 bytes)
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 09[NET] received packet: from "clientip"[500] to "serverip"[500] (380 bytes)
Mon Jul 6 12:15:14 2020 authpriv.info ipsec: 09[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Mon Jul 6 12:15:14 2020 daemon.info ipsec: 09[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Mon Jul 6 12:15:15 2020 authpriv.info ipsec: 09[IKE] remote host is behind NAT
Mon Jul 6 12:15:15 2020 daemon.info ipsec: 09[IKE] remote host is behind NAT
Mon Jul 6 12:15:15 2020 authpriv.info ipsec: 09[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Mon Jul 6 12:15:15 2020 daemon.info ipsec: 09[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Mon Jul 6 12:15:15 2020 authpriv.info ipsec: 09[NET] sending packet: from "serverip"[500] to "clientip"[500] (396 bytes)
Mon Jul 6 12:15:15 2020 daemon.info ipsec: 09[NET] sending packet: from "serverip"[500] to "clientip"[500] (396 bytes)
Mon Jul 6 12:15:15 2020 authpriv.info ipsec: 11[NET] received packet: from "clientip"[4500] to "serverip"[4500] (108 bytes)
Mon Jul 6 12:15:15 2020 daemon.info ipsec: 11[NET] received packet: from "clientip"[4500] to "serverip"[4500] (108 bytes)
Mon Jul 6 12:15:15 2020 authpriv.info ipsec: 11[ENC] parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Mon Jul 6 12:15:15 2020 daemon.info ipsec: 11[ENC] parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Mon Jul 6 12:15:15 2020 authpriv.info ipsec: 11[CFG] looking for pre-shared key peer configs matching "serverip"..."clientip"[192.168.1.140]
Mon Jul 6 12:15:15 2020 daemon.info ipsec: 11[CFG] looking for pre-shared key peer configs matching "serverip"..."clientip"[192.168.1.140]
Mon Jul 6 12:15:15 2020 authpriv.info ipsec: 11[CFG] selected peer config "l2tp-server"
Mon Jul 6 12:15:15 2020 daemon.info ipsec: 11[CFG] selected peer config "l2tp-server"
Mon Jul 6 12:15:15 2020 authpriv.info ipsec: 11[IKE] IKE_SA l2tp-server[1] established between "serverip"["serverip"]..."clientip"[192.168.1.140]
Mon Jul 6 12:15:15 2020 daemon.info ipsec: 11[IKE] IKE_SA l2tp-server[1] established between "serverip"["serverip"]..."clientip"[192.168.1.140]
Mon Jul 6 12:15:15 2020 authpriv.info ipsec: 11[IKE] scheduling reauthentication in 2951s
Mon Jul 6 12:15:15 2020 daemon.info ipsec: 11[IKE] scheduling reauthentication in 2951s
Mon Jul 6 12:15:15 2020 authpriv.info ipsec: 11[IKE] maximum IKE_SA lifetime 3491s
Mon Jul 6 12:15:15 2020 daemon.info ipsec: 11[IKE] maximum IKE_SA lifetime 3491s
Mon Jul 6 12:15:15 2020 authpriv.info ipsec: 11[ENC] generating ID_PROT response 0 [ ID HASH ]
Mon Jul 6 12:15:15 2020 daemon.info ipsec: 11[ENC] generating ID_PROT response 0 [ ID HASH ]
Mon Jul 6 12:15:15 2020 authpriv.info ipsec: 11[NET] sending packet: from "serverip"[4500] to "clientip"[4500] (92 bytes)
Mon Jul 6 12:15:15 2020 daemon.info ipsec: 11[NET] sending packet: from "serverip"[4500] to "clientip"[4500] (92 bytes)
Mon Jul 6 12:15:16 2020 authpriv.info ipsec: 08[NET] received packet: from "clientip"[4500] to "serverip"[4500] (332 bytes)
Mon Jul 6 12:15:16 2020 daemon.info ipsec: 08[NET] received packet: from "clientip"[4500] to "serverip"[4500] (332 bytes)
Mon Jul 6 12:15:16 2020 authpriv.info ipsec: 08[ENC] parsed QUICK_MODE request 1070226255 [ HASH SA No ID ID NAT-OA NAT-OA ]
Mon Jul 6 12:15:16 2020 daemon.info ipsec: 08[ENC] parsed QUICK_MODE request 1070226255 [ HASH SA No ID ID NAT-OA NAT-OA ]
Mon Jul 6 12:15:16 2020 authpriv.info ipsec: 08[ENC] generating QUICK_MODE response 1070226255 [ HASH SA No ID ID NAT-OA NAT-OA ]
Mon Jul 6 12:15:16 2020 daemon.info ipsec: 08[ENC] generating QUICK_MODE response 1070226255 [ HASH SA No ID ID NAT-OA NAT-OA ]
Mon Jul 6 12:15:16 2020 authpriv.info ipsec: 08[NET] sending packet: from "serverip"[4500] to "clientip"[4500] (204 bytes)
Mon Jul 6 12:15:16 2020 daemon.info ipsec: 08[NET] sending packet: from "serverip"[4500] to "clientip"[4500] (204 bytes)
Mon Jul 6 12:15:16 2020 authpriv.info ipsec: 10[NET] received packet: from "clientip"[4500] to "serverip"[4500] (76 bytes)
Mon Jul 6 12:15:16 2020 daemon.info ipsec: 10[NET] received packet: from "clientip"[4500] to "serverip"[4500] (76 bytes)
Mon Jul 6 12:15:16 2020 authpriv.info ipsec: 10[ENC] parsed QUICK_MODE request 1070226255 [ HASH ]
Mon Jul 6 12:15:16 2020 daemon.info ipsec: 10[ENC] parsed QUICK_MODE request 1070226255 [ HASH ]
Mon Jul 6 12:15:16 2020 authpriv.info ipsec: 10[IKE] CHILD_SA l2tp-server{1} established with SPIs c64ed2fa_i 09cdb424_o and TS "serverip"/32[udp/l2f] === "clientip"/32[udp/54007]
Mon Jul 6 12:15:16 2020 daemon.info ipsec: 10[IKE] CHILD_SA l2tp-server{1} established with SPIs c64ed2fa_i 09cdb424_o and TS "serverip"/32[udp/l2f] === "clientip"/32[udp/54007]
Mon Jul 6 12:15:16 2020 local0.notice vpn: + 192.168.1.140 "clientip" -- "serverip"
Mon Jul 6 12:15:16 2020 daemon.notice xl2tpd[4935]: Connection established to "clientip", 54007. Local: 40661, Remote: 13 (ref=0/0). LNS session is 'default'
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: start_pppd: I'm running:
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "/usr/sbin/pppd"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "passive"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "nodetach"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "192.168.1.245:192.168.1.246"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "refuse-pap"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "refuse-chap"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "name"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "tchvpn"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "file"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "/etc/ppp/options.xl2tpd"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "pppol2tp.so"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "pppol2tp"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "8"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "pppol2tp_lns_mode"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "pppol2tp_tunnel_id"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "40661"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "pppol2tp_session_id"
Mon Jul 6 12:15:16 2020 daemon.debug xl2tpd[4935]: "60829"
Mon Jul 6 12:15:16 2020 daemon.notice xl2tpd[4935]: Call established with "clientip", Local: 60829, Remote: 14049, Serial: 1
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: Plugin pppol2tp.so loaded.
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: pppd options in effect:
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: nodetach # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: logfile /var/log/xl2tpd.log # (from /etc/ppp/options.xl2tpd)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: maxfail 0 # (from /etc/ppp/options)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: dump # (from /etc/ppp/options.xl2tpd)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: plugin pppol2tp.so # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: require-mschap-v2 # (from /etc/ppp/options.xl2tpd)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: refuse-pap # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: refuse-chap # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: name tchvpn # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: pppol2tp 8 # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: pppol2tp_lns_mode # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: pppol2tp_tunnel_id 40661 # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: pppol2tp_session_id 60829 # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: pppol2tp 8 # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: pppol2tp_lns_mode # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: pppol2tp_tunnel_id 40661 # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: pppol2tp_session_id 60829 # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: noaccomp # (from /etc/ppp/options.xl2tpd)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: nopcomp # (from /etc/ppp/options.xl2tpd)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: passive # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: lcp-echo-failure 5 # (from /etc/ppp/options.xl2tpd)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: lcp-echo-interval 30 # (from /etc/ppp/options.xl2tpd)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: lcp-echo-adaptive # (from /etc/ppp/options.xl2tpd)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: novj # (from /etc/ppp/options.xl2tpd)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: novjccomp # (from /etc/ppp/options.xl2tpd)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: noipdefault # (from /etc/ppp/options)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: ms-dns xxx # [don't know how to print value] # (from /etc/ppp/options.xl2tpd)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: 192.168.1.245:192.168.1.246 # (from command line)
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: noccp # (from /etc/ppp/options.xl2tpd)
Mon Jul 6 12:15:16 2020 daemon.notice pppd[29845]: pppd 2.4.7 started by root, uid 0
Mon Jul 6 12:15:16 2020 daemon.info pppd[29845]: Using interface ppp1
Mon Jul 6 12:15:16 2020 daemon.notice pppd[29845]: Connect: ppp1 <-->
Mon Jul 6 12:15:19 2020 daemon.warn pppd[29845]: Warning - secret file /etc/ppp/chap-secrets has world and/or group access
Mon Jul 6 12:15:20 2020 daemon.notice miniupnpd[6911]: ProcessInterfaceWatchNotify RTM_NEWADDR index=49 fam=2
Mon Jul 6 12:15:20 2020 user.err syslog: ILibGetLocalIPAddressList :292>No matching interface
Mon Jul 6 12:15:20 2020 user.err syslog: ILibGetLocalIPAddressList :292>No matching interface
Mon Jul 6 12:15:20 2020 user.err syslog: ILibGetLocalIPAddressList :292>No matching interface
Mon Jul 6 12:15:20 2020 user.err syslog: ILibGetLocalIPAddressList :292>No matching interface
Mon Jul 6 12:15:20 2020 daemon.notice miniupnpd[6911]: ProcessInterfaceWatchNotify RTM_DELADDR index=49 fam=2
Mon Jul 6 12:15:20 2020 daemon.notice miniupnpd[6911]: ProcessInterfaceWatchNotify RTM_NEWADDR index=49 fam=2
Mon Jul 6 12:15:20 2020 user.err syslog: ILibGetLocalIPAddressList :292>No matching interface
Mon Jul 6 12:15:20 2020 user.err syslog: ILibGetLocalIPAddressList :292>No matching interface
Mon Jul 6 12:15:20 2020 user.err syslog: ILibGetLocalIPAddressList :292>No matching interface
Mon Jul 6 12:15:20 2020 user.err syslog: ILibGetLocalIPAddressList :292>No matching interface
Mon Jul 6 12:15:20 2020 daemon.notice pppd[29845]: local IP address 192.168.1.245
Mon Jul 6 12:15:20 2020 daemon.notice pppd[29845]: remote IP address 192.168.1.246
Mon Jul 6 12:15:46 2020 daemon.notice [4596]: [mobiled] (WaitingForDevice) runs WaitingForDevice-Main.check(timeout, 1)
Mon Jul 6 12:16:17 2020 daemon.err odhcp6c[825]: Failed to send DHCPV6 message to ff02::1:2 (Operation not permitted)
Mon Jul 6 12:16:35 2020 daemon.info transformer[3877]: async run: /usr/share/transformer/scripts/user_reload.sh
Mon Jul 6 12:16:35 2020 daemon.info transformer[3877]: async run: /etc/init.d/network reload ;
Mon Jul 6 12:16:37 2020 daemon.info dnsmasq[1345]: reading /tmp/resolv.conf.auto
Mon Jul 6 12:16:37 2020 daemon.info dnsmasq[1345]: using local addresses only for domain test
Mon Jul 6 12:16:37 2020 daemon.info dnsmasq[1345]: using local addresses only for domain onion
Mon Jul 6 12:16:37 2020 daemon.info dnsmasq[1345]: using local addresses only for domain localhost
Mon Jul 6 12:16:37 2020 daemon.info dnsmasq[1345]: using local addresses only for domain local
Mon Jul 6 12:16:37 2020 daemon.info dnsmasq[1345]: using local addresses only for domain invalid
Mon Jul 6 12:16:37 2020 daemon.info dnsmasq[1345]: using local addresses only for domain example.net
Mon Jul 6 12:16:37 2020 daemon.info dnsmasq[1345]: using local addresses only for domain example.org
Mon Jul 6 12:16:37 2020 daemon.info dnsmasq[1345]: using local addresses only for domain example.com
Mon Jul 6 12:16:37 2020 daemon.info dnsmasq[1345]: using nameserver "dnsnextdns"#53 [0]
Mon Jul 6 12:16:37 2020 daemon.info dnsmasq[1345]: using nameserver 85.38.28.7#53 [0]
Mon Jul 6 12:16:37 2020 daemon.info dnsmasq[1345]: using nameserver 85.38.28.6#53 [0]
Mon Jul 6 12:16:37 2020 daemon.info dnsmasq[1345]: using 3 more local addresses
Mon Jul 6 12:16:47 2020 daemon.notice [4596]: [mobiled] (WaitingForDevice) runs WaitingForDevice-Main.check(timeout, 1)
Mon Jul 6 12:16:55 2020 daemon.info transformer[3877]: async run: /etc/init.d/network reload ;
Mon Jul 6 12:16:57 2020 daemon.info dnsmasq[1345]: reading /tmp/resolv.conf.auto
Mon Jul 6 12:16:57 2020 daemon.info dnsmasq[1345]: using local addresses only for domain test
Mon Jul 6 12:16:57 2020 daemon.info dnsmasq[1345]: using local addresses only for domain onion
Mon Jul 6 12:16:57 2020 daemon.info dnsmasq[1345]: using local addresses only for domain localhost
Mon Jul 6 12:16:57 2020 daemon.info dnsmasq[1345]: using local addresses only for domain local
Mon Jul 6 12:16:57 2020 daemon.info dnsmasq[1345]: using local addresses only for domain invalid
Mon Jul 6 12:16:57 2020 daemon.info dnsmasq[1345]: using local addresses only for domain example.net
Mon Jul 6 12:16:57 2020 daemon.info dnsmasq[1345]: using local addresses only for domain example.org
Mon Jul 6 12:16:57 2020 daemon.info dnsmasq[1345]: using local addresses only for domain example.com
Mon Jul 6 12:16:57 2020 daemon.info dnsmasq[1345]: using nameserver "dnsnextdns"#53 [0]
Mon Jul 6 12:16:57 2020 daemon.info dnsmasq[1345]: using nameserver 85.38.28.7#53 [0]
Mon Jul 6 12:16:57 2020 daemon.info dnsmasq[1345]: using nameserver 85.38.28.6#53 [0]
Mon Jul 6 12:16:57 2020 daemon.info dnsmasq[1345]: using 3 more local addresses
Mon Jul 6 12:17:04 2020 daemon.info transformer[3877]: async run: /etc/init.d/network reload ;
Mon Jul 6 12:17:06 2020 daemon.info dnsmasq[1345]: reading /tmp/resolv.conf.auto
Mon Jul 6 12:17:06 2020 daemon.info dnsmasq[1345]: using local addresses only for domain test
Mon Jul 6 12:17:06 2020 daemon.info dnsmasq[1345]: using local addresses only for domain onion
Mon Jul 6 12:17:06 2020 daemon.info dnsmasq[1345]: using local addresses only for domain localhost
Mon Jul 6 12:17:06 2020 daemon.info dnsmasq[1345]: using local addresses only for domain local
Mon Jul 6 12:17:06 2020 daemon.info dnsmasq[1345]: using local addresses only for domain invalid
Mon Jul 6 12:17:06 2020 daemon.info dnsmasq[1345]: using local addresses only for domain example.net
Mon Jul 6 12:17:06 2020 daemon.info dnsmasq[1345]: using local addresses only for domain example.org
Mon Jul 6 12:17:06 2020 daemon.info dnsmasq[1345]: using local addresses only for domain example.com
Mon Jul 6 12:17:06 2020 daemon.info dnsmasq[1345]: using nameserver "dnsnextdns"#53 [0]
Mon Jul 6 12:17:06 2020 daemon.info dnsmasq[1345]: using nameserver "dnsnextdns"#53 [0]
Mon Jul 6 12:17:06 2020 daemon.info dnsmasq[1345]: using nameserver 85.38.28.7#53 [0]
Mon Jul 6 12:17:06 2020 daemon.info dnsmasq[1345]: using nameserver 85.38.28.6#53 [0]
Mon Jul 6 12:17:06 2020 daemon.info dnsmasq[1345]: using 3 more local addresses
Mon Jul 6 12:17:08 2020 daemon.info transformer[3877]: async run: /etc/init.d/network reload ;
Mon Jul 6 12:17:10 2020 daemon.info dnsmasq[1345]: reading /tmp/resolv.conf.auto
Mon Jul 6 12:17:10 2020 daemon.info dnsmasq[1345]: using local addresses only for domain test
Mon Jul 6 12:17:10 2020 daemon.info dnsmasq[1345]: using local addresses only for domain onion
Mon Jul 6 12:17:10 2020 daemon.info dnsmasq[1345]: using local addresses only for domain localhost
Mon Jul 6 12:17:10 2020 daemon.info dnsmasq[1345]: using local addresses only for domain local
Mon Jul 6 12:17:10 2020 daemon.info dnsmasq[1345]: using local addresses only for domain invalid
Mon Jul 6 12:17:10 2020 daemon.info dnsmasq[1345]: using local addresses only for domain example.net
Mon Jul 6 12:17:10 2020 daemon.info dnsmasq[1345]: using local addresses only for domain example.org
Mon Jul 6 12:17:10 2020 daemon.info dnsmasq[1345]: using local addresses only for domain example.com
Mon Jul 6 12:17:10 2020 daemon.info dnsmasq[1345]: using nameserver "dnsnextdns"#53 [0]
Mon Jul 6 12:17:10 2020 daemon.info dnsmasq[1345]: using nameserver "dnsnextdns"#53 [0]
Mon Jul 6 12:17:10 2020 daemon.info dnsmasq[1345]: using 3 more local addresses
Mon Jul 6 12:17:41 2020 daemon.info pppd[29845]: LCP terminated by peer (User request)
Mon Jul 6 12:17:41 2020 daemon.debug xl2tpd[4935]: result_code_avp: result code endianness fix for buggy Apple client. network=768, le=3
Mon Jul 6 12:17:41 2020 daemon.info xl2tpd[4935]: control_finish: Connection closed to "clientip", serial 1 ()
Mon Jul 6 12:17:41 2020 daemon.debug xl2tpd[4935]: Terminating pppd: sending TERM signal to pid 29845
Mon Jul 6 12:17:41 2020 daemon.debug xl2tpd[4935]: result_code_avp: result code endianness fix for buggy Apple client. network=256, le=1
Mon Jul 6 12:17:41 2020 daemon.info pppd[29845]: Connect time 2.4 minutes.
Mon Jul 6 12:17:41 2020 authpriv.info ipsec: 15[NET] received packet: from "clientip"[4500] to "serverip"[4500] (92 bytes)
Mon Jul 6 12:17:41 2020 daemon.info ipsec: 15[NET] received packet: from "clientip"[4500] to "serverip"[4500] (92 bytes)
Mon Jul 6 12:17:41 2020 authpriv.info ipsec: 15[ENC] parsed INFORMATIONAL_V1 request 395145047 [ HASH D ]
Mon Jul 6 12:17:41 2020 daemon.info pppd[29845]: Sent 377839 bytes, received 149946 bytes.
Mon Jul 6 12:17:41 2020 daemon.info ipsec: 15[ENC] parsed INFORMATIONAL_V1 request 395145047 [ HASH D ]
Mon Jul 6 12:17:41 2020 authpriv.info ipsec: 15[IKE] received DELETE for ESP CHILD_SA with SPI 09cdb424
Mon Jul 6 12:17:41 2020 daemon.info ipsec: 15[IKE] received DELETE for ESP CHILD_SA with SPI 09cdb424
Mon Jul 6 12:17:41 2020 daemon.info xl2tpd[4935]: control_finish: Connection closed to "clientip", port 54007 (), Local: 40661, Remote: 13
Mon Jul 6 12:17:41 2020 authpriv.info ipsec: 15[IKE] closing CHILD_SA l2tp-server{1} with SPIs c64ed2fa_i (173670 bytes) 09cdb424_o (396778 bytes) and TS "serverip"/32[udp/l2f] === "clientip"/32[udp/54007]
Mon Jul 6 12:17:41 2020 daemon.info ipsec: 15[IKE] closing CHILD_SA l2tp-server{1} with SPIs c64ed2fa_i (173670 bytes) 09cdb424_o (396778 bytes) and TS "serverip"/32[udp/l2f] === "clientip"/32[udp/54007]
Mon Jul 6 12:17:41 2020 daemon.notice miniupnpd[6911]: ProcessInterfaceWatchNotify RTM_DELADDR index=49 fam=2
Mon Jul 6 12:17:41 2020 daemon.info pppd[29845]: Terminating on signal 15
Mon Jul 6 12:17:44 2020 daemon.notice pppd[29845]: Connection terminated.
Mon Jul 6 12:17:44 2020 kern.warn kernel: [101458.583000] ABORT UNKNOWN Tx L2TP h_proto 0x0000ABORT UNKNOWN Tx L2TP h_proto 0x0000
Mon Jul 6 12:17:44 2020 kern.err kernel: [101460.635000] ppp->dev or netdev_path_next_dev(ppp->dev) is NULL!!!!!!
Mon Jul 6 12:17:44 2020 daemon.notice pppd[29845]: Modem hangup
Mon Jul 6 12:17:44 2020 daemon.info pppd[29845]: Exit.
Mon Jul 6 12:17:47 2020 daemon.notice [4596]: [mobiled] (WaitingForDevice) runs WaitingForDevice-Main.check(timeout, 1)
Mon Jul 6 12:17:49 2020 authpriv.info ipsec: 09[NET] received packet: from "clientip"[500] to "serverip"[500] (788 bytes)
Mon Jul 6 12:17:49 2020 daemon.info ipsec: 09[NET] received packet: from "clientip"[500] to "serverip"[500] (788 bytes)
Mon Jul 6 12:17:53 2020 authpriv.info ipsec: 04[MGR] ignoring request with ID 1196313593, already processing
Mon Jul 6 12:17:53 2020 daemon.info ipsec: 04[MGR] ignoring request with ID 1196313593, already processing
Mon Jul 6 12:17:56 2020 authpriv.info ipsec: 11[MGR] ignoring request with ID 1196313593, already processing
Mon Jul 6 12:17:56 2020 daemon.info ipsec: 11[MGR] ignoring request with ID 1196313593, already processing
Mon Jul 6 12:17:59 2020 authpriv.info ipsec: 08[MGR] ignoring request with ID 1196313593, already processing
Mon Jul 6 12:17:59 2020 daemon.info ipsec: 08[MGR] ignoring request with ID 1196313593, already processing
-
ciao a tutti,
sto cercando di attivare una connessione punto punto IPSEC tra il mio modem TG789vac2 con il firmware uno, verso un server strongswan su debian. Ho attivato la connessione con pre shared key e ikev2, purtroppo, avendo due subnet che si sovrappongono, ho dovuto anche gestire un virtual IP dal lato del mio modem per mascherare i miei IP.
Detto questo, riesco ad attivare la connessione IKE e anche il tunnel tra i due siti, dal server debian riesco anche ad effettuare un ping verso il mio modem, ma al contrario purtroppo non viene creata la rotta.
Probabilmente perchè, come qui descritto:
https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN
per creare la rotta, deve creare questo dispositivo VTI, e per fare ciò è necessario il modulo "kmod-ipvti" che non ho trovato da nessuna parte.
Come posso trovare questo modulo? oppure cambiando configurazione posso ovviare a questo problema?
-
Meglio spostare la tua domanda sul thread strongswan senza l2tp.
Comunque non dovresti aver bisogno di vti. Hai escluso il traffico in uscita dal nat? Rispondi di là
-
Buonasera
Pongo una domanda , non sono pratico del forum se sbaglio posto non mandatemi a stendere..
:pray:
sto tentando di utilizzare dei DGA ( DGA4132 2.2.0_002) con strongswan per fare una vpn punto punto
ho provato a replicare la procedura che seguo quando utilizzo openwrt sui raspberry ma non riesco in nessun modo ad instradare il traffico :headbang: :headbang: :headbang: :headbang:
il tunnel ipsec sale ma il traffico non si instrada.. non capisco se mi perdo un pezzo da qualche parte..
installo i pacchetti strongswan edito il tunnel in ipsec.conf e imposto la password dentro a ipsec.secret , avvio il tunnel tutto ok , imposto la regole iptables ma nulla
cosa stranissima è che non vedo l'interfaccia ipsec0 da nessuna parte , anche se da ipsec statusall pare tutto su ...
Routed Connections:
XXX{1}: ROUTED, TUNNEL, reqid 1
XXX{1}: 192.168.99.0/24 === 192.168.199.0/24
Security Associations (1 up, 0 connecting):
XXX[10]: ESTABLISHED 17 minutes ago, XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX]...XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX]
XXX{6}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c94d2a21_i c4774642_o
XXX{6}: 192.168.99.0/24 === 192.168.199.0/24
Status of IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l):
uptime: 4 days, since Oct 15 23:55:20 2020
malloc: sbrk 638976, mmap 0, used 156376, free 482600
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 8
loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default connmark stroke updown xauth-generic
Listening IP addresses:
192.168.10.1
192.168.168.1
192.168.99.254
192.168.168.129
XXX.XXX.XXX.XXX
Connections:
XXX: XXX.XXX.XXX.XXX...XXX.XXX.XXX.XXX IKEv2
XXX: local: [XXX.XXX.XXX.XXX] uses pre-shared key authentication
XXX: remote: [XXX.XXX.XXX.XXX] uses pre-shared key authentication
XXX: child: 192.168.99.0/24 === 192.168.199.0/24 TUNNEL
Routed Connections:
XXX{1}: ROUTED, TUNNEL, reqid 1
XXX{1}: 192.168.99.0/24 === 192.168.199.0/24
Security Associations (1 up, 0 connecting):
XXX[10]: ESTABLISHED 19 minutes ago, XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX]...XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX]
XXX[10]: IKEv2 SPIs: 98bb002d9eadfbdc3_i* 2f527d3d45a540ec_r, rekeying in 34 minutes, pre-shared key reauthentication in 23 minutes
XXX[10]: IKE proposal: AES_CBC_192/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536
XXX{6}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c94d2a21_i c4774642_o
XXX{6}: AES_CBC_192/HMAC_SHA2_256_128, 0 bytes_i, 0 bytes_o, rekeying in 32 minutes
XXX{6}: 192.168.99.0/24 === 192.168.199.0/24
-
Vorrei installare il server L2TP/IPsec nel mio TG789vac-v2-VANT6 Tiscali FTTH.
Fino ad ora ho fatto il root ed abilitato l'utente engineer. Ho lasciato il firmware e la GUI originale Tiscali.
E' possibile installare il server L2TP/IPsec nel firmware Tiscali? O serve prima installare un firmware diverso da quello Tiscali?
Nel primo post parla di feed... Eventualmente come faccio ad assicurarmi di avere dei feed da cui è possibile scaricare xl2tpd e strongswan?
-
puoi utilizzare quelli che imposta la gui, ovvero, nello specifico su quel modello/firmware aggiungi queste righe al file /etc/opkg.conf
https://github.com/Ansuel/tch-nginx-gui/blob/master/decompressed/gui_file/etc/modgui_scripts/02_specific.sh#L57-L66
Giusto per io lo avevo testato sul firmware tiscali con questi feed (https://github.com/FrancYescO/789vacv2_opkg), ma non dovrebbero essere altro che un clone di questi openwrt che attualmente aggiunge la GUI.
-
Grazie 1000 FrancYescO!
- Ho aggiunto nel file /etc/opkg.conf le righe da te indicate in "https://github.com/Ansuel/tch-nginx-gui....".
- Fatto "opkg update" e sembra aver funzionato!
- Il seguente comando NON ha funzionato, ovvero non aveva copiato nulla in /tmp:
curl -s https://raw.githubusercontent.com/FrancYescO/sharing_tg789/modgui-vpn/modgui-vpn_1.0-0_all.ipk -o /tmp/modgui-vpn_1.0-0_all.ipk
- Togliendo "-s" per capire il problema ho risoloto con "-k":
curl -k https://raw.githubusercontent.com/FrancYescO/sharing_tg789/modgui-vpn/modgui-vpn_1.0-0_all.ipk -o /tmp/modgui-vpn_1.0-0_all.ipk
- Eseguendo "opkg install /tmp/modgui-vpn_1.0-0_all.ipk" ho visualizzato le seguenti righe:
root@OpenWrt:~# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Installing modgui-vpn (1.0-0) to root...
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (kmod-crypto-authenc and kmod-crypto-authenc) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (kmod-ipsec and kmod-ipsec) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (kmod-ipsec4 and kmod-ipsec4) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (kmod-ipsec6 and kmod-ipsec6) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (kmod-ipt-ipsec and kmod-ipt-ipsec) providing same name marked HOLD or PREFER. Using latest.
Installing xl2tpd (devel-20150930-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/generic/packages/packages/xl2tpd_devel-20150930-1_brcm63xx.ipk.
Installing strongswan-default (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/generic/packages/packages/strongswan-default_5.3.3-1_brcm63xx.ipk.
Installing strongswan (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/generic/packages/packages/strongswan_5.3.3-1_brcm63xx.ipk.
Installing ip (4.0.0-1) to root...
Configuring strongswan.
Configuring xl2tpd.
Configuring strongswan-default.
Collected errors:
* check_conflicts_for: The following packages conflict with ip:
* check_conflicts_for: ip-full *
* opkg_install_cmd: Cannot install package modgui-vpn.
- Come vedi alla fine da 3 errori.
- Eseguito "/etc/init.d/nginx restart" ma non mi appare alcuna nuova scheda VPN nella GUI Tiscali. Anche riavviando il TG789 non cambia nulla.
Provo ad installare la GUI Ansuel o consigli di fare qualcos'altro?
-
Prima di fare altro assicurati di aver impostato correttamente il bank planning. Te lo dico perchè di base sui modelli tiscaii c'è il firmware solo sul primo banco e se fai un casino coi pacchetti su quello il device è da buttare
-
Il problema è che ti tenta di installare ip come dipendenza di strongswan
Depends: libc, libpthread, ip, kmod-crypto-authenc, kmod-ipsec, kmod-ipsec4, kmod-ipsec6, kmod-ipt-ipsec, iptables-mod-ipsecche è in conflitto con ip-full installato.
Potresti scaricarlo, truccarlo per risolvere la dipendenza , ed installarlo manualmente
-
o trucchi opkg...
echo -e "Package: ip\nVersion: 1.0\nDepends: \nStatus: install user installed\nArchitecture: brcm63xx-tch\nInstalled-Time: 1489026054\n" >> /usr/lib/opkg/status
ma segui prima il consiglio di luke, o almeno clonati il firmware sul secondo bank.
io ricordo bene che feci la prova sul firmware tiscali, e gli rimossi barbaramente ip-full.
-
- Truccato opkg/status usando la tua stringa "echo"
- Eseguendo "opkg install /tmp/modgui-vpn_1.0-0_all.ipk" mi da subito errore:
root@OpenWrt:~# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Installing modgui-vpn (1.0-0) to root...
Collected errors:
* pkg_get_installed_files: Failed to open //usr/lib/opkg/info/ip.list: No such file or directory.
* satisfy_dependencies_for: Cannot satisfy the following dependencies for modgui-vpn:
* xl2tpd * strongswan-default *
* opkg_install_cmd: Cannot install package modgui-vpn.
In effetti in "/usr/lib/opkg/info/" c'è il file "ip-full.list" e non c'è "ip.list"
Installare la GUI Ansuel potrebbe aiutare o dovrei fare qualcos'altro?
(Ovviamente non ho le vostre profonde conoscenze... attualmente non saprei ad esempio come rimuovere barbaramente ip-full e le conseguenze che comporterebbe)
-
Prova a crearti il file /usr/lib/opkg/info/ip.list contenente /etc/iproute2/rt_tables
-
Ho fatto come hai detto, risultato:
root@OpenWrt:~# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Installing modgui-vpn (1.0-0) to root...
Collected errors:
* satisfy_dependencies_for: Cannot satisfy the following dependencies for modgui-vpn:
* xl2tpd * strongswan-default *
* opkg_install_cmd: Cannot install package modgui-vpn.
-
Strongswan truccato con ip-full come dipendenza al posto di ip.
https://anonfiles.com/XcNaJ3kep8/strongswan_5.3.3-1_brcm63xx_ipk
Dai una bella ripulita scaricati tutti i pacchetti in /tmp e installali con opkg install *.ipk
-
ipotizzo comunque ti stia dando errore perchè non hai dato opkg update prima di dare l'install (e lo hai riavviato dall'ultima volta che hai dato opkg update), non mi sembra si stia lamentando ancora della dipendenza da ip
-
Avevi ragione FrancYescO, mi ero dimenticato di fare "opkg update"! :facepalm:
Dopo quello l'installazione ha funzionato e mi è apparsa la scheda VPN nella GUI originale Tiscali! Provata e funziona! :)
Poi col mio Pixel Android 11 si disconnette inaspettatamente dopo 1 minuto, ma questo avviene anche se mi connetto a server L2TP/ipsec Mikrotik. Con server Cisco, ho letto in altri forum, il Pixel non si sconnette e funziona bene.
Col vecchio telefono Samsung rimane senza problemi connesso al TG789 in L2TP/ipsec.
Grazie mille FrancYescO, larsen64it, LuKePicci! :clap:
Farò qualche altro test ma sembra andare bene.
Magari farò un semplice riassunto per integrare tutti i passaggi per il TG789vac-v2-VANT6 Tiscali, firmware Tiscali.
-
Forse non ce ne sarà bisogno, provo a mettere nello script di preinst di inserire ip farlocco se trovo installato ip-full, cosi l'installazione fila liscia anche lì
credo che il problema di disconnessione dopo 1min sia causato da qualche magica opzione da trovare..
-
Io il pixel con android 11 lo connetto con da app strongswan in ikev2 senza problemi, mi pare che supporti anchee L2TP magari prova quella
-
Strongswan non gestisce direttamente L2TP e non ho trovato in android app terze in grado di falro. L'unico modo, che io sappia, è usare l' L2TP integrato di android.
Comunque cercherò info su come usare/configurare strongswan in questo TG789vac V2.
-
Riassumo tutti i passaggi che ho fatto per installare il server L2TP/IPSec nel TG789vac-v2-VANT6 Tiscali, firmware Tiscali.
Ringrazio ancora FrancYescO, larsen64it e LuKePicci per aver reso possibile tutto questo.
Da ricordare che queste procedure non sono approvate da Tiscali, possono invalidare la garanzia, possono compromettere il buon funzionamento e la sicurezza della linea, potrebbero causare la rottura del router/modem.
E' richiesto ovviamente lo sblocco/root del TG789vac v2 Tiscali https://www.ilpuntotecnico.com/forum/index.php/topic,77988.0.html (https://www.ilpuntotecnico.com/forum/index.php/topic,77988.0.html)
E' consigliabile mettersi un po’ al riparo facendo il “bank planning” o quantomeno la copia del firmware nel banco 2, e facendo magari un backup della cartella overlay per salvarsi tutte le impostazioni attuali. Io comunque non ho avuto problemi di brick.
Tools utilizzati in questa procedura: putty (o similare), WinSCP (o similare)
Procedura:
1 – Con WinSCP ho aggiunto queste righe al file /etc/opkg.conf
src/gz chaos_calmer_base http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/generic/packages/base
src/gz chaos_calmer_packages http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/generic/packages/packages
src/gz chaos_calmer_luci http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/generic/packages/luci
src/gz chaos_calmer_routing http://archive.openwrt.org/chaos_calmer/15.05/brcm63xx/generic/packages/routing
src/gz chaos_calmer_telephony http://archive.openwrt.org/chaos_calmer/15.05/brcm63xx/generic/packages/telephony
src/gz chaos_calmer_management http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/generic/packages/management
arch all 100
arch brcm63xx 200
arch brcm63xx-tch 300
2 - Con WinSCP ho creato il file /usr/lib/opkg/info/ip.list contenente /etc/iproute2/rt_tables
3 - Con Putty ho lanciato in sequenza i 4 seguenti comandi:
echo -e "Package: ip\nVersion: 1.0\nDepends: \nStatus: install user installed\nArchitecture: brcm63xx-tch\nInstalled-Time: 1489026054\n" >> /usr/lib/opkg/status
opkg update
curl -k https://raw.githubusercontent.com/FrancYescO/sharing_tg789/modgui-vpn/modgui-vpn_1.0-0_all.ipk -o /tmp/modgui-vpn_1.0-0_all.ipk
opkg install /tmp/modgui-vpn_1.0-0_all.ipk
(opkg update mi ha dato il seguente errore ma non è stato un problema per l’installazione vpn: Failed to download http://downloads.openwrt.org/chaos_calmer/15.05.1/brcm63xx-tch/VANTF/packages/Packages.gz, wget returned 1.)
Ricaricando la GUI mi è apparsa la scheda VPN. Li dentro ho quindi personalizzato la “pre-shared key” ed utenti.
Con android da rete mobile mi è stato possibile connettermi in VPN “L2TP/IPSec PSK”.
Nota: non riesco a connettermi in VPN quando sono connesso al router stesso tramite Wi-fi o LAN cablata. Ma questo non è così importante.
-
Salve vorrei sapere dopo aggiornamento gui come bisogna fare a far ricomparire la scheda vpn grazie
-
disinstallandolo e reinstallandolo riappare
-
ma devo per caso aprire delle porte perchè a me non si collega alla vpn pur avendolo attivato, oppure non funziona piu' la vpn su gui?
-
Ciao!
ho installato la VPN da GUI su DGA4130 e ora sto provando ad accedere da telefono, senza successo.
Facendo da putty un logread -f mi restituisce:
Sun Jan 10 19:30:29 2021 daemon.info odhcpd[3664]: Using a RA lifetime of 0 seconds on br-lan
Sun Jan 10 19:30:29 2021 daemon.notice odhcpd[3664]: Failed to send to ff02::1%br-lan (Permission denied)
So che è un problema di IPV6, come potrei risolvere?
-
quegli errori non c'entrano nulla con la VPN. Se non hai altro nel log mentre ti connetti (ma ad esempio il restart di ipsec funziona) semplicemente il client non sta proprio raggiungendo il modem (IP pubblico nattato?)
non bisogna aprire alcuna porta dopo l'installazione del pacchetto fa tutto da solo, e funziona su GUI ma come scritto al primo post si perde negli upgrade.
-
@FrancYescO hai ragione, mi ero fissato con quegli errori che centrano nulla.
Restart ipsec funziona correttamente. Ho provato anche a tentare di collegarmi in VPN, utilizzando la rete wireless di casa e si, il logread -f si popola.
Giusta la tua deduzione, non ho IP pubblico. Anche se a dire la verità, da GUI avevo inserito un DDNS per altri servizi, però probabilmente devo configurare altro, in modo che funzioni la VPN?
Grazie.
-
Se non hai un IP pubblico non può mai funzionare (ma così come non dovrebbero andare nemmeno gli altri servizi sotto quel DDNS) devi chiederlo all'ISP o esporre il server in qualche altra maniera fantasiosa
-
Bene. Sempre qui a smadonnare con la VPN su AGTOT iinet 16.3.
[AGTOT: /etc/ipsec.conf]
config setup
conn %default
keyexchange=ikev1 # se metto ikev2 i log mostrano errore flag 0x08 :-(
left=(IP_PUB_AGTOT)
leftsubnet=0.0.0.0/0;::/0
leftcert=serverCert_agtot.pem
leftid="C=US, O=TECHNICOLOR, CN=TECHNICOLOR"
leftauth=pubkey
conn roadwarriorPUBKEY
right=(IP_EC2_LONDON)
rightid=(IP_EC2_LONDON)
rightsubnet=10.5.0.0/24
rightauth=pubkey
auto=start
mentre su EC2 in terra d'Albione
[UBUNTU: /etc/ipsec.conf]
config setup
conn %default
keyexchange=ikev1
conn roadwarriorPUBKEY
left=(IP_EC2_LONDON)
leftsubnet=10.6.0.0/24
leftcert=clientCert_london_ec2.pem
leftid="C=US, O=TECHNICOLOR, CN=TECHNICOLOR"
leftauth=pubkey
right=(IP_EC2_LONDON)
rightid=(IP_EC2_LONDON)
rightsubnet=10.5.0.0/24
rightcert=serverCert_AGTOT.pem
rightauth=pubkey
rightid="C=US, O=TECHNICOLOR, CN=TECHNICOLOR"
auto=add
e ottengo sullo scolapasta
<30>Thu Apr 15 18:02:28 syslog: 00[DMN] Starting IKE charon daemon (strongSwan 5.3.3, Linux 3.4.11-rt19, mips)
<30>Thu Apr 15 18:02:29 syslog: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
<30>Thu Apr 15 18:02:29 syslog: 00[CFG] loaded ca certificate "C=US, O=TECHNICOLOR, CN=TECHNICOLOR" from '/etc/ipsec.d/cacerts/caCert.pem'
<30>Thu Apr 15 18:02:29 syslog: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
<30>Thu Apr 15 18:02:29 syslog: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
<30>Thu Apr 15 18:02:29 syslog: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
<30>Thu Apr 15 18:02:29 syslog: 00[CFG] loading crls from '/etc/ipsec.d/crls'
<30>Thu Apr 15 18:02:29 syslog: 00[CFG] loading secrets from '/etc/ipsec.secrets'
<30>Thu Apr 15 18:02:29 syslog: 00[CFG] loaded RSA private key from '/etc/ipsec.d/private/serverKey_SCOLAPASTA.pem'
<30>Thu Apr 15 18:02:29 syslog: 00[CFG] loaded EAP secret for C=US, O=TECHNICOLOR, CN=TECHNICOLOR
<30>Thu Apr 15 18:02:29 syslog: 00[CFG] loaded 0 RADIUS server configurations
<30>Thu Apr 15 18:02:29 syslog: 03[CFG] added configuration 'roadwarriorPUBKEY'
<30>Thu Apr 15 18:02:29 syslog: 07[CFG] received stroke: initiate 'roadwarriorPUBKEY'
<30>Thu Apr 15 18:02:29 syslog: 07[IKE] initiating Main Mode IKE_SA roadwarriorPUBKEY[1] to IP_:LONDRA
<30>Thu Apr 15 18:02:29 syslog: 07[ENC] generating ID_PROT request 0 [ SA V V V V ]
<30>Thu Apr 15 18:02:29 syslog: 07[NET] sending packet: from CASA[500] to LONDRA[500] (224 bytes)
<30>Thu Apr 15 18:02:33 syslog: 14[IKE] sending retransmit 1 of request message ID 0, seq 1
<30>Thu Apr 15 18:02:33 syslog: 14[NET] sending packet: from CASA[500] to LONDRA[500] (224 bytes)
<30>Thu Apr 15 18:02:40 syslog: 15[IKE] sending retransmit 2 of request message ID 0, seq 1
<30>Thu Apr 15 18:02:40 syslog: 15[NET] sending packet: from CASA[500] to LONDRA[500] (224 bytes)
<30>Thu Apr 15 18:02:53 syslog: 08[IKE] sending retransmit 3 of request message ID 0, seq 1
<30>Thu Apr 15 18:02:53 syslog: 08[NET] sending packet: from CASA[500] to LONDRA[500] (224 bytes)
<30>Thu Apr 15 18:03:16 syslog: 12[IKE] sending retransmit 4 of request message ID 0, seq 1
<30>Thu Apr 15 18:03:16 syslog: 12[NET] sending packet: from CASA[500] to LONDRA[500] (224 bytes)
<30>Thu Apr 15 18:03:58 syslog: 15[IKE] sending retransmit 5 of request message ID 0, seq 1
<30>Thu Apr 15 18:03:58 syslog: 15[NET] sending packet: from CASA[500] to LONDRA[500] (224 bytes)
<30>Thu Apr 15 18:04:28 syslog: 00[DMN] signal of type SIGINT received. Shutting down
<30>Thu Apr 15 18:04:28 syslog: 00[IKE] destroying IKE_SA in state CONNECTING without notification
Sembra (di nuovo, come per openvpn, openconnect e similia) che gli IPSEC si parlino facendo l'handshake, ma poi quando incapsulano lo scolapasta diventi sordo.
Idee per ovviare?
PS: Sto kernelaccio di IINET 16.3 mi sta letteralmente facendo impazzire.
:help:
-
1) sei sul thread del pacchetto gui per mettere un server VPN L2TP già confezionato su homeware, spostati nel thread di strongswan https://www.ilpuntotecnico.com/forum/index.php/topic,82673.0.html
2) non mi torna quasi nulla del setup che hai messo in piedi, dovresti mettere da entrambi i lati una associazione site2site ma sei partito dal template per una associazione con roadwarrior remoto
3) devi usare ikev2
4) hai scelto l'autenticazione mediante chiave pubblica, ma i certificati li hai rilasciati a delle identità diverse da quelle che hai impostato come id
-
Salve, sul DGA4131 18.x con GUI di Ansuel ho installato la modgui-vpn di FrancYescO e anch'io, come alcuni di voi, ho il problema della disconnessioni dopo 1 min e mezzo se utilizzo un client Android (vers. dalla 8 alla 11).
Di seguito il logread:
Thu Nov 11 18:45:32 2021 daemon.info pppd[15856]: found interface br-lan for proxy arp
Thu Nov 11 18:45:32 2021 daemon.notice pppd[15856]: local IP address 192.168.1.245
Thu Nov 11 18:45:32 2021 daemon.notice pppd[15856]: remote IP address 192.168.1.246
.......
.......
Thu Nov 11 18:47:03 2021 daemon.notice xl2tpd[14588]: Maximum retries exceeded for tunnel 50799. Closing.
Thu Nov 11 18:47:03 2021 daemon.debug xl2tpd[14588]: Terminating pppd: sending TERM signal to pid 15856
Thu Nov 11 18:47:03 2021 daemon.info xl2tpd[14588]: Connection 63085 closed to XXX.XXX.XXX.XXX, port 41819 (Timeout)
Thu Nov 11 18:47:03 2021 daemon.info pppd[15856]: Terminating on signal 15
Thu Nov 11 18:47:03 2021 daemon.info pppd[15856]: Connect time 1.6 minutes.
Thu Nov 11 18:47:03 2021 daemon.info pppd[15856]: Sent 905006 bytes, received 112660 bytes.
Il problema pare sia noto e dovrebbe essere legato a l2tpd di android, vedi seguente issue aperto ufficialmente:
https://issuetracker.google.com/issues/118789580 (https://issuetracker.google.com/issues/118789580)
Qui è suggerito un potenziale fix modificando xl2tpd.conf inserendo la riga "max retries = 100"...solo che non mi salva le modifiche a tale file, o meglio vengono annullate quando avvio il server VPN.
https://githubmemory.com/repo/xelerance/xl2tpd/issues/191 (https://githubmemory.com/repo/xelerance/xl2tpd/issues/191)
Avete soluzioni alternative o suggerimenti?
...da tale configurazione non so nemmeno come aggiungerne una nuova senza l'utilizzo di xl2tpd.
Da client Windows non ho problemi
Grazie in anticipo
-
Anch'io ho avuto lo stesso problema ed ho rinunciato senza smanettarci troppo.... Risolto comprandomi un altro router con altri tipi di VPN.
Ti auguro comunque di trovare una soluzione smanettandoci un po' e senza spendere soldini.
Preparati poi che Android 12 hanno tolto definitivamente l'L2TP perchè ritenuto insicuro, almeno sul Pixel 3a che ho io.
-
Confermo che su Android 12 è rimasto solo IKEv2 come supporto nel client nativo, quindi valuta di passare in IKEv2 già da ora. Funziona anche quello su questi device ma non hai il supporto su interfaccia grafica. C'è un thread apposta.
-
Grazie mille delle risposte.
Consigli:
1) Per passare ad IKEv2 è meglio modificare la configurazione che ho adesso (con L2TP) oppure rimuovere tutto e ripartire da zero? Non vorrei brickare qualcosa
2) Con IKEv2 si ottengono benefici in termini di throughput di rete? Con L2TP e AES128 sono rimasto un po' deluso: dall'esterno 7-8 Mb/s sia in upload che in download su DGA4131 e fibra 200/20.
Saluti
-
1) visto che i tool che permettono di gestire la l2tp da gui hanno il controllo del file di config di direi di ripartire da zero
2) è sempre ipsec quindi non dovrebbe cambiare nulla, ma 8 megabit sono pochi, dovresti farne circa 40 senza hwcrypto e circa 100 (con punte da 120) con hwcrypto. Poi ovviamente resti cappato a 20 per via dell'upload della tua vdsl.
-
Ciao a tutti,
ho un problema bizzarro con un TIM HUB (DGA4132) con root, GUI Ansuel 9.6.65-89342d7b (dovrebbe essere l'ultima stabile) e firmware AGTHP_2.2.1
Ho messo su strongswan installlando i pacchetti strongswan-default, strongswan-pki e strongswan-mod-dhcp, tramite un vecchio script di FrancYescO (niente l2tp, niente auth user/pwd, solo certificato client)
Funziona tutto regolarmente, il client windows si collega, ma non appena si collega il modem si riavvia!!
La versione di strongswan è la U5.6.3/K4.1.38
Per giunta dai logs non riesco a capire cosa succeda (ma lì è colpa mia, della mia inesperienza)
A qualcuno di voi è capitato?
Per quanto possa servire sul vecchio TG789vac V2 lo stesso setup funzionava una meraviglia, mai un problema.
-
Prova ad attivare prima un dispositivo android, succede anche a me.
-
salve.
qualcuno e' mai riuscito ad installare su tg789vac xtream 35b?
"opkg update" non funziona...
Downloading http://downloads.openwrt.org/attitude_adjustment/12.09.1/brcm63xx-tch/VANTW/packages/Packages.gz.
Collected errors:
* opkg_download: Failed to download http://downloads.openwrt.org/attitude_adjustment/12.09.1/brcm63xx-tch/VANTW/packages/Packages.gz, wget returned 8.
se cerco di installare modgui-vpn_1.0-0_all.ipk
Installing modgui-vpn (1.0-0) to root...
Collected errors:
* opkg_install_pkg: Package modgui-vpn md5sum mismatch. Either the opkg or the package index are corrupt. Try 'opkg update'.
* opkg_install_cmd: Cannot install package modgui-vpn.
il mio file opkg.conf contiene questi feeds.... sono quelli giusti?
src/gz attitude_adjustment http://downloads.openwrt.org/attitude_adjustment/12.09.1/brcm63xx-tch/VANTW/packages
dest root /
dest ram /tmp
lists_dir ext /var/opkg-lists
option overlay_root /overlay
src/gz base https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/xtream35b/packages
grazie
-
Prova ad attivare prima un dispositivo android, succede anche a me.
Ciao a1pollo, stavi rispondendo a me?
Se sì, dovrei fare prima instaurare una connessione VPN con dispositivo Android e poi collegarmi dal client Windows per evitare che si riavvii?
-
@e20italia
Metti
dest root /
dest ram /tmp
lists_dir ext /var/opkg-lists
option overlay_root /overlay
src/gz packages https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/xtream35b/packages
e cancella tutto il resto.
-
Ciao a1pollo, stavi rispondendo a me?
Se sì, dovrei fare prima instaurare una connessione VPN con dispositivo Android e poi collegarmi dal client Windows per evitare che si riavvii?
Ciao, si avevamo riscontrato questo problema anche in passato, se come primo dispositivo ti connetti con windows il modem si riavvia, se invece il primo dispositivo e' android non si riavvia.
-
@e20italia
Metti
dest root /
dest ram /tmp
lists_dir ext /var/opkg-lists
option overlay_root /overlay
src/gz packages https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/xtream35b/packages
e cancella tutto il resto.
fatto! opkg update nessun errore mentre invece installazione modgui-vpn mi da questo:
root@OpenWrt:~# opkg update
Downloading https://raw.githubusercontent.com/FrancYescO/789vacv2_opkg/xtream35b/packages/Packages.gz.
Updated list of available packages in /var/opkg-lists/packages.
root@OpenWrt:~# curl -k https://raw.githubusercontent.com/FrancYescO/sharing_tg789/modgui-vpn/modgui-vpn_1.0-0_all.ipk -o /tmp/modgui-vpn_1.0-0_all.ipk
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 13527 100 13527 0 0 43337 0 --:--:-- --:--:-- --:--:-- 43635
root@OpenWrt:~# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Installing modgui-vpn (1.0-0) to root...
Collected errors:
* opkg_install_pkg: Package modgui-vpn md5sum mismatch. Either the opkg or the package index are corrupt. Try 'opkg update'.
* opkg_install_cmd: Cannot install package modgui-vpn.
-
Prova
rm -r /tmp/opkg-lists
opkg update
e provare ad installare un altro pacchetto p.es. nano
opkg install nano
Fammi sapere se funziona.
-
@lucash78 @a1pollo questo fenomeno dell'avviare prima un client android (da app strongswan) per farlo funzionare l'ho visto succedere solo attivando il driver per l'SPU, mentre il crash è sistematico attivando sha256 per il traffico ESP (nessun problema invece con sha256 sull'handshake IKE). Se non hai attivato il driver per l'SPU il crash non è normale.
-
Grazie LukePicci,
mi pare di aver capito che devo disattivare il driver SPU (ammesso che sia attivo), per evitare il crash, ma non ho idea di come farlo.
Edit: forse questo fa al caso mio
Per avviare l'engine dovete dare un spuctl start. Se volete che parta in automatico create un file /etc/config/hardwarecrypto e riempitelo così:
Codice: [Seleziona]
config hardwarecrypto 'global'
option enable '1'
-
@lucash78 @a1pollo questo fenomeno dell'avviare prima un client android (da app strongswan) per farlo funzionare l'ho visto succedere solo attivando il driver per l'SPU, mentre il crash è sistematico attivando sha256 per il traffico ESP (nessun problema invece con sha256 sull'handshake IKE). Se non hai attivato il driver per l'SPU il crash non è normale.
Ho il driver spu attivato, se faccio il primo collegamento su strongswan da windows si riavvia, invece con android no.
La cypher pero' e' piu' bassa,questo su windows:
root@OpenWrt:~# ipsec statusall
Status of IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l):
uptime: 20 hours, since Dec 12 21:52:25 2021
malloc: sbrk 794624, mmap 0, used 369496, free 425128
worker threads: 10 of 16 idle, 6/0/0/0 working, job queue: 0/0/0/0, scheduled: 1
loaded plugins: charon test-vectors ldap pkcs11 aes des blowfish rc2 sha2 sha1 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp curve25519 agent xcbc cmac hmac ctr ccm gcm curl mysql sqlite attr kernel-netlink resolve socket-default connmark forecast farp stroke vici smp updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic xauth-eap whitelist led duplicheck addrblock unity
Virtual IP pools (size/online/offline):
10.0.1.0/24: 254/1/1
2001:b07:5d26:7aa2::/120: 254/1/1
Listening IP addresses:
169.0.0.2
192.168.78.1
192.168.1.3
2001:b07:5d26:7aa2::1
93.38.xxx.xxx
2001:b07:5d26:7aa2::1
::93.38.xxx.xxx
Connections:
roadwarriorPUBKEY: %any...%any IKEv2, dpddelay=300s
roadwarriorPUBKEY: local: [il mio ddns] uses public key authentication
roadwarriorPUBKEY: cert: "C=xxx, O=xxx, CN=il mio ddns"
roadwarriorPUBKEY: remote: uses public key authentication
roadwarriorPUBKEY: ca: "C=xxx, O=xxx, CN=xxx"
roadwarriorPUBKEY: child: 0.0.0.0/0 ::/0 === dynamic TUNNEL, dpdaction=clear
Security Associations (1 up, 0 connecting):
roadwarriorPUBKEY[5]: ESTABLISHED 2 minutes ago, 2001:b07:5d26:7aa2::1[il mio ddns]...2001:b07:5d26:7aa2:3828:7777:b2f0:110a[C=xxx, O=xxx, CN=xxx]
roadwarriorPUBKEY[5]: IKEv2 SPIs: 367ab6294f5da0ff_i fdf5d3c6e88995b4_r*, rekeying disabled
roadwarriorPUBKEY[5]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
roadwarriorPUBKEY{3}: INSTALLED, TUNNEL, reqid 3, ESP SPIs: c644bd61_i 2267bef4_o
roadwarriorPUBKEY{3}: AES_CBC_128/HMAC_SHA1_96, 48620 bytes_i (281 pkts, 1s ago), 40911 bytes_o (142 pkts, 1s ago), rekeying disabled
roadwarriorPUBKEY{3}: 0.0.0.0/0 ::/0 === 10.0.1.2/32 2001:b07:5d26:7aa2::2/128
@LuKePicci
Io ho un altro problema il router, si e' riavviato dopo un blackout, e strongswan non funziona piu' in dhcp, pero' funziona su un'altra subnet.
Poi ho notato degli errori sulla wiki di openwrt:
strongswan.conf
charon {
load_modular=yes
dns1 = 10.0.0.1 #dovrebbe essere10.0.1.0
nbns1 = 10.0.0.1# anche qui' come sopra
plugins {
include strongswan.d/charon/*.conf
}
}
include strongswan.d/*.conf
-
Ho fatto un po' di prove ma nulla è cambiato.
Se da ssh do il comando spuctl stop ottengo questo:
root@modemtim:~# spuctl stop
ERROR[OpenBcmSpuCfg.84]: SpuCtl: open error 2
di conseguenza il driver spu sembra rimanere funzionante:
root@modemtim:~# spuctl showstats
ERROR[OpenBcmSpuCfg.84]: SpuCtl: open error 2
Encryption stats
Ingress -1229992408
Fallback 1
Egress 1
Error 264
Dropped 0
Decryption stats
Ingress -1231716128
Fallback -1100173844
Egress 0
Error 135504
Dropped -1100174228
Quindi non riesco a disattivarlo.
Ho provato a creare il file /etc/config/hardwarecrypto così:
config hardwarecrypto 'global'
option enable '0'Ho riavviato il router, pensando così di disattivarlo ma niente; se lancio il comando spuctl showstats mi ritorna dell'output tipo quello sopra.
Ho provato a cambiare il file ipsec.conf in modo da non usare SHA256 così:
esp=aes128-sha1-modp1024
ike=aes128-sha1-modp1024
ma potrebbe non essere giusto quello che ho scritto nel file .conf
Il risultato è che continuo ad avere il modem che si riavvia.
-
@lucash78
Il driver spu l'aveva compilato luke,e non si trova nei repository, se tu non l'hai installato non e' attivo.
Io le cyper su windows le avevo cambiate da PowerShell, perche' quelle di default sono piu' alte.
-
Grazie delle info a1pollo. Il driver sicuramente non l'ho installato, di questo ne sono certo.
Proverò a cambiare le cipher tramite powershell non appena ho un attimo.
Edit:
ho modificato il file ipsec.conf così, in modo da forzare l'uso degli algoritmi specificati
esp=aes128-sha1-modp1024!
ike=aes128-sha1-modp1024!
e modificato la chiave di registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\AllowL2TPWeakCrypto = 1
ma niente è cambiato
@a1pollo hai mica a portata di mano il comando PowerShell che avevi usato?
-
Prova
rm -r /tmp/opkg-lists
opkg update
e provare ad installare un altro pacchetto p.es. nano
opkg install nano
Fammi sapere se funziona.
nano me lo installa senza problemi mentre la gui per la vpn e relative dipendenze no... sempre stessso errore
root@OpenWrt:~# opkg install /tmp/modgui-vpn_1.0-0_all.ipk
Installing modgui-vpn (1.0-0) to root...
Collected errors:
* opkg_install_pkg: Package modgui-vpn md5sum mismatch. Either the opkg or the package index are corrupt. Try 'opkg update'.
* opkg_install_cmd: Cannot install package modgui-vpn.
-
Capito. E' un pacchetto "alieno" inserito da @FrancYescO. Non sono sicuro per come è costruito sia installabile, per via dei script preinst postinst, che dovrebbero essere incompatibili con /lib/functions.sh presente nel firmware.
-
@lucash78
Non sono sicuro sia questa:
Set-VpnConnectionIPsecConfiguration -ConnectionName "il nome della tua connessione vpn" -AuthenticationTransformConstants None -CipherTransformConstants AES128 -EncryptionMethod AES128 -IntegrityCheckMethod SHA1 -PfsGroup None -DHGroup Group2 -PassThru -Force
Dai un occhiata qua:
https://docs.microsoft.com/en-us/powershell/module/vpnclient/set-vpnconnectionipsecconfiguration?view=win10-ps
-
Grazie @a1pollo, ho provato col comando nudo e crudo che hai postato ma ricevo il messaggio di errore "payload non valido" quando provo a collegarmi, ma il comando era comunque corretto. Farò ulteriori tentativi.
Ho notato una cosa bizzarra; se instauro la connessione VPN via LAN, e non con una connessione esterna al router (tipo collegato in hotspot col cellulare), il modem non si riavvia!!
Strongswan è in ascolto anche sulla parte LAN, quindi la connessione avviene (ed infatti mi ritrovo 2 indirizzi ip diversi assegnati ma sulla stessa classe) ma il modem continua a funzionare.
Quindi questo rende il tutto più strano, perchè se fosse una questione di algoritmi dovrebbe riavviarsi anche se mi collego via LAN.
(https://i.ibb.co/KsP92mP/Cattura.jpg) (https://ibb.co/KsP92mP)
-
Scusate se sbaglio thread.
Sul TimHub DGA4132 ho messo la root e fatto l'upgrade alla 2.2.1 con la Gui Ansuel 9.6.65. Ho una connessione Aruba FTTH 1Gb (890/280 da ookla) che per 17,49€/mese mi da anche un indirizzo IPV6 statico. Avevo pensato di usarlo per installare un server VPN sul TimHub in modo da poter avere accesso da remoto alla mia rete casalinga.
Ho letto tutto il thread ma la mia conoscenza è molto più ridotta di quella dei suoi partecipanti. So che chiedere la "pappa pronta" non è carino con chi si è dannato l'anima per raggiungere l'obiettivo ma volevo sapere se qualcuno utilizza il TimHub per questo scopo e se ci sono delle guide/wiki che possa seguire per capire di più sulla VPN e su come raggiungere il mio obiettivo.
Grazie :help: :new:
-
L'ipv6 è già configurato e funzionante? Se sì allora puoi provarci ma nessuno qui ha mai testimoniato ad usare strongswan su questi dispositivi in ipv6, magari funziona ma non saprei dirtelo in anticipo. Se ipv6 ancora non è configurato non credo tu debba chiedere in questo thread per la sua configurazione.
-
L'ipv6 è già configurato e funzionante? Se sì allora puoi provarci ma nessuno qui ha mai testimoniato ad usare strongswan su questi dispositivi in ipv6, magari funziona ma non saprei dirtelo in anticipo. Se ipv6 ancora non è configurato non credo tu debba chiedere in questo thread per la sua configurazione.
Se la domanda è se IPV6 è attivo sul DGA4132 nella scheda Wan in connessione Ppoe e il suo indirizzo è visibile e nattato la risposta è sì. Cosa debba fare in realtà per verificarlo non so, forse un ping da un altro pc collegato a internet con una chiavetta?
-
Una guida utile e' questa
https://openwrt.org/docs/guide-user/services/vpn/strongswan/roadwarrior
"pappa pronta" e' questa controlla prima se hai i feeds settati, e dai un opkg update
curl https://raw.githubusercontent.com/FrancYescO/sharing_tg789/strongswan/setup.sh | sh
per aggiungere ipv6 devi modificare il file /etc/ipsec.conf e modificare
rightsourceip=%dhcp,metti dopo la virgola l'indirizzo ipv6
poi dai il comando /etc/init.d/ipsec stop e poi /etc/init.d/ipsec start
-
Una guida utile e' questa
https://openwrt.org/docs/guide-user/services/vpn/strongswan/roadwarrior
"pappa pronta" e' questa controlla prima se hai i feeds settati, e dai un opkg update
curl https://raw.githubusercontent.com/FrancYescO/sharing_tg789/strongswan/setup.sh | sh
per aggiungere ipv6 devi modificare il file /etc/ipsec.conf e modificare
rightsourceip=%dhcp,metti dopo la virgola l'indirizzo ipv6
poi dai il comando /etc/init.d/ipsec stop e poi /etc/init.d/ipsec start
Grazie mille, ora mi ci metto! Spero di riuscire a capirci qualcosa... :)
-
Ciao ragazzi,
la VPN ha smesso di funzionare quindi ho provato a reinstallarla ma continua a non andare.
Ho aggiornato la GUI Ansuel all'ultima versione e provando a disinstallare la VPN si blocca tutto su xl2tpd stop.
Al momento mi risulta che la VPN sia installata ma la scheda non compare sulla GUI.
C'è modo di forzare la disinstallazione in altri modi?
Grazie.
-
Ho un DGA4130 rootato e con gui Ansuel, non capisco quando nel primo post si dice "... Assicuratevi di avere dei feed da cui è possibile scaricare xl2tpd e strongswan ..."
Ho provato a seguire le indicazione del primo post ma ottengo questo :
(https://i.ibb.co/YXDLD86/vpn.jpg)
Che passaggio sbaglio ?
Grazie
Kira
-
Se I feed sono stati impostati correttamente dalla GUI devi soltanto dare: "opkg update" prima di installare il pacchetto
-
Se I feed sono stati impostati correttamente dalla GUI devi soltanto dare: "opkg update" prima di installare il pacchetto
..capito ma non so come impostare i Fedd e se dòil comando che dici ottengo questo:
(https://i.ibb.co/mTdVQgY/Senza-titolo.png)
mi daresti una mano ?
Grazie
Kira
-
Strano, la gui di Ansuel avrebbe dovuto impostarli,
puoi impostarli manualmente seguendo questa guida:
https://www.macoers.com/blog/antonio-macolino/feeds_openwrt_homeware_19_brcm6xxx_tch
-
Ciao a tutti. Ho installato il pacchetto su DGA4131FBW e connessione IPsec. Le connessioni dall'esterno funzionano correttamente perchè vedo che tutto il traffico passa dal modem e vedo anche l'IP corretto.
Tuttavia non riesco a far apparire i dispositivi che si connettono esternamente come se fossero nella rete locale.
Io vorrei riuscire ad accedere ai dispostivi in LAN dall'esterno (TV, stampanti e dispostivi di rete). Anche il server SAMBA del modem non risulta raggiungibile dalla VPN.
C'è qualche impostazione che devo cambiare?
PS: non sono sicuro sia il topic giusto, chiedo scusa nel caso.
-
@stonex non sono sicuro di che sottorete IP usi per i client questo pacchetto. Se la rete di tali client VPN fosse una rete IP pura, quindi IPsec senza L2TP, sarebbe normale che non funzionino alcuni protocolli di autorilevamento per periferiche condivise di rete che lavorano in L2. Ad esempio è normale che di base tu non veda apparire automaticamente un certo PC con condivisioni SMB, stampanti o altro server/player dlna, miracast o altro. Però inserendo manualmente l'ip nel percorso della condivisione dovresti raggiungere le periferiche lan correttamente.
Esempio pratico, ho due PC in lan senza VPN, da Windows vado in Rete (ex "Risorse di") e vedo elencati entrambi, e posso accedere dall'uno alle condivisioni dell'altro. Scollego un pc e lo porto via, mi collego in VPN torno in Rete e non vedo il PC che ho lasciato a casa, Puoi comunque entrarci inserendo a mano come percorso della cartella da esplorare \\IP_DEL_PC_A_CASA\nome_condivisione
Il pacchetto in oggetto di questo thread tuttavia implementa L2TP al di sopra di IPsec quindi questi protocolli dovrebbero poter funzionare, a patto che la rete L2 creata dal pacchetto sia la stessa, ovvero una estensione di quella locale della lan e non una distinta e intercomunicante con la rete lan soltanto a livello IP. In quest0ultimo caso vale quanto detto per la IPsec pura.
-
Ho fatto un po' di prove ma nulla è cambiato.
Se da ssh do il comando spuctl stop ottengo questo:
root@modemtim:~# spuctl stop
ERROR[OpenBcmSpuCfg.84]: SpuCtl: open error 2
di conseguenza il driver spu sembra rimanere funzionante:
root@modemtim:~# spuctl showstats
ERROR[OpenBcmSpuCfg.84]: SpuCtl: open error 2
Encryption stats
Ingress -1229992408
Fallback 1
Egress 1
Error 264
Dropped 0
Decryption stats
Ingress -1231716128
Fallback -1100173844
Egress 0
Error 135504
Dropped -1100174228
Quindi non riesco a disattivarlo.
Ho provato a creare il file /etc/config/hardwarecrypto così:
config hardwarecrypto 'global'
option enable '0'Ho riavviato il router, pensando così di disattivarlo ma niente; se lancio il comando spuctl showstats mi ritorna dell'output tipo quello sopra.
Ho provato a cambiare il file ipsec.conf in modo da non usare SHA256 così:
esp=aes128-sha1-modp1024
ike=aes128-sha1-modp1024
ma potrebbe non essere giusto quello che ho scritto nel file .conf
Il risultato è che continuo ad avere il modem che si riavvia.
Ciao a tutti, mi autoquoto :)
Ho ripreso in mano la situazione dopo molto tempo e aggiornando il modem al firmware AGTHP_2.2.3_003 (credo sia l'ultimo della serie 2.2.x) i problemi di riavvio che avevo sono spariti!!
Ora strongswan funziona una meraviglia e spero che questo post possa essere di aiuto a qualcuno.
-
ve la faccio breve....
android 13 NON SUPPORTA + il protocollo L2TP/IPSEC in favore del IKEv2/ipsec.
C'è un modo per aggiornare la vpn o è impossibile da utilizzare con android 13?
-
ve la faccio breve....
android 13 NON SUPPORTA + il protocollo L2TP/IPSEC in favore del IKEv2/ipsec.
C'è un modo per aggiornare la vpn o è impossibile da utilizzare con android 13?
in fondo al primo post trovi la guida/script er ikev2.. ma non ti aspettare webui
-
DOVE SBAGLIO???????
sembra connettersi ma rifiuta lo scambio
root@CasaMeda:~# logread -f
Wed Jul 26 15:10:03 2023 daemon.notice mobiled: (WaitingForDevice) runs WaitingForDevice-Main.check(timeout, 1)
Wed Jul 26 15:10:05 2023 daemon.info dnsmasq-dhcp[11939]: DHCPREQUEST(br-lan) 192.168.1.28 1c:90:ff:68:86:73
Wed Jul 26 15:10:05 2023 daemon.info dnsmasq-dhcp[11939]: DHCPACK(br-lan) 192.168.1.28 1c:90:ff:68:86:73 wlan0
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 03[NET] received packet: from 5.171.12.32[14876] to 87.13.218.235[500] (408 bytes)
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 03[NET] received packet: from 5.171.12.32[14876] to 87.13.218.235[500] (408 bytes)
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 03[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 03[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 03[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:01
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 03[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:01
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 03[IKE] received MS NT5 ISAKMPOAKLEY vendor ID
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 03[IKE] received MS NT5 ISAKMPOAKLEY vendor ID
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 03[IKE] received NAT-T (RFC 3947) vendor ID
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 03[IKE] received NAT-T (RFC 3947) vendor ID
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 03[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 03[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 03[IKE] received FRAGMENTATION vendor ID
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 03[IKE] received FRAGMENTATION vendor ID
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 03[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 03[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 03[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 03[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 03[ENC] received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 03[ENC] received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 03[IKE] 5.171.12.32 is initiating a Main Mode IKE_SA
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 03[IKE] 5.171.12.32 is initiating a Main Mode IKE_SA
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 03[ENC] generating ID_PROT response 0 [ SA V V V ]
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 03[ENC] generating ID_PROT response 0 [ SA V V V ]
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 03[NET] sending packet: from 87.13.218.235[500] to 5.171.12.32[14876] (136 bytes)
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 03[NET] sending packet: from 87.13.218.235[500] to 5.171.12.32[14876] (136 bytes)
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 01[NET] received packet: from 5.171.12.32[14876] to 87.13.218.235[500] (388 bytes)
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 01[NET] received packet: from 5.171.12.32[14876] to 87.13.218.235[500] (388 bytes)
Wed Jul 26 15:10:06 2023 authpriv.info ipsec: 01[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Wed Jul 26 15:10:06 2023 daemon.info ipsec: 01[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 01[IKE] remote host is behind NAT
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 01[IKE] remote host is behind NAT
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 01[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 01[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 01[NET] sending packet: from 87.13.218.235[500] to 5.171.12.32[14876] (372 bytes)
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 01[NET] sending packet: from 87.13.218.235[500] to 5.171.12.32[14876] (372 bytes)
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 16[NET] received packet: from 5.171.12.32[14744] to 87.13.218.235[4500] (76 bytes)
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 16[NET] received packet: from 5.171.12.32[14744] to 87.13.218.235[4500] (76 bytes)
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 16[ENC] parsed ID_PROT request 0 [ ID HASH ]
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 16[ENC] parsed ID_PROT request 0 [ ID HASH ]
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 16[CFG] looking for pre-shared key peer configs matching 87.13.218.235...5.171.12.32[192.168.146.193]
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 16[CFG] looking for pre-shared key peer configs matching 87.13.218.235...5.171.12.32[192.168.146.193]
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 16[CFG] selected peer config "l2tp-server"
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 16[CFG] selected peer config "l2tp-server"
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 16[IKE] IKE_SA l2tp-server[5] established between 87.13.218.235[87.13.218.235]...5.171.12.32[192.168.146.193]
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 16[IKE] IKE_SA l2tp-server[5] established between 87.13.218.235[87.13.218.235]...5.171.12.32[192.168.146.193]
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 16[IKE] scheduling reauthentication in 2736s
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 16[IKE] scheduling reauthentication in 2736s
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 16[IKE] maximum IKE_SA lifetime 3276s
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 16[IKE] maximum IKE_SA lifetime 3276s
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 16[ENC] generating ID_PROT response 0 [ ID HASH ]
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 16[ENC] generating ID_PROT response 0 [ ID HASH ]
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 16[NET] sending packet: from 87.13.218.235[4500] to 5.171.12.32[14744] (76 bytes)
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 16[NET] sending packet: from 87.13.218.235[4500] to 5.171.12.32[14744] (76 bytes)
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 14[NET] received packet: from 5.171.12.32[14744] to 87.13.218.235[4500] (444 bytes)
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 14[NET] received packet: from 5.171.12.32[14744] to 87.13.218.235[4500] (444 bytes)
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 14[ENC] parsed QUICK_MODE request 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 14[ENC] parsed QUICK_MODE request 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 14[IKE] received 250000000 lifebytes, configured 0
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 14[IKE] received 250000000 lifebytes, configured 0
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 14[ENC] generating QUICK_MODE response 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 14[ENC] generating QUICK_MODE response 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 14[NET] sending packet: from 87.13.218.235[4500] to 5.171.12.32[14744] (204 bytes)
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 14[NET] sending packet: from 87.13.218.235[4500] to 5.171.12.32[14744] (204 bytes)
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 06[NET] received packet: from 5.171.12.32[14744] to 87.13.218.235[4500] (60 bytes)
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 06[NET] received packet: from 5.171.12.32[14744] to 87.13.218.235[4500] (60 bytes)
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 06[ENC] parsed QUICK_MODE request 1 [ HASH ]
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 06[ENC] parsed QUICK_MODE request 1 [ HASH ]
Wed Jul 26 15:10:07 2023 authpriv.info ipsec: 06[IKE] CHILD_SA l2tp-server{5} established with SPIs c7ddf114_i 2dd31c40_o and TS 87.13.218.235/32[udp/l2f] === 5.171.12.32/32[udp/l2f]
Wed Jul 26 15:10:07 2023 daemon.info ipsec: 06[IKE] CHILD_SA l2tp-server{5} established with SPIs c7ddf114_i 2dd31c40_o and TS 87.13.218.235/32[udp/l2f] === 5.171.12.32/32[udp/l2f]
Wed Jul 26 15:10:07 2023 local0.notice vpn: + 192.168.146.193 5.171.12.32 -- 87.13.218.235
Wed Jul 26 15:10:13 2023 daemon.notice odhcpd[3447]: Got DHCPv6 request
Wed Jul 26 15:10:18 2023 daemon.err odhcp6c[11728]: Failed to send DHCPV6 message to ff02::1:2 (Operation not permitted)
Wed Jul 26 15:10:42 2023 authpriv.info ipsec: 14[NET] received packet: from 5.171.12.32[14744] to 87.13.218.235[4500] (76 bytes)
Wed Jul 26 15:10:42 2023 daemon.info ipsec: 14[NET] received packet: from 5.171.12.32[14744] to 87.13.218.235[4500] (76 bytes)
Wed Jul 26 15:10:42 2023 authpriv.info ipsec: 14[ENC] parsed INFORMATIONAL_V1 request 3804686554 [ HASH D ]
Wed Jul 26 15:10:42 2023 daemon.info ipsec: 14[ENC] parsed INFORMATIONAL_V1 request 3804686554 [ HASH D ]
Wed Jul 26 15:10:42 2023 authpriv.info ipsec: 14[IKE] received DELETE for ESP CHILD_SA with SPI 2dd31c40
Wed Jul 26 15:10:42 2023 daemon.info ipsec: 14[IKE] received DELETE for ESP CHILD_SA with SPI 2dd31c40
Wed Jul 26 15:10:42 2023 authpriv.info ipsec: 14[IKE] closing CHILD_SA l2tp-server{5} with SPIs c7ddf114_i (786 bytes) 2dd31c40_o (0 bytes) and TS 87.13.218.235/32[udp/l2f] === 5.171.12.32/32[udp/l2f]
Wed Jul 26 15:10:42 2023 daemon.info ipsec: 14[IKE] closing CHILD_SA l2tp-server{5} with SPIs c7ddf114_i (786 bytes) 2dd31c40_o (0 bytes) and TS 87.13.218.235/32[udp/l2f] === 5.171.12.32/32[udp/l2f]
Wed Jul 26 15:10:42 2023 local0.notice vpn: - 192.168.146.193 5.171.12.32 -- 87.13.218.235
Wed Jul 26 15:10:42 2023 authpriv.info ipsec: 06[NET] received packet: from 5.171.12.32[14744] to 87.13.218.235[4500] (92 bytes)
Wed Jul 26 15:10:42 2023 daemon.info ipsec: 06[NET] received packet: from 5.171.12.32[14744] to 87.13.218.235[4500] (92 bytes)
Wed Jul 26 15:10:42 2023 authpriv.info ipsec: 06[ENC] parsed INFORMATIONAL_V1 request 1651167706 [ HASH D ]
Wed Jul 26 15:10:42 2023 daemon.info ipsec: 06[ENC] parsed INFORMATIONAL_V1 request 1651167706 [ HASH D ]
Wed Jul 26 15:10:42 2023 authpriv.info ipsec: 06[IKE] received DELETE for IKE_SA l2tp-server[5]
Wed Jul 26 15:10:42 2023 daemon.info ipsec: 06[IKE] received DELETE for IKE_SA l2tp-server[5]
Wed Jul 26 15:10:42 2023 authpriv.info ipsec: 06[IKE] deleting IKE_SA l2tp-server[5] between 87.13.218.235[87.13.218.235]...5.171.12.32[192.168.146.193]
Wed Jul 26 15:10:42 2023 daemon.info ipsec: 06[IKE] deleting IKE_SA l2tp-server[5] between 87.13.218.235[87.13.218.235]...5.171.12.32[192.168.146.193]
Wed Jul 26 15:11:03 2023 daemon.notice mobiled: (WaitingForDevice) runs WaitingForDevice-Main.check(timeout, 1)
Wed Jul 26 15:11:04 2023 daemon.info odhcpd[3447]: Using a RA lifetime of 0 seconds on wl0_1
^Croot@CasaMeda:~#
-
Ciao a tutti. Ho provato ad installare la VPN su un tg789 vac V2 di TIM, con firmware UNO e gui Ansuel.
Putroppo nonostante l'installazione si concluda con successo, non compare mai la tile della VPN. Ho provato a disinstallare e reinstallare il pacchetto più volte, ma nulla.
Cosa potrebbe essere?
Mi sembra strano che non compaia visto che di UNO esiste solo un firmware disponibile online ed è sempre lo stesso. Ho riletto i messaggi indietro e agli altri è sempre andato.
Non so proprio che pesci pigliare.
Posso fornire dei log o altro per aiutarmi (aiutarvi) ad individuare il problema?