IlPuntoTecnico
Hardware e Software => Connessioni ADSL/VDSL/FTTC => Topic aperto da: lorenzocanalelc - 19 Agosto 2019, 12:30
-
@LuKePicci Posso chiederti di scrivere una guida completa su installazione e setup di strongswan? Ovviamente senza alcuna fretta e senza alcunissimo impegno, libero di rispondermi anche di no O:-)
-
Per quello che occorre a te, serve un setup di tipo roadwarrior, preferibilmente in IKEv2, con autenticazione a scelta tra:
basata su EAP (password MS-CHAPv2 o certificati TLS), basata su certificati, o entrambi.
La guida è quella sulla wiki di openwrt, non l'ho scritta io ma gli ho dato qualche sistemata un po' di tempo fa. I pacchetti li devi prendere dalle giuste repo per il tuo technicolor
Alternativamente ad IKEv2 che è sicuramente raccomandabile perchè funziona meglio, se hai problemi di compatibilità con altri dispositivi, sempre consultando le guide che trovi sulla wiki openwrt, puoi impostare strongSwan per funzionare in semplice IKEv1 (solitamente con autenticazione xauth, soprannominata a volte semplicemente "IPsec" da iOS, FritzBox, ProSafe, ecc.), oppure in abbinamento ad L2TP (comunemente nota come "L2TP/IPsec")
-
Ah perfetto allora, grazie :clap:
-
Grazie per la risposta esaustiva, magari farò un tentativo. Ero felicissimo di essermi liberato della VSR, peccato per la vpn che la VSR aveva.
-
Leggi qualche pagina più indietro, come ho detto dovrebbe essere invece possibile far girare strongswan in IKEv2 senza aggiungere alcun driver: https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior
Io ci sono riuscito sul dga4131 di fastweb ma sul tg789vac v2 penso sia uguale (prestazioni a parte). Se i pacchetti di strongswan mancano dal repo di roleo per mips, prendili a mano dal repo ufficiale forzandone l'installazione https://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp
-
Ho letto tutto il thread ma mi ero perso questo particolare! Grazie, proverò.
-
@lucash78 Ti confermo che io uso senza problemi strongswan su Tg789vac v2 con Firmware UNO l'ho installato dalla Repo di FrancYescO https://github.com/FrancYescO/789vacv2_opkg. Tra l'altro sempre @FrancYescO ha fatto anche uno script per l'installazione automatica (A patto di aver configurato correttamente i feed) https://github.com/FrancYescO/sharing_tg789/blob/strongswan/setup.sh
-
Quanto regge il piccolino?
-
@LuKePicci Breve storia triste: ho una ADSL... Sicuramente 1 Mega lo regge :rotfl:
-
Direi che anche lui se la cava benone, forse anche troppo rapportato ai fratelli maggiori
(https://www.speedtest.net/result/a/5295572253.png)
Backlog:
-L'installazione l'ho fatta su firmware tiscali, non so nemmeno io perche'
-i feed usati sono quelli postati poco sopra, con anche "la patch" per usare quelli di openwrt ufficiali, ho dovuto preventivamente installare openssl altrimenti opkg non riusciva ad aggiornare i feed
-ho dovuto dare un "opkg remove --force-depends ip-full" altrimenti andava in conflitto con ip che tentava di installare (--force-depends perche' lo voleva mwan e me ne sono fregato)
-il comando ip comunque non funziona sul 789, motivo per cui ho dovuto mettere a mano l'indirizzo ip dhcp di broadcast in /etc/strongswan.d/charon/dhcp.conf (lo script che avevo fatto si basava su quello)
-dato che mi/gli voglio male tutti i certificati li ha generati lui in circa 20min
-avevo IPv6 abilitato nella LAN sul modem e per qualche motivo mi falliva l'handshake, appena disattivato subito si e' connesso dal client
-lo spazio occupato da tutto l'accrocchio e' circa 1,3MB
-
@FrancYescO Ottimo lavoro.
Metodo alternativo per generare i certificati usando openssl (da testare). Se funziona, stando a quanto dici tu, è molto più veloce a generare le key.
https://www.ilpuntotecnico.com/forum/index.php/topic,81221.msg254883.html#msg254883
Ip su UNO funziona forse perchè lo hai dovuto sostituire.
Metodo alternativo
ifconfig br-lan | grep Bcast: |cut -c40-54
o
ifconfig br-lan | awk '/inet / {print $3}' | cut -c7-21
-
@lorenzocanalelc grazie
-il comando ip comunque non funziona sul 789, motivo per cui ho dovuto mettere a mano l'indirizzo ip dhcp di broadcast in /etc/strongswan.d/charon/dhcp.conf (lo script che avevo fatto si basava su quello)
Esattamente cosa intendi? Puoi postare la configurazione in questione? Non viene generata automaticamente dallo script che hai creato?
-
lo script si occupa di tutto ma in quella configurazione troverai una riga "server =" che dovrai far diventare qualcosa tipo "server = 192.168.1.255", oltre all'opkg remove --force-depends ip-full preventivo che non so se è necessario anche con altri firmware
appena mi torna voglia di perdeci tempo su provo a sistemare queste due eccezioni nello script e le alternative alla generazione dei certificati
-
Io non ho reinstallato il pacchetto col comando ip, avevo notato che quello di cui aveva bisogno del comando ip c'era già nella versione ridotta di quello già installato sul fastgate. Ovviamente però sul 789 non so come sia la situazione.
-
Sul firmware UNO ho appena testato e il comando ip funziona senza problemi
-
contando che il pacchetto che ho disinstallato si chiamava ip-full direi che aveva qualcosa in più del normale, ma non so perchè la testa in quel momento mi ha detto fregatene e disinstalla :D
-
ip-full contiene solo 1 file /usr/sbin/ip appunto e Depends: libc, libssp, libnl-tiny
-
Direi che anche lui se la cava benone, forse anche troppo rapportato ai fratelli maggiori
Dopo varie peripezie sono riuscito a collegarmi ma con 2 ma:
1) nel file /etc/ipsec.conf se uso la direttiva rightsourceip=%dhcp non si apre il tunnel; specificando invece un indirizzo ip (ad es. 192.168.11.45/24) il tunnel si apre. Il file /etc/strongswan.d/charon/dhcp.conf è così configurato:
force_server_address = yes
load = yes
server = 192.168.11.1
dove 192.168.11.1 è l'indirizzo ip lato lan del router su cui è configurato il server dhcp
2) una volta collegato riesco a pingare solo il router e non gli altri hosts della subnet
-
@lucash78 in server= ci va l'indirizzo di broadcast (dove il server DHCP interviene) quindi se sei sulla 192.168.11.0/24 devi inserire 192.168.11.255
-
@lucash78 e force_server_address deve stare su no
-
@LuKePicci ora funziona anche con dhcp e stando a quanto scritto sulla wiki di strongswan credo debba stare su "yes"
Note: If the DHCP server runs on the same host as the daemon with DHCP plugin, you may need to enable charon.plugins.dhcp.force_server_address
and then set charon.plugins.dhcp.server to the local broadcast address (e.g. 192.168.0.255). That's because some DHCP daemons do not listen on
the loopback interface and, thus, can't be reached via unicast (or even broadcast, 255.255.255.255) from the same host.
Mi rimane sempre il problema degli hosts dietro la vpn, non riesco a raggiungerli. Credo di dover agire su iptables e firewall ma non so come fare, sto cercando di capire.
@FrancYescO e @lorenzocanalelc anche voi avete problemi di forwarding via vpn oppure vi funziona tutto?
-
Quello che hai citato è il motivo per cui devi usare l'indirizzo di broadcast, dice di mettere force_server_address perchè in questo modo ti restringi a rifiutare qualunque offerta non proveniente dal dhcp server locale implementando sostanzialmente una richiesta unicast. Puoi lasciarlo su yes fintanto che charon e il server dhcp sono sollo stesso router, ma nel caso generale per far si che la configurazione funzioni alla stregua di un vero client in lan, come da normale funzionamento di dhcp, la richiesta deve andare in broadcast e tu devi accettare la prima offerta ricevuta, e questo lo fai lasciando l'opzione su no. Detta diversamente, è una policy di restrizione che volendo puoi abilitare nel tuo caso ma non è necessaria (a te funziona anche senza) e non è generale (a molti non funzionerebbe). Per questo la trovi su no per default.
Il problema al ping che descrivi se ben ricordo è fisiologico, non dovresti avere problemi a raggiungere gli altri host con normale traffico di altro tipo. Dipende dal fatto che i client in vpn appaiono al firewall come esistenti su una interfaccia diversa dagli altri (quella degli altri è 'lan'), quindi per consentire questo tipo di ping dovresti creare delle regole che acconsentono al transito in entrambe le direzioni. Passi dal firewall ogni volta che vai da una interfaccia ad un'altra. Se dal client remoto fai un ping all'ip del router ottieni regolarmente una risposta perchè non vi stai transitando. anche se l'ip è quello assegnato all'interfaccia dall'altro lato del firewall.
-
@LuKePicci grazie della spiegazione, veramente esauriente, ora ho capito bene il funzionamento della direttiva. Per il traffico purtroppo non è solo il ping, anche rdp, http, https ecc ecc non funzionano. Non passa nulla oltre il router
-
Questo è strano, giusto ieri ho fatto delle prove con un collega e lui era connesso allo stesso modo in vpn e non aveva problemi a raggiungere da fuori un servizio http sul un host locale, e di sicuro non ho implementato nessuna ulteriore regola oltre quelle dette nella wiki.
-
Sto cercando di installare strongswan su DGA4130 fw AGTEF_2.1.0 ma generando le chiavi dà errore building CRED_PRIVATE_KEY - RSA failed, tried 0 builders
Nella guida https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior ho notato che si fa riferimento ad alcuni files/cartelle
non ho la cartella /etc/ipsec.d e dentro /etc/strongswan.d non ho la cartella charon/ ma solo un file pki.conf praticamente vuoto:
pki {
# Plugins to load in ipsec pki tool.
# load =
}
Mi manca qualche pacchetto da installare o dovrebbe esserci tutto e sono io ad aver sbagliato qualcosa?
-
opkg install strongswan-default strongswan-pki tirano giu tutto il necessario
-
Su fw 2.1.0, ho eseguito tali comandi da ssh:
opkg update
opkg install strongswan-default strongswan-pki
opkg install openvpn-openssl openssl-util
Ora posso procedere con il resto della guida per la configurazione? Nello specifico, il prossimo passo dovrebbe essere eseguire lo script di generazione delle chiavi.
Scusatemi se chiedo cose su argomenti probabilmente già affrontati, ma ho letto che la guida in prima pagina, per i fw 2.x.x, è diventata obsoleta e dunque non ho capito quali siano precisamente tutti i passi da seguire.
-
openvpn del primo post per l'esattezza non è compatibile dal 2.1.0 in poi sul 2.0.0 dovrebbe andare.
comunque si sta iniziando a fare un po di confusione tra openvpn e strongswan (ad esempio li hai installati entrambi con opkg il che non era richiesto, anzi mi pare che openvpn su firmware >=2.1.0 nella repo causi bootloop)
per strongswan puoi eseguire questo script che ti autoconfigura tutto e ti piazza il certificato per il client in /tmp
curl https://raw.githubusercontent.com/FrancYescO/sharing_tg789/strongswan/setup.sh | sh
sto cercando comunque di raggruppare tutti i pezzi per portare ipsec/xl2tpd che technicolor ha messo di default su alcuni modelli anche sui DGA (funziona tramite PSK e non tramite certificati)
-
Dopo aver seguito la guida da openwrt.org e sia riprovando oggi eseguendo lo script da github postato sopra non riesco a connettermi. Qualcuno sa come configurare l'app e se è solo un errore di configurazione? Questi sono i log del router (sull'app ho provato i due tipi IKEv2 EAP e IKEv2 Certificate + EAP)
Ho importato sul telefono e selezionato il certificato /tmp/myvpnclientCert.p12
App android strongSwan VPN type: IKEv2 EAP (Username/Password)
15[NET] received packet: from 62.19.XXX.X[25120] to 151.41.XXX.XXX[500] (716 bytes)
15[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
15[IKE] 62.19.XXX.X is initiating an IKE_SA
15[IKE] 62.19.XXX.X is initiating an IKE_SA
15[IKE] remote host is behind NAT
15[IKE] DH group ECP_256 inacceptable, requesting MODP_3072
15[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
15[NET] sending packet: from 151.41.XXX.XXX[500] to 62.19.XXX.X[25120] (38 bytes)
06[NET] received packet: from 62.19.XXX.X[25120] to 151.41.XXX.XXX[500] (1036 bytes)
06[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
06[IKE] 62.19.XXX.X is initiating an IKE_SA
06[IKE] 62.19.XXX.X is initiating an IKE_SA
06[IKE] remote host is behind NAT
06[IKE] sending cert request for "C=US, O=Technicolor, CN=CATechnicolor"
06[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
06[NET] sending packet: from 151.41.XXX.XXX[500] to 62.19.XXX.X[25120] (615 bytes)
16[NET] received packet: from 62.19.XXX.X[25077] to 151.41.XXX.XXX[4500] (1364 bytes)
16[ENC] parsed IKE_AUTH request 1 [ EF(1/3) ]
16[ENC] received fragment #1 of 3, waiting for complete IKE message
07[NET] received packet: from 62.19.XXX.X[25077] to 151.41.XXX.XXX[4500] (1364 bytes)
07[ENC] parsed IKE_AUTH request 1 [ EF(2/3) ]
07[ENC] received fragment #2 of 3, waiting for complete IKE message
08[NET] received packet: from 62.19.XXX.X[25077] to 151.41.XXX.XXX[4500] (580 bytes)
08[ENC] parsed IKE_AUTH request 1 [ EF(3/3) ]
08[ENC] received fragment #3 of 3, reassembling fragmented IKE message
08[ENC] parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
08[IKE] received 136 cert requests for an unknown ca
08[CFG] looking for peer configs matching 151.41.XXX.XXX[%any]...62.19.XXX.X[taan]
08[CFG] no matching peer config found
08[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
08[IKE] peer supports MOBIKE
08[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
08[NET] sending packet: from 151.41.XXX.XXX[4500] to 62.19.XXX.X[25077] (80 bytes)
App android strongSwan VPN type: IKEv2 Certificate + EAP (Username/Password)
10[NET] received packet: from 62.19.XXX.X[24800] to 151.41.XXX.XXX[500] (716 bytes)
10[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
10[IKE] 62.19.XXX.X is initiating an IKE_SA
10[IKE] 62.19.XXX.X is initiating an IKE_SA
10[IKE] remote host is behind NAT
10[IKE] DH group ECP_256 inacceptable, requesting MODP_3072
10[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
10[NET] sending packet: from 151.41.XXX.XXX[500] to 62.19.XXX.X[24800] (38 bytes)
11[NET] received packet: from 62.19.XXX.X[24800] to 151.41.XXX.XXX[500] (1036 bytes)
11[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
11[IKE] 62.19.XXX.X is initiating an IKE_SA
11[IKE] 62.19.XXX.X is initiating an IKE_SA
11[IKE] remote host is behind NAT
11[IKE] sending cert request for "C=US, O=Technicolor, CN=CATechnicolor"
11[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
11[NET] sending packet: from 151.41.XXX.XXX[500] to 62.19.XXX.X[24800] (615 bytes)
13[NET] received packet: from 62.19.XXX.X[24733] to 151.41.XXX.XXX[4500] (1364 bytes)
13[ENC] parsed IKE_AUTH request 1 [ EF(1/4) ]
13[ENC] received fragment #1 of 4, waiting for complete IKE message
05[NET] received packet: from 62.19.XXX.X[24733] to 151.41.XXX.XXX[4500] (1364 bytes)
05[ENC] parsed IKE_AUTH request 1 [ EF(2/4) ]
05[ENC] received fragment #2 of 4, waiting for complete IKE message
12[NET] received packet: from 62.19.XXX.X[24733] to 151.41.XXX.XXX[4500] (1364 bytes)
12[ENC] parsed IKE_AUTH request 1 [ EF(3/4) ]
12[ENC] received fragment #3 of 4, waiting for complete IKE message
12[NET] received packet: from 62.19.XXX.X[24733] to 151.41.XXX.XXX[4500] (468 bytes)
12[ENC] parsed IKE_AUTH request 1 [ EF(4/4) ]
12[ENC] received fragment #4 of 4, reassembling fragmented IKE message
12[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) N(AUTH_FOLLOWS) ]
12[IKE] received cert request for "C=US, O=Technicolor, CN=CATechnicolor"
12[IKE] received 136 cert requests for an unknown ca
12[IKE] received end entity cert "C=US, O=Technicolor, CN=myvpnclient"
12[CFG] looking for peer configs matching 151.41.XXX.XXX[%any]...62.19.XXX.X[C=US, O=Technicolor, CN=myvpnclient]
12[CFG] selected peer config 'roadwarrior'
12[CFG] using trusted ca certificate "C=US, O=Technicolor, CN=CATechnicolor"
12[CFG] checking certificate status of "C=US, O=Technicolor, CN=myvpnclient"
12[CFG] certificate status is not available
12[CFG] reached self-signed root ca with a path length of 0
12[CFG] using trusted certificate "C=US, O=Technicolor, CN=myvpnclient"
12[IKE] authentication of 'C=US, O=Technicolor, CN=myvpnclient' with RSA_EMSA_PKCS1_SHA2_256 successful
12[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
12[IKE] peer supports MOBIKE
12[IKE] authentication of 'XXXXX.ddnsking.com' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful
12[IKE] sending end entity cert "C=US, O=Technicolor, CN=XXXXX.ddnsking.com"
12[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH ]
12[NET] sending packet: from 151.41.XXX.XXX[4500] to 62.19.XXX.X[24733] (1248 bytes)
15[NET] received packet: from 62.19.XXX.X[24733] to 151.41.XXX.XXX[4500] (80 bytes)
15[ENC] parsed IKE_AUTH request 2 [ IDi ]
15[IKE] peer requested EAP, config inacceptable
15[CFG] no alternative config found
15[ENC] generating IKE_AUTH response 2 [ N(AUTH_FAILED) ]
15[NET] sending packet: from 151.41.XXX.XXX[4500] to 62.19.XXX.X[24733] (80 bytes)
-
devi mettere IKEv2 Certificate.
-
O IKEv2 con solo Certificate, o IKEv2 con Certificate + EAP-MSCHAPv2, mai IKEv2 con EAP-Certificate.
-
devi mettere IKEv2 Certificate.
Così funziona ma allora a che serve user e password settati in /etc/ipsec.secrets?
-
E' spiegato nella guida. strongswan supporta più round di autenticazione. Se nel file di configurazione rimuovi il commento sulla rightauth2 e la imposti su eap-mschapv2 (ovvero EAP mediante user/pass) allora ti occorre anche avere a disposizione una coppia di credenziali valide. Questa doppia autenticazione però non è supportata ne in iOS ne in Windows, se vuoi abilitarla puoi farlo. Chiaramente se devi consentire accessi multipli con uno stesso certificato allora creare credenziali multiple può farti comodo, così come creare certificati specifici per ogni utente.
-
Mi rimane sempre il problema degli hosts dietro la vpn, non riesco a raggiungerli.
Sono riuscito a risolvere anche questo problema. Leggendo questa wiki (https://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling) ho eseguito i seguenti comandi:
iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -o br-lan -m policy --dir out --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -o br-lan -j MASQUERADE
dove 192.168.11.0 è la mia lan interna e br-lan è il bridge device formato da eth0/1/2/3. Ora riesco a pingare e ad accedere a tutti gli hosts dietro il router in vpn ipsec. I comandi li ho aggiunti al file /etc/rc.local in modo da essere eseguiti ad ogni avvio.
Spero possa essere utile a qualcuno.
-
Prima cosa, mi confermi che il tuo problema era pingare o raggiungere un host locale in lan da un client remoto in vpn e non il viceversa?
Se è così, allora non mi spiego come mai tu abbia bisogno di nattare il traffico lan-lan in quel modo. La wiki la suggerisce, qualora tu non faccia split-tunneling, per abilitare il natting del traffico proveniente dai client vpn e diretto ad internet tramite eth0 che nell'esempio è la porta wan. Come hai fatto tu se ho ben compreso hai abilitato il natting per traffico proveniente dai client vpn e diretto in lan. In sostanza ora il traffico arriva agli host locali con sorgente uguale all'ip lan del router, cioè di br-lan.
Domande:
- in /etc/firewall.user hai le quattro regole menzionate nella guida?
- I tuoi client sono configurati in split-tunneling o no?
- apri wireshark su un host in lan, pingalo da un client vpn remoto, cosa vedi come ip mittente in wireshark? quello del client vpn o quello di br-lan?
- stessa domanda di sopra ma senza le due regole che hai aggiunto
edit: se vuoi applicare regole automatiche ad ogni avvio il modo giusto per farlo è metterle in /etc/firewall.user come dovresti già aver fatto con le quattro menzionate nella guida
-
@LuKePicci non riuscivo a pingare in entrambi i versi (in vpn intendo, all'interno della lan tutti i vari hosts si pingano a vicenda). I miei clients erano configurati in split-tunneling (clients windows) e arrivavo solo fino al router. Usando l'opzione "usa gateway predefinito sulla rete remota" non cambiava nulla, arrivavo fino al router. Se invece usavo una classe ip diversa (es 192.168.12.x) da assegnare al client e abilitavo l'opzione "usa gateway predefinito sulla rete remota" allora riuscivo a pingare gli hosts remoti ma perdevo la connettività internet sul pc dal quale mi collegavo in vpn (niente split-tunnelling). Ho provato la connessione VPN sia su win7 che win10, stessi risultati.
Per le 4 regole intendi queste?
iptables -I INPUT -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I OUTPUT -m policy --dir out --pol ipsec --proto esp -j ACCEPTSe si, io non le ho inserite
Per i tests con wireshark non appena ho tempo faccio 2 prove
Mi sono dimenticato di dirti che ho usato il file di installazione di @FrancYescO per mettere su il tutto
-
@LuKePicci ho controllato il file /etc/firewall.user e le 4 regole sopra sono presenti, sono inserite dallo script di FrancYescO
-
E adesso con le righe che hai aggiunto senza split-tunneling su internet ci va?
E da lan riesci a pingare I client vpn remoti?
Per quel fatto che non ti andava internet dovresti controllare se effettivamente non raggiungevi nemmeno in ping un host internet o se era solo un problema ai server dns. In questo secondo caso posso dirti come risolvere quella questione. Mentre per il fatto che lan(vpn)->lan non funzioni senza nat non saprei che problemi tu possa avere.
-
@LuKePicci Ora con quelle 2 righe, che come tu mi hai fatto notare ho aggiunto al file /etc/firewall.user, tutto funziona correttamente. Mi collego in vpn, raggiungo tutti gli hosts dietro il router e continuo a navigare con l'indirizzo ip locale e non con il gateway remoto (quindi split-tunnelling funzionante). Avevo provato anche ad aggiungere i dns alla vpn ma mi pare che comunque il gateway remoto non mi facesse navigare (sto andando a memoria, ho fatto 800.000 prove per arrivare a questo dunque).
Mentre per il fatto che lan(vpn)->lan non funzioni senza nat non saprei che problemi tu possa avere
Credo gli manchi qualche route o che questa sia bloccata dal firewall, non saprei esattamente. Fatto sta che seguendo quelle indicazioni si è sbloccatto tutto.
Mi ero scordato di risponderti a una domanda, ho fatto ora la prova e riesco a navigare anche col gateway remoto ora (quindi senza split-tunneling)
-
Ho fatto qualche altra prova e ho aggiunto alla wiki di openwrt la regola necessaria per escludere dal nat il traffico destinato ad essere immesso nel tunnel ipsec, ora funziona anche il ping da host locale lan a client remoto.
Però questo non dovrebbe avere niente a che vedere col problema che avevi tu, vediamo se capita anche a qualcun altro. Sta di fatto che sei il primo che sento avere quel problema, ci dev'essere qualcosa di specifico nel tuo setup che rompe il normale funzionamento, dato che di base è tutto negato potrebbe effettivamente essere che nella tua versione firmware manchi qualche regola di solito presente di default.
-
Qual è la wiki di cui parli? Non so quale possa essere, ho solo modificato l'indirizzo ip lan, il range dhcp lan e disattivato il dhcp guest. L'importante è essere riuscito nel risultato, grazie anche al vostro prezioso aiuto.
-
Lo script di @FrancYescO riassume le istruzioni necessarie ad implementare quanto proposto in questa pagina: https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior
-
Per usare strongswan su Windows come bisogna fare? Per OpenVPN c'è il client ma per questo no e usando la configurazione VPN di Windows mi dà un errore (al momento non ho il log), cercando su Internet dicono che Windows utilizza una cifratura troppo debole e strongswan non l'accetta.
Voi come avete fatto?
-
Ma hai letto la guida sulla pagina che ho linkato qui sopra? C'è spiegato come configurare il client nativo di windows. Io quello uso. Piuttosto che errore ti da e come hai configurato il tutto??
-
Ho rifatto l'installazione seguendo la guida e ora mi si connette ma quando mi connetto tramite Windows il router si riavvia e salta tutto :confused: (da Android non succede)
logread degli ultimi istanti prima di esplodere
daemon.info charon: 06[NET] received packet: from 5.170.242.32[3212] to 151.41.171.108[500] (632 bytes)
daemon.info charon: 06[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
daemon.info charon: 06[IKE] received MS NT5 ISAKMPOAKLEY v9 vendor ID
daemon.info charon: 06[IKE] received MS-Negotiation Discovery Capable vendor ID
daemon.info charon: 06[IKE] received Vid-Initial-Contact vendor ID
daemon.info charon: 06[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
daemon.info charon: 06[IKE] 5.170.242.32 is initiating an IKE_SA
authpriv.info charon: 06[IKE] 5.170.242.32 is initiating an IKE_SA
daemon.info charon: 06[IKE] remote host is behind NAT
daemon.info charon: 06[IKE] sending cert request for "C=US, O=Technicolor, CN=CATechnicolor"
daemon.info charon: 06[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
daemon.info charon: 06[NET] sending packet: from 151.41.171.108[500] to 5.170.242.32[3212] (473 bytes)
daemon.info charon: 11[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 11[ENC] parsed IKE_AUTH request 1 [ EF(1/6) ]
daemon.info charon: 11[ENC] received fragment #1 of 6, waiting for complete IKE message
daemon.info charon: 12[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 12[ENC] parsed IKE_AUTH request 1 [ EF(2/6) ]
daemon.info charon: 12[ENC] received fragment #2 of 6, waiting for complete IKE message
daemon.info charon: 08[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 08[ENC] parsed IKE_AUTH request 1 [ EF(3/6) ]
daemon.info charon: 08[ENC] received fragment #3 of 6, waiting for complete IKE message
daemon.info charon: 13[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 13[ENC] parsed IKE_AUTH request 1 [ EF(4/6) ]
daemon.info charon: 13[ENC] received fragment #4 of 6, waiting for complete IKE message
daemon.info charon: 15[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 15[ENC] parsed IKE_AUTH request 1 [ EF(5/6) ]
daemon.info charon: 15[ENC] received fragment #5 of 6, waiting for complete IKE message
daemon.info charon: 09[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (304 bytes)
daemon.info charon: 09[ENC] parsed IKE_AUTH request 1 [ EF(6/6) ]
daemon.info charon: 09[ENC] received fragment #6 of 6, reassembling fragmented IKE message
daemon.info charon: 09[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
daemon.info charon: 09[IKE] received cert request for "C=US, O=Technicolor, CN=CATechnicolor"
daemon.info charon: 09[IKE] received 58 cert requests for an unknown ca
daemon.info charon: 09[IKE] received end entity cert "C=US, O=Technicolor, CN=myvpnclient"
daemon.info charon: 09[CFG] looking for peer configs matching 151.41.171.108[%any]...5.170.242.32[C=US, O=Technicolor, CN=myvpnclient]
daemon.info charon: 09[CFG] selected peer config 'roadwarrior'
daemon.info charon: 09[CFG] using trusted ca certificate "C=US, O=Technicolor, CN=CATechnicolor"
daemon.info charon: 09[CFG] checking certificate status of "C=US, O=Technicolor, CN=myvpnclient"
daemon.info charon: 09[CFG] certificate status is not available
daemon.info charon: 09[CFG] reached self-signed root ca with a path length of 0
daemon.info charon: 09[CFG] using trusted certificate "C=US, O=Technicolor, CN=myvpnclient"
daemon.info charon: 09[IKE] authentication of 'C=US, O=Technicolor, CN=myvpnclient' with RSA signature successful
daemon.info charon: 09[IKE] peer supports MOBIKE
daemon.info charon: 09[IKE] authentication of 'XXXXX.ddnsking.com' (myself) with RSA signature successful
daemon.info charon: 09[IKE] IKE_SA roadwarrior[9] established between 151.41.171.108[XXXXX.ddnsking.com]...5.170.242.32[C=US, O=Technicolor, CN=myvpnclient]
authpriv.info charon: 09[IKE] IKE_SA roadwarrior[9] established between 151.41.171.108[XXXXX.ddnsking.com]...5.170.242.32[C=US, O=Technicolor, CN=myvpnclient]
daemon.info charon: 09[IKE] scheduling reauthentication in 10215s
daemon.info charon: 09[IKE] maximum IKE_SA lifetime 10755s
daemon.info charon: 09[IKE] sending end entity cert "C=US, O=Technicolor, CN=XXXXX.ddnsking.com"
daemon.info charon: 09[IKE] peer requested virtual IP %any
daemon.info charon: 09[CFG] sending DHCP DISCOVER to 192.168.1.255
daemon.info charon: 09[CFG] sending DHCP DISCOVER to 192.168.1.255
daemon.info charon: 09[CFG] sending DHCP DISCOVER to 192.168.1.255
daemon.info dnsmasq-dhcp[2851]: DHCPDISCOVER(br-lan) 7a:a7:b8:74:e4:56
daemon.info dnsmasq-dhcp[2851]: DHCPOFFER(br-lan) 192.168.1.185 7a:a7:b8:74:e4:56
daemon.info dnsmasq-dhcp[2851]: DHCPDISCOVER(br-lan) 7a:a7:b8:74:e4:56
daemon.info dnsmasq-dhcp[2851]: DHCPOFFER(br-lan) 192.168.1.185 7a:a7:b8:74:e4:56
daemon.info dnsmasq-dhcp[2851]: DHCPDISCOVER(br-lan) 7a:a7:b8:74:e4:56
daemon.info dnsmasq-dhcp[2851]: DHCPOFFER(br-lan) 192.168.1.185 7a:a7:b8:74:e4:56
daemon.info charon: 02[CFG] received DHCP OFFER 192.168.1.185 from 192.168.1.1
daemon.info charon: 09[CFG] sending DHCP REQUEST for 192.168.1.185 to 192.168.1.1
daemon.info dnsmasq-dhcp[2851]: DHCPREQUEST(br-lan) 192.168.1.185 7a:a7:b8:74:e4:56
daemon.info dnsmasq-dhcp[2851]: DHCPACK(br-lan) 192.168.1.185 7a:a7:b8:74:e4:56
daemon.info charon: 02[CFG] received DHCP ACK for 192.168.1.185
daemon.info charon: 09[IKE] assigning virtual IP 192.168.1.185 to peer 'C=US, O=Technicolor, CN=myvpnclient'
daemon.info charon: 09[IKE] peer requested virtual IP %any6
daemon.info charon: 09[IKE] no virtual IP found for %any6 requested by 'C=US, O=Technicolor, CN=myvpnclient'
daemon.info charon: 09[IKE] CHILD_SA roadwarrior{4} established with SPIs c38580b9_i fa6ef6fc_o and TS 0.0.0.0/0 ::/0 === 192.168.1.185/32
authpriv.info charon: 09[IKE] CHILD_SA roadwarrior{4} established with SPIs c38580b9_i fa6ef6fc_o and TS 0.0.0.0/0 ::/0 === 192.168.1.185/32
daemon.info charon: 09[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS NBNS DNS DNS) SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) ]
daemon.info charon: 09[ENC] splitting IKE message with length of 1436 bytes into 2 fragments
daemon.info charon: 09[ENC] generating IKE_AUTH response 1 [ EF(1/2) ]
daemon.info charon: 09[ENC] generating IKE_AUTH response 1 [ EF(2/2) ]
daemon.info charon: 09[NET] sending packet: from 151.41.171.108[4500] to 5.170.242.32[3917] (1248 bytes)
daemon.info charon: 09[NET] sending packet: from 151.41.171.108[4500] to 5.170.242.32[3917] (256 bytes)
daemon.info charon: 16[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 16[ENC] parsed IKE_AUTH request 1 [ EF(1/6) ]
daemon.info charon: 16[ENC] received fragment #1 of 6, waiting for complete IKE message
daemon.info charon: 16[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (304 bytes)
daemon.info charon: 16[ENC] parsed IKE_AUTH request 1 [ EF(6/6) ]
daemon.info charon: 16[ENC] received fragment #6 of 6, waiting for complete IKE message
daemon.info charon: 05[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 05[ENC] parsed IKE_AUTH request 1 [ EF(2/6) ]
daemon.info charon: 05[ENC] received fragment #2 of 6, waiting for complete IKE message
daemon.info charon: 10[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 10[ENC] parsed IKE_AUTH request 1 [ EF(4/6) ]
daemon.info charon: 10[ENC] received fragment #4 of 6, waiting for complete IKE message
daemon.info charon: 14[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 14[ENC] parsed IKE_AUTH request 1 [ EF(5/6) ]
daemon.info charon: 14[ENC] received fragment #5 of 6, waiting for complete IKE message
daemon.info charon: 06[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (304 bytes)
daemon.info charon: 06[ENC] parsed IKE_AUTH request 1 [ EF(6/6) ]
daemon.info charon: 06[ENC] received duplicate fragment #6
daemon.info charon: 11[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 11[ENC] parsed IKE_AUTH request 1 [ EF(1/6) ]
daemon.info charon: 11[ENC] received duplicate fragment #1
daemon.info charon: 12[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 12[ENC] parsed IKE_AUTH request 1 [ EF(2/6) ]
daemon.info charon: 12[ENC] received duplicate fragment #2
daemon.info charon: 08[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 08[ENC] parsed IKE_AUTH request 1 [ EF(3/6) ]
daemon.info charon: 08[ENC] received fragment #3 of 6, reassembling fragmented IKE message
daemon.info charon: 08[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
daemon.info charon: 08[IKE] received retransmit of request with ID 1, retransmitting response
daemon.info charon: 08[NET] sending packet: from 151.41.171.108[4500] to 5.170.242.32[3917] (1248 bytes)
daemon.info charon: 08[NET] sending packet: from 151.41.171.108[4500] to 5.170.242.32[3917] (256 bytes)
daemon.info charon: 13[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 13[ENC] parsed IKE_AUTH request 1 [ EF(4/6) ]
daemon.info charon: 13[ENC] received fragment #4 of 6, waiting for complete IKE message
daemon.info charon: 15[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 15[ENC] parsed IKE_AUTH request 1 [ EF(5/6) ]
daemon.info charon: 15[ENC] received fragment #5 of 6, waiting for complete IKE message
daemon.info charon: 07[NET] received packet: from 5.170.242.32[3917] to 151.41.171.108[4500] (576 bytes)
daemon.info charon: 07[ENC] parsed IKE_AUTH request 1 [ EF(3/6) ]
daemon.info charon: 07[ENC] received fragment #3 of 6, waiting for complete IKE message
daemon.info dnsmasq-dhcp[2851]: DHCPINFORM(pppoe-wan) 192.168.1.185 00:ff:e4:ad:0f:34:b8:e7:4f:9c:4a:50:ce:5c:b1:fa:f6
daemon.info dnsmasq-dhcp[2851]: DHCPACK(pppoe-wan) 192.168.1.185 00:ff:e4:ad:0f:34:b8:e7:4f:9c:4a:50:ce:5c:b1:fa:f6 Taan
kern.alert kernel: [ 444.069642] Unable to handle kernel NULL pointer dereference at virtual address 00000000
kern.alert kernel: [ 444.069660] pgd = d8f50000
kern.alert kernel: [ 444.069675] [00000000] *pgd=18e66831, *pte=00000000, *ppte=00000000
kern.emerg kernel: [ 444.069704] Internal error: Oops: 80000007 [#1] PREEMPT SMP ARM
kern.warn kernel: [ 444.075202] Modules linked in: sff8472_i2c(O) init_addr( (null) - (null)), core_addr(bfb90000 - bfb90cb8)
kern.warn kernel: [ 444.085323] technicolor_led(O) init_addr( (null) - (null)), core_addr(bfb88000 - bfb89468)
kern.warn kernel: [ 444.094186] ohci_pci init_addr( (null) - (null)), core_addr(bfb84000 - bfb841f4)
kern.warn kernel: [ 444.102168] ohci_platform init_addr( (null) - (null)), core_addr(bfb80000 - bfb80604)
kern.warn kernel: [ 444.110602] ohci_hcd init_addr( (null) - (null)), core_addr(bfb75000 - bfb7a11c)
kern.warn kernel: [ 444.118568] ehci_pci init_addr( (null) - (null)), core_addr(bfb71000 - bfb7159c)
kern.warn kernel: [ 444.126542] ehci_platform init_addr( (null) - (null)), core_addr(bfb6d000 - bfb6d694)
kern.warn kernel: [ 444.134953] ehci_hcd init_addr( (null) - (null)), core_addr(bfb60000 - bfb677e8)
kern.warn kernel: [ 444.142939] bcm_usb init_addr( (null) - (null)), core_addr(bfb5c000 - bfb5c15c)
kern.warn kernel: [ 444.150836] qcserial init_addr( (null) - (null)), core_addr(bfb57000 - bfb57268)
kern.warn kernel: [ 444.158798] option init_addr( (null) - (null)), core_addr(bfb4c000 - bfb4c2ac)
kern.warn kernel: [ 444.166594] usb_wwan init_addr( (null) - (null)), core_addr(bfb47000 - bfb47aec)
kern.warn kernel: [ 444.174566] sierra_net init_addr( (null) - (null)), core_addr(bfb42000 - bfb42ca4)
kern.warn kernel: [ 444.182722] sierra init_addr( (null) - (null)), core_addr(bfb3d000 - bfb3dc1c)
kern.warn kernel: [ 444.190511] rndis_host init_addr( (null) - (null)), core_addr(bfb38000 - bfb38b0c)
kern.warn kernel: [ 444.198667] qmi_wwan init_addr( (null) - (null)), core_addr(bfb32000 - bfb326c0)
kern.warn kernel: [ 444.206639] nf_nat_pptp init_addr( (null) - (null)), core_addr(bfb2e000 - bfb2e458)
kern.warn kernel: [ 444.214879] nf_conntrack_pptp init_addr( (null) - (null)), core_addr(bfb2a000 - bfb2a9f4)
kern.warn kernel: [ 444.223658] nf_conntrack_ipv6 init_addr( (null) - (null)), core_addr(bfb25000 - bfb25e5c)
kern.warn kernel: [ 444.232438] iptable_nat init_addr( (null) - (null)), core_addr(bfb1c000 - bfb1c0c8)
kern.warn kernel: [ 444.240681] ipt_REJECT init_addr( (null) - (null)), core_addr(bfb18000 - bfb18138)
kern.warn kernel: [ 444.248837] ipt_MASQUERADE init_addr( (null) - (null)), core_addr(bfb14000 - bfb140b4)
kern.warn kernel: [ 444.257359] huawei_cdc_ncm init_addr( (null) - (null)), core_addr(bfb10000 - bfb10258)
kern.warn kernel: [ 444.265869] cdc_ncm init_addr( (null) - (null)), core_addr(bfb08000 - bfb0a16c)
kern.warn kernel: [ 444.273755] cdc_ether init_addr( (null) - (null)), core_addr(bfb04000 - bfb0477c)
kern.warn kernel: [ 444.281810] xt_time init_addr( (null) - (null)), core_addr(bfb00000 - bfb0031c)
kern.warn kernel: [ 444.289697] xt_tcpmss init_addr( (null) - (null)), core_addr(bfafc000 - bfafc1c0)
kern.warn kernel: [ 444.297767] xt_string init_addr( (null) - (null)), core_addr(bfaf8000 - bfaf80d0)
kern.warn kernel: [ 444.305823] xt_statistic init_addr( (null) - (null)), core_addr(bfaf4000 - bfaf411c)
kern.warn kernel: [ 444.314161] xt_state init_addr( (null) - (null)), core_addr(bfaf0000 - bfaf00b0)
kern.warn kernel: [ 444.322133] xt_socket init_addr( (null) - (null)), core_addr(bfaec000 - bfaec794)
kern.warn kernel: [ 444.330202] xt_recent init_addr( (null) - (null)), core_addr(bfae7000 - bfae836c)
kern.warn kernel: [ 444.338259] xt_quota init_addr( (null) - (null)), core_addr(bfae3000 - bfae30dc)
kern.warn kernel: [ 444.346231] xt_policy init_addr( (null) - (null)), core_addr(bfadf000 - bfadf4c0)
kern.warn kernel: [ 444.354300] xt_pkttype init_addr( (null) - (null)), core_addr(bfadb000 - bfadb0a0)
kern.warn kernel: [ 444.362455] xt_physdev init_addr( (null) - (null)), core_addr(bfad7000 - bfad72b8)
kern.warn kernel: [ 444.370609] xt_owner init_addr( (null) - (null)), core_addr(bfad3000 - bfad319c)
kern.warn kernel: [ 444.378580] xt_nat init_addr( (null) - (null)), core_addr(bfacf000 - bfacf518)
kern.warn kernel: [ 444.386381] xt_multiport init_addr( (null) - (null)), core_addr(bfacb000 - bfacb29c)
kern.warn kernel: [ 444.394705] xt_mark init_addr( (null) - (null)), core_addr(bfac7000 - bfac7074)
kern.warn kernel: [ 444.402591] xt_mac init_addr( (null) - (null)), core_addr(bfac3000 - bfac3090)
kern.warn kernel: [ 444.410392] xt_limit init_addr( (null) - (null)), core_addr(bfabf000 - bfabf280)
kern.warn kernel: [ 444.418364] xt_length2(O) init_addr( (null) - (null)), core_addr(bfabb000 - bfabb6ac)
kern.warn kernel: [ 444.426787] xt_length init_addr( (null) - (null)), core_addr(bfab7000 - bfab70ac)
kern.warn kernel: [ 444.434857] xt_iprange init_addr( (null) - (null)), core_addr(bfab3000 - bfab3220)
kern.warn kernel: [ 444.442998] xt_hl init_addr( (null) - (null)), core_addr(bfaaf000 - bfaaf12c)
kern.warn kernel: [ 444.450715] xt_helper init_addr( (null) - (null)), core_addr(bfaab000 - bfaab0f8)
kern.warn kernel: [ 444.458770] xt_hashlimit init_addr( (null) - (null)), core_addr(bfaa6000 - bfaa72e8)
kern.warn kernel: [ 444.467111] xt_esp init_addr( (null) - (null)), core_addr(bfaa2000 - bfaa20dc)
kern.warn kernel: [ 444.474899] xt_ecn init_addr( (null) - (null)), core_addr(bfa9e000 - bfa9e288)
kern.warn kernel: [ 444.482701] xt_dscp init_addr( (null) - (null)), core_addr(bfa9a000 - bfa9a134)
kern.warn kernel: [ 444.490583] xt_conntrack init_addr( (null) - (null)), core_addr(bfa96000 - bfa96644)
kern.warn kernel: [ 444.498914] xt_connmark init_addr( (null) - (null)), core_addr(bfa92000 - bfa92170)
kern.warn kernel: [ 444.507154] xt_connlimit init_addr( (null) - (null)), core_addr(bfa8d000 - bfa8da5c)
kern.warn kernel: [ 444.515493] xt_connbytes init_addr( (null) - (null)), core_addr(bfa89000 - bfa892ac)
kern.warn kernel: [ 444.523819] xt_comment init_addr( (null) - (null)), core_addr(bfa85000 - bfa85014)
kern.warn kernel: [ 444.531973] xt_bpf init_addr( (null) - (null)), core_addr(bfa81000 - bfa81084)
kern.warn kernel: [ 444.539774] xt_addrtype init_addr( (null) - (null)), core_addr(bfa7d000 - bfa7d478)
-
Brutto, dovresti aspettare qualche riscontro da altri che hanno usato i tuoi stessi pacchetti (il mio è un 4131 su kernel 3.4). Io avevo compilato i miei per conto mio e non ti posso garantire che il problema possa essere lì. Di sicuro io quando mi ci connetto da windows o windows mobile non ho quel problema. A proposito, vedi che il certificato usato da ogni client deve essere diverso se vuoi che rimangano connessi in contemporanea (salvo opportuni cambiamenti di configurazione che non consiglio).
-
ok riesumiamo questo vecchio topic
Strongswan IKEv2 roadwarrior
Posseggo due router 4131 Version: 17.2, uno di fastweb collegato alla rete, l'altro 4131 Version: 18.3.n,che sto usando per test,staccando e attancando il cavo dsl, quando gli altri utenti di casa non usano la rete
Sul primo la vpn funziona benissimo, sul secondo utilizzando le medesime configurazioni,e certificati non connette.
Tue Mar 17 17:21:03 2020 daemon.info charon: 14[NET] received packet: from 37.162.144.251[8585] to 93.38.122.x[500] (464 bytes)
Tue Mar 17 17:21:03 2020 daemon.info charon: 14[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Tue Mar 17 17:21:03 2020 daemon.info charon: 14[IKE] 37.162.144.251 is initiating an IKE_SA
Tue Mar 17 17:21:03 2020 authpriv.info charon: 14[IKE] 37.162.144.251 is initiating an IKE_SA
Tue Mar 17 17:21:04 2020 daemon.info charon: 14[IKE] remote host is behind NAT
Tue Mar 17 17:21:04 2020 daemon.info charon: 14[IKE] sending cert request for "C=US, O=openwrt, CN=myvpn"
Tue Mar 17 17:21:04 2020 daemon.info charon: 14[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Tue Mar 17 17:21:04 2020 daemon.info charon: 14[NET] sending packet: from 93.38.122.x[500] to 37.162.144.251[8585] (487 bytes)
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[NET] received packet: from 37.162.144.251[8586] to 93.38.122.x[4500] (1356 bytes)
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[IKE] received cert request for "C=US, O=openwrt, CN=x"
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[IKE] received end entity cert "C=US, O=openwrt, CN=mio nome"
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[CFG] looking for peer configs matching 93.38.122.x[%any]...37.162.144.251[C=US, O=openwrt, CN=mio nome]
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[CFG] selected peer config 'roadwarriorPUBKEY'
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[CFG] using certificate "C=US, O=openwrt, CN=mio nome"
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[CFG] using trusted ca certificate "C=US, O=openwrt, CN=x"
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[CFG] checking certificate status of "C=US, O=openwrt, CN=mio nome"
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[CFG] certificate status is not available
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[CFG] reached self-signed root ca with a path length of 0
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[IKE] authentication of 'C=US, O=openwrt, CN=mio nome' with RSA_EMSA_PKCS1_SHA2_256 successful
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[IKE] peer supports MOBIKE
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[IKE] no private key found for 'il mio ddns'
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Tue Mar 17 17:21:04 2020 daemon.info charon: 15[NET] sending packet: from 93.38.122.x[4500] to 37.162.144.251[8586] (76 bytes)
-
prova un attimo invertendo i dns che utilizzano i due modem, mi sembra semplicemente che il client non comunica la chiave per il login
-
prova un attimo invertendo i dns:
li posso collegare uno alla volta non sono collegati assieme
questo sul router col vecchio firmware la prima parte della connessione e' uguale,questa e' la seconda
2020 daemon.info syslog: 03[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[IKE] peer supports MOBIKE
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[IKE] authentication of 'il mio ddns' (myself) with RSA_EMSA_PKCS1_SHA256 successful
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[IKE] IKE_SA roadwarriorPUBKEY[33] established between 93.38.122.x[il mio ddns]...37.162.190.219[C=US, O=openwrt, CN=mio nome]
Tue Mar 17 22:00:00 2020 authpriv.info syslog: 03[IKE] IKE_SA roadwarriorPUBKEY[33] established between 93.38.122.x[il mio ddns]...37.162.190.219[C=US, O=openwrt, CN=mio nome]
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[IKE] scheduling reauthentication in 9867s
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[IKE] maximum IKE_SA lifetime 10407s
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[IKE] sending end entity cert "C=US, O=openwrt, CN=il mio ddns"
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[IKE] peer requested virtual IP %any
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[CFG] sending DHCP DISCOVER to 192.168.1.255
Tue Mar 17 22:00:00 2020 daemon.info syslog: 02[CFG] received DHCP OFFER 192.168.1.16 from 192.168.1.1
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[CFG] sending DHCP REQUEST for 192.168.1.16 to 192.168.1.1
Tue Mar 17 22:00:00 2020 daemon.info syslog: 05[CFG] received DHCP ACK for 192.168.1.16
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[IKE] assigning virtual IP 192.168.1.16 to peer 'C=US, O=openwrt, CN=mio nome'
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[IKE] peer requested virtual IP %any6
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[IKE] no virtual IP found for %any6 requested by 'C=US, O=openwrt, CN=mio nome'
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[IKE] CHILD_SA roadwarriorPUBKEY{39} established with SPIs c3de8297_i 48ee785e_o and TS 0.0.0.0/0 ::/0 === 192.168.1.16/32
Tue Mar 17 22:00:00 2020 authpriv.info syslog: 03[IKE] CHILD_SA roadwarriorPUBKEY{39} established with SPIs c3de8297_i 48ee785e_o and TS 0.0.0.0/0 ::/0 === 192.168.1.16/32
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS NBNS DNS) SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) ]
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[ENC] splitting IKE message with length of 1132 bytes into 3 fragments
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[ENC] generating IKE_AUTH response 1 [ EF(1/3) ]
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[ENC] generating IKE_AUTH response 1 [ EF(2/3) ]
Tue Mar 17 22:00:00 2020 daemon.info syslog: 03[ENC] generating IKE_AUTH response 1 [ EF(3/3) ]
-
Quello sulla 18.x dice che non gli hai messo le chiavi private, forse gli hai copiato solo i certificati?
-
Ho copiato :
cacert.pem nella cartella cacerts, servercert.pem nella cartella certs, serverkey.pem nella cartella private,gli stessi che trovo nella versione funzionante.
ipsec restart:
Mar 18 00:56:45 2020 authpriv.info ipsec_starter[6612]: charon stopped after 200 ms
Wed Mar 18 00:56:45 2020 authpriv.info ipsec_starter[6612]: ipsec starter stopped
Wed Mar 18 00:56:48 2020 authpriv.info ipsec_starter[13540]: Starting strongSwan 5.6.3 IPsec [starter]...
Wed Mar 18 00:56:48 2020 daemon.err modprobe: ah4 is already loaded
Wed Mar 18 00:56:48 2020 daemon.err modprobe: esp4 is already loaded
Wed Mar 18 00:56:49 2020 daemon.err modprobe: ipcomp is already loaded
Wed Mar 18 00:56:49 2020 daemon.err modprobe: xfrm4_tunnel is already loaded
Wed Mar 18 00:56:49 2020 daemon.err modprobe: xfrm_user is already loaded
Wed Mar 18 00:56:49 2020 daemon.info charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l)
Wed Mar 18 00:56:49 2020 daemon.info charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Wed Mar 18 00:56:49 2020 daemon.info charon: 00[CFG] loaded ca certificate "C=US, O=openwrt, CN=x" from '/etc/ipsec.d/cacerts/caCert.pem'
Wed Mar 18 00:56:49 2020 daemon.info charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Wed Mar 18 00:56:49 2020 daemon.info charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Wed Mar 18 00:56:49 2020 daemon.info charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Wed Mar 18 00:56:49 2020 daemon.info charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Wed Mar 18 00:56:49 2020 daemon.info charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Wed Mar 18 00:56:49 2020 daemon.info charon: 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default connmark stroke updown xauth-generic
Wed Mar 18 00:56:49 2020 daemon.info charon: 00[JOB] spawning 16 worker threads
Wed Mar 18 00:56:49 2020 authpriv.info ipsec_starter[13563]: charon (13564) started after 60 ms
Wed Mar 18 00:56:49 2020 daemon.info charon: 05[CFG] received stroke: add connection 'roadwarriorPUBKEY'
Wed Mar 18 00:56:49 2020 daemon.info charon: 05[CFG] loaded certificate "C=US, O=openwrt, CN=il mio ip" from 'serverCert.pem'
Wed Mar 18 00:56:49 2020 daemon.info charon: 05[CFG] added configuration 'roadwarriorPUBKEY'
Wed Mar 18 00:56:50 2020 authpriv.info ipsec_starter[13581]: Starting strongSwan 5.6.3 IPsec [starter]...
Wed Mar 18 00:56:50 2020 authpriv.info ipsec_starter[13581]: charon is already running (/var/run/charon.pid exists) -- skipping daemon start
Wed Mar 18 00:56:50 2020 daemon.err modprobe: ah4 is already loaded
Wed Mar 18 00:56:50 2020 daemon.err modprobe: esp4 is already loaded
Wed Mar 18 00:56:50 2020 daemon.err modprobe: ipcomp is already loaded
Wed Mar 18 00:56:51 2020 daemon.err modprobe: xfrm4_tunnel is already loaded
Wed Mar 18 00:56:51 2020 daemon.err modprobe: xfrm_user is already loaded
Wed Mar 18 00:56:51 2020 authpriv.info ipsec_starter[13581]: starter is already running (/var/run/starter.charon.pid exists) -- no fork done
Wed Mar 18 00:56:56 2020 authpriv.info ipsec_starter[13595]: Starting strongSwan 5.6.3 IPsec [starter]...
Wed Mar 18 00:56:56 2020 authpriv.info ipsec_starter[13595]: charon is already running (/var/run/charon.pid exists) -- skipping daemon start
Wed Mar 18 00:56:56 2020 daemon.err modprobe: ah4 is already loaded
Wed Mar 18 00:56:56 2020 daemon.err modprobe: esp4 is already loaded
Wed Mar 18 00:56:56 2020 daemon.err modprobe: ipcomp is already loaded
Wed Mar 18 00:56:56 2020 daemon.err modprobe: xfrm4_tunnel is already loaded
Wed Mar 18 00:56:56 2020 daemon.err modprobe: xfrm_user is already loaded
Wed Mar 18 00:56:56 2020 authpriv.info ipsec_starter[13595]: starter is already running (/var/run/starter.charon.pid exists) -- no fork done
Wed Mar 18 00:57:01 2020 authpriv.info ipsec_starter[13606]: Starting strongSwan 5.6.3 IPsec [starter]...
Wed Mar 18 00:57:01 2020 authpriv.info ipsec_starter[13606]: charon is already running (/var/run/charon.pid exists) -- skipping daemon start
Wed Mar 18 00:57:01 2020 daemon.err modprobe: ah4 is already loaded
Wed Mar 18 00:57:01 2020 daemon.err modprobe: esp4 is already loaded
Wed Mar 18 00:57:01 2020 daemon.err modprobe: ipcomp is already loaded
Wed Mar 18 00:57:01 2020 daemon.err modprobe: xfrm4_tunnel is already loaded
Wed Mar 18 00:57:01 2020 daemon.err modprobe: xfrm_user is already loaded
Wed Mar 18 00:57:01 2020 authpriv.info ipsec_starter[13606]: starter is already running (/var/run/starter.charon.pid exists) -- no fork done
Wed Mar 18 00:57:02 2020 user.err lua: [defaultGW] Ignoring improper event
Wed Mar 18 00:57:06 2020 authpriv.info ipsec_starter[13620]: Starting strongSwan 5.6.3 IPsec [starter]...
Wed Mar 18 00:57:06 2020 authpriv.info ipsec_starter[13620]: charon is already running (/var/run/charon.pid exists) -- skipping daemon start
Wed Mar 18 00:57:06 2020 daemon.err modprobe: ah4 is already loaded
Wed Mar 18 00:57:06 2020 daemon.err modprobe: esp4 is already loaded
Wed Mar 18 00:57:06 2020 daemon.err modprobe: ipcomp is already loaded
Wed Mar 18 00:57:06 2020 daemon.err modprobe: xfrm4_tunnel is already loaded
Wed Mar 18 00:57:06 2020 daemon.err modprobe: xfrm_user is already loaded
Wed Mar 18 00:57:06 2020 authpriv.info ipsec_starter[13620]: starter is already running (/var/run/starter.charon.pid exists) -- no fork done
Wed Mar 18 00:57:11 2020 authpriv.info ipsec_starter[13663]: Starting strongSwan 5.6.3 IPsec [starter]...
Wed Mar 18 00:57:11 2020 authpriv.info ipsec_starter[13663]: charon is already running (/var/run/charon.pid exists) -- skipping daemon start
Wed Mar 18 00:57:11 2020 daemon.err modprobe: ah4 is already loaded
Wed Mar 18 00:57:11 2020 daemon.err modprobe: esp4 is already loaded
Wed Mar 18 00:57:11 2020 daemon.err modprobe: ipcomp is already loaded
Wed Mar 18 00:57:11 2020 daemon.err modprobe: xfrm4_tunnel is already loaded
Wed Mar 18 00:57:11 2020 daemon.err modprobe: xfrm_user is already loaded
Wed Mar 18 00:57:11 2020 authpriv.info ipsec_starter[13663]: starter is already running (/var/run/starter.charon.pid exists) -- no fork done
Wed Mar 18 00:57:11 2020 daemon.info procd: Instance ipsec::instance1 s in a crash loop 6 crashes, 0 seconds since last crash
c'e' qualcosa che non torna!! sembra che il processo riparta piu' volte
edit @LuKePicci hai fatto centro, non carica la key questo sotto manca nel log della versione 5.6.3
loaded RSA private key from '/etc/ipsec.d/private/serverKey.pem'(questo e' nel log della versione 5.3)
Manca qualche pacchetto?
-
Cos'hai in /etc/ipsec.secrets?
-
Non l'avevo messo!!??!!
ora l'ho messo, da errori:
Wed Mar 18 07:40:51 2020 daemon.info charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Wed Mar 18 07:40:51 2020 daemon.info charon: 00[LIB] building CRED_PRIVATE_KEY - RSA failed, tried 5 builders
Wed Mar 18 07:40:51 2020 daemon.info charon: 00[CFG] loading private key from '/etc/ipsec.d/private/serverKey.pem' failed
Wed Mar 18 07:40:51 2020 daemon.info charon: 00[CFG] loaded EAP secret for prova
Wed Mar 18 07:40:51 2020 daemon.info charon: 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default connmark stroke updown xauth-generic
-
@LuKePicci
Ho notato ora che non mi ha installato tutti i pacchetti di strongswan, non essendoci il pacchetto strongswan full, ora li sto installando uno ad uno,non esiste un altro comando per installarli tutti?
-
@a1pollo l'hai installato con lo script? tieni traccia dei pacchetti che installi per farlo funzionare
-
Ciao @FrancYescO, l'ho installato a mano:
opkg update
opkg install strongswan(che ha installato solo 1 pacchetto)
opkg install strongswan-default (che ha installato un po di pacchetti che vedi sotto)
strongswan
strongswan-charon
strongswan-default
strongswan-ipsec
strongswan-mod-aes
strongswan-mod-attr
strongswan-mod-connmark
strongswan-mod-constraints
strongswan-mod-des
strongswan-mod-dnskey
strongswan-mod-fips-prf
strongswan-mod-gmp
strongswan-mod-hmac
strongswan-mod-kernel-netlink
strongswan-mod-md5
strongswan-mod-nonce
strongswan-mod-pem
strongswan-mod-pgp
strongswan-mod-pkcs1
strongswan-mod-pubkey
strongswan-mod-random
strongswan-mod-rc2
strongswan-mod-resolve
strongswan-mod-revocation
strongswan-mod-sha1
strongswan-mod-sha2
strongswan-mod-socket-default
strongswan-mod-sshkey
strongswan-mod-stroke
strongswan-mod-updown
strongswan-mod-x509
strongswan-mod-xauth-generic
strongswan-mod-xcbc
-
Quando aggiornerò il mio farò l'elenco esatto di quello che serve. Nel frattempo l'unica opzione è partire da strongswan-default e aggiungere mano mano quello che c'è di rilevante in strongswan-full. Una alternativa potrebbe essere quella di modificare il manifest del pacchetto strongswan-full per evitare che si porti dietro le varie dipendenze, oppure (io farei così) ti scarichi tutti i pacchetti di strongswan che trovi nella repo, li metti su una usb, togli i feed da opkg, e provi ad installarli con "opkg install strongswan-*.ipk", ti dovrebbe dare errore per ogni dipendenza mancante, quelle che vanno installate perchè servono e non sono già installate da tch le prendi dalla repo le metti nell'usb e le aggiungi al comando "opkg install strongswan-*.ipk dipendenza.ipk", quelle che invece lui vuole che vengano installate ma che in realtà non servono, o sono moduli kmod noti come non compatibili, o che lui vuole installare ma in realtà sono già installate ad altra versione, le ignori e forzi l'installazione perchè avvenga senza di esse. Se gli lasci installare una dipendenza che già c'è installata su versione differente, con buona probabilità e salvo poche eccezioni ti si spacca qualcosa.
-
Si hai ragione, io preso dalla foga ho installato tutti i pacchetti manualmente, ed ipsec va in bootloop,ma non il router :rotfl:
Ho la lista di tutti i pacchetti installati nella versione precedente,quindi cerchero' di installare solo quelli.
Nel setting di strongswan.conf cambia l'ultima riga:
prima) include strongswan.d/charon/*.conf(che comunque rimane nella configurazione due righe sopra)
dopo) include strongswan.d/*.conf
Poi durante l'installazione da' questi errori(ma lascio quelle gia' installate):
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest
-
@LuKePicci , @FrancYescO, ok ci sono riuscito questi i pacchetti che ho installato dai feed, senza rimozione librerie:
opkg install strongswn-default
opkg install strongswan-mod-cmac strongswan-mod-coupling
opkg install strongswan-mod-ctr strongswan-mod-curl strongswan-mod-dhcp strongswan-mod-duplicheck
opkg install strongswan-mod-eap-identity strongswan-mod-eap-md5 strongswan-mod-eap-mschapv2 strongswan-mod-eap-radius
opkg install strongswan-mod-eap-tls strongswan-mod-farp strongswan-mod-gcm strongswan-mod-gcrypt
opkg install strongswan-mod-ha strongswan-mod-ldap strongswan-mod-led strongswan-mod-load-tester
opkg install strongswan-mod-md4 strongswan-mod-mysql strongswan-mod-openssl strongswan-mod-pkcs11
opkg install strongswan-mod-pkcs12 strongswan-mod-pkcs7 strongswan-mod-pkcs8 strongswan-mod-smp
opkg install strongswan-mod-sql strongswan-mod-sqlite strongswan-mod-test-vectors
opkg install strongswan-mod-uci strongswan-mod-unity strongswan-mod-whitelist strongswan-mod-xauth-eap strongswan-utils
pacchetti mancanti:
strongswan-mod-ctr.
strongswan-utils.
-
Che significa che quei due pacchetti sono mancanti?
Quei tre strongswan-mod-sql strongswan-mod-sqlite e strongswan-mod-MySQL di sicuro non servono, se vi trovaste a configurarlo su un device con poco spazio potete rimuoverli e risparmiare parecchio. Un altro che non serve e che mi ricordo è strongswan-mod-ldap.
Quelli che invece servono di sicuro o possono servire a seconda delle situazioni che ci interessano sono: strongswan-mod-dhcp strongswan-mod-eap-identity strongswan-mod-eap-mschapv2 strongswan-mod-eap-tls strongswan-mod-farp strongswan-mod-gcm strongswan-mod-ha strongswan-mod-openssl strongswan-mod-pkcs11 strongswan-mod-pkcs12 strongswan-mod-pkcs7 strongswan-mod-pkcs8 strongswan-mod-smp strongswan-mod-xauth-eap
strongswan-utils mi pare servisse se si vogliono generare le chiavi sul router, se serve conviene rimuoverlo una volta finito perchè è grossicello.
Quelli che non ho menzionato o non servono, o sono dipendenze di quelli sopra, o non me li ricordo, ma comunque occupano poco spazio e non c'è motivo per scartarli.
Se vi serve per confronto, questa è la lista dei pacchetti che ho io attualmente installato in aggiunta/sostituzione di quelli preinstallati.
root@OpenWrt:/overlay/bank_2/usr/lib/opkg/info# ls *.list
aria2.list strongswan-mod-agent.list strongswan-mod-ha.list strongswan-mod-sha2.list
ca-certificates.list strongswan-mod-attr-sql.list strongswan-mod-hmac.list strongswan-mod-smp.list
htop.list strongswan-mod-attr.list strongswan-mod-kernel-netlink.list strongswan-mod-socket-default.list
https-certificates.list strongswan-mod-blowfish.list strongswan-mod-ldap.list strongswan-mod-sql.list
i2c-tools.list strongswan-mod-ccm.list strongswan-mod-led.list strongswan-mod-sqlite.list
iperf3.list strongswan-mod-cmac.list strongswan-mod-load-tester.list strongswan-mod-sshkey.list
kmod-fs-exfat.list strongswan-mod-constraints.list strongswan-mod-md4.list strongswan-mod-stroke.list
libblkid.list strongswan-mod-coupling.list strongswan-mod-md5.list strongswan-mod-test-vectors.list
libevent2.list strongswan-mod-ctr.list strongswan-mod-mysql.list strongswan-mod-uci.list
libgmp.list strongswan-mod-curl.list strongswan-mod-nonce.list strongswan-mod-unity.list
libncurses.list strongswan-mod-des.list strongswan-mod-openssl.list strongswan-mod-updown.list
libopenssl.list strongswan-mod-dhcp.list strongswan-mod-pem.list strongswan-mod-whitelist.list
libstdcpp.list strongswan-mod-dnskey.list strongswan-mod-pgp.list strongswan-mod-x509.list
nano.list strongswan-mod-duplicheck.list strongswan-mod-pkcs1.list strongswan-mod-xauth-eap.list
openssl-util.list strongswan-mod-eap-identity.list strongswan-mod-pkcs11.list strongswan-mod-xauth-generic.list
socat.list strongswan-mod-eap-md5.list strongswan-mod-pkcs12.list strongswan-mod-xcbc.list
sqm-scripts.list strongswan-mod-eap-mschapv2.list strongswan-mod-pkcs7.list strongswan-utils.list
strongswan-charon.list strongswan-mod-eap-radius.list strongswan-mod-pkcs8.list strongswan.list
strongswan-default.list strongswan-mod-eap-tls.list strongswan-mod-pubkey.list terminfo.list
strongswan-libtls.list strongswan-mod-farp.list strongswan-mod-random.list transmission-daemon.list
strongswan-minimal.list strongswan-mod-fips-prf.list strongswan-mod-rc2.list wget.list
strongswan-mod-addrblock.list strongswan-mod-gcm.list strongswan-mod-resolve.list
strongswan-mod-aes.list strongswan-mod-gcrypt.list strongswan-mod-revocation.list
strongswan-mod-af-alg.list strongswan-mod-gmp.list strongswan-mod-sha1.list
-
I pacchetti mancanti non sono sui feed, gli altri li ho verificati dall'installazione del router vers.17,che sarebbero quelli che installava con:
opkg install strongswan-full.
Strongswan-mod-dhcp, io l'ho configurato per farmi dare sempre gli stessi indirizzi sulla lan, equivalenti a quelli del dhcp, e funziona.
-
ciao anche io ho un DGA4131 17.2
mi potresti, @a1pollo, postare questi file di configurazione per favore
cat /etc/opkg.conf
cat /etc/opkg/distfeeds.conf
cat /etc/opkg/customfeeds.conf
grazie mille
-
@spleen2060
Ok questa e' quella che sto usando ora sulla ver 17.2. :
root@OpenWrt:~# cat /etc/opkg.conf
arch all 100
arch brcm63xx 200
arch brcm63xx-tch 300
root@OpenWrt:~# cat /etc/opkg/distfeeds.conf
src/gz base https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/base
src/gz luci https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/luci
src/gz management https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/management
src/gz packages https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/packages
src/gz routing https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/routing
src/gz telephony https://raw.githubusercontent.com/BoLaMN/brcm63xx-tch/master/packages/telephony
root@OpenWrt:~# cat /etc/opkg/customfeeds.conf
# add your custom package feeds here
#
src/gz example_feed_name http://www.example.com/path/to/files
src/gz chaos_calmer_base https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/base
src/gz chaos_calmer_packages https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/packages
src/gz chaos_calmer_luci https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/luci
src/gz chaos_calmer_routing https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/routing
src/gz chaos_calmer_telephony https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/telephony
src/gz chaos_calmer_management https://repository.ilpuntotecnico.com/files/roleo/public/agtef/1.1.0/brcm63xx-tch/packages/management
Feed ne ho provato altri ma danno errori, Roleo 1.1.0 e BoLaMN sono i piu' compatibili
-
...
Feed ne ho provato altri ma danno errori, Roleo 1.1.0 e BoLaMN sono i piu' compatibili
grazie mille
-
Buongiorno @a1pollo , ho visto che stai provando ad installare strongswan su un 4131 ver.18, sei riuscito e se si come? Io, prima di resettarlo, ero riuscito a farlo funzionare in solo Ike2 con l'app su android ma niente da fare con Mac, Windows e iOS.
Avevo seguito lo script di @FrancYescO ma poi mi sono un po' perso :-\ ::)
Hai qualche suggerimento?
-
che problemi hai? se ricordo bene io su Mac l'ho provato...
posta qualche log mentre provi la connessione
-
Come ho scritto prima, ho resecato e non ho ancora preinstallato la VPN. Proprio per questo, prima di fare operazioni inutili o peggio dannose, volevo capire quale guida avevi seguito od eventualmente come avevi operato.
Te ne sarei grato :pray:
-
Con android sei riuscito? se il servizio e' attivo il problema sono i certificati, infatti le prime volte che mi loggavo funzionavano solo su android, e non su windows, poi dopo svariate ricerche e prove, e grazie ai consigli di Larsen lasciati in vari post e script di Francyesco, li ho rigenerati.
Li ho generati su macchina virtale ubuntu.
-
Ok ! allora reinstallo e vediamo. Grazie per ora ;)
-
@a1pollo cioè i certificati che genera lo script vanno bene solo su android?
-
Ciao, io uso strongswan senza il tuo script, ho usato lo script" come riferimento", io all'inizio usavo la generazione di certificati come scritto da guida di openwrt, che funzionavano solo su android, su windows no, ora li genero cosi',ho memorizzato la procedura su un file:
#!/bin/sh
orgName="openwrt"
caName="myvpn"
ddns_domain="metti qui il tuo ddns"
bit_rsa="4096" ## 1024 / 2048 / 4096
## authority cert
openssl req -new -x509 -days 3650 \
-newkey rsa:$bit_rsa -nodes \
-subj "/C=US/O=$orgName/CN=$caName" \
-keyout caKey.pem -out caCert.pem
## vpn server cert
openssl req -new -newkey rsa:$bit_rsa -nodes \
-subj "/C=US/O=$orgName/CN=$ddns_domain" \
-keyout serverKey.pem -out serverCert.pem
cat << EOF >> confile
[req_ext]
subjectAltName = DNS:$ddns_domain
extendedKeyUsage = 1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.8.2.2
EOF
openssl x509 -req -in serverCert.pem -days 3650 \
-CA caCert.pem -CAkey caKey.pem -CAcreateserial \
-out serverCert.pem \
-extensions req_ext -extfile confile
## user cert
#openssl req -new -newkey rsa:$bit_rsa -nodes \
#-subj "/C=US/O=$orgName/CN=$vpnclientName" \
#-keyout clientKey.pem -out clientCert.pem
#openssl x509 -req -in clientCert.pem -days 1095 \
#-CA caCert.pem -CAkey caKey.pem -CAcreateserial \
#-out clientCert.pem
#user cert clientCert.pem "nome"Cert.p12
ipsec pki --pub --in clientKey.pem | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "C=US, O=openwrt, CN=pc1" --san="pc1" --outform pem > clientCert.pem
openssl pkcs12 -export -inkey clientKey.pem -in clientCert.pem -name "pc1" -certfile caCert.pem -caname "myvpn" -out "pc1""Cert.p12"
#continuare come sotto
#ipsec pki --pub --in clientKey.pem | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem --dn "C=US, O=openwrt, CN=pc2" --san="pc2" --outform pem > clientCert.pem
#openssl pkcs12 -export -inkey clientKey.pem -in clientCert.pem -name "pc2" -certfile caCert.pem -caname "myvpn" -out "pc2""Cert.p12"
@FrancYescO, volevo chiederti se riesci a fare uno script per fare solo i certificati per piu' utenti, magari richiedendo il numero o il nome, in modo che li generi tutti in automatico, io non riesco.
-
Lo script è sicuramente basato su una versione vecchia della pagina a cui sono state apportati vari correttivi (alcuni critici, come nel firewall ad esempio) e miglioria tra la generazione di certificati multipli per più utenti e il supporto simultaneo a quante più configurazioni possibili, ma ti confermo che la versione dei certificati generata dallo script è comunque sufficientemente nuova da essere compatibile con sia con windows come machine certificates (per pubkey), sia su windows e windows phone come certificati utente (per eap-tls) sia su android. Di recente hanno anche migliorato e probabilmente corretto il supporto ad iOS.
-
Ho aggiornato lo script allineandolo alla wiki, se qualcuno vuole fargli fare un giro...
curl -s https://raw.githubusercontent.com/FrancYescO/sharing_tg789/strongswan/setup.sh | sh
i certificati da posizionare sui client verranno messi in /etc/ipsec.d/private, di default genera 1client, i certificati senza password e usa come dominio quello impostato nel DDNS, ma è tutto facilmente modificabile cambiando le variabili nell'intestazione
PS. attenzione che,almeno per ora, non sopporta run multipli, rompe le config del firewall.
-
Ciao @FrancYescO,
Ho voluto provare ad installare il tuo script, solo per "test installazione" in quanto ora e' settato come ap, e non posso spostare o modificare.
Il router e' il modello dgn4131 agg. alla versione 18,(sulla versione 17, il pacchetto strongswan-pki non e' sui feed e quindi non puo' generare i certificati).
Questi sono i pacchetti che mi ha installato:
strongswan
5.6.3-3
strongswan-charon
5.6.3-3
strongswan-default
5.6.3-3
strongswan-ipsec
5.6.3-3
strongswan-mod-aes
5.6.3-3
strongswan-mod-attr
5.6.3-3
strongswan-mod-connmark
5.6.3-3
strongswan-mod-constraints
5.6.3-3
strongswan-mod-des
5.6.3-3
strongswan-mod-dhcp
5.6.3-3
strongswan-mod-dnskey
5.6.3-3
strongswan-mod-fips-prf
5.6.3-3
strongswan-mod-gmp
5.6.3-3
strongswan-mod-hmac
5.6.3-3
strongswan-mod-kernel-netlink
5.6.3-3
strongswan-mod-md5
5.6.3-3
strongswan-mod-nonce
5.6.3-3
strongswan-mod-pem
5.6.3-3
strongswan-mod-pgp
5.6.3-3
strongswan-mod-pkcs1
5.6.3-3
strongswan-mod-pubkey
5.6.3-3
strongswan-mod-random
5.6.3-3
strongswan-mod-rc2
5.6.3-3
strongswan-mod-resolve
5.6.3-3
strongswan-mod-revocation
5.6.3-3
strongswan-mod-sha1
5.6.3-3
strongswan-mod-sha2
5.6.3-3
strongswan-mod-socket-default
5.6.3-3
strongswan-mod-sshkey
5.6.3-3
strongswan-mod-stroke
5.6.3-3
strongswan-mod-updown
5.6.3-3
strongswan-mod-x509
5.6.3-3
strongswan-mod-xauth-generic
5.6.3-3
strongswan-mod-xcbc
5.6.3-3
strongswan-pki
5.6.3-3
Sul repository vi sono tutti questi (dovrebbero servire anche strongswan-mod-eap-**?)
strongswan
strongswan-charon
strongswan-charon-cmd
strongswan-default
strongswan-ipsec
strongswan-isakmp
strongswan-libtls
strongswan-minimal
strongswan-mod-addrblock
strongswan-mod-aes
strongswan-mod-af-alg
strongswan-mod-agent
strongswan-mod-attr
strongswan-mod-attr-sql
strongswan-mod-ccm
strongswan-mod-cmac
strongswan-mod-connmark
strongswan-mod-constraints
strongswan-mod-coupling
strongswan-mod-curl
strongswan-mod-curve25519
strongswan-mod-des
strongswan-mod-dhcp
strongswan-mod-dnskey
strongswan-mod-duplicheck
strongswan-mod-eap-identity
strongswan-mod-eap-md5
strongswan-mod-eap-mschapv2
strongswan-mod-eap-radius
strongswan-mod-eap-tls
strongswan-mod-farp
strongswan-mod-fips-prf
strongswan-mod-forecast
strongswan-mod-gcm
strongswan-mod-gcrypt
StrongSwan libgcrypt plugin
strongswan-mod-gmpdh
strongswan-mod-ha
strongswan-mod-hmac
strongswan-mod-kernel-libipsec
strongswan-mod-kernel-netlink
strongswan-mod-ldap
strongswan-mod-led
strongswan-mod-load-tester
strongswan-mod-md4
strongswan-mod-md5
strongswan-mod-mysql
strongswan-mod-nonce
strongswan-mod-openssl
strongswan-mod-pem
strongswan-mod-pgp
strongswan-mod-pkcs1
strongswan-mod-pkcs11
strongswan-mod-pkcs12
strongswan-mod-pkcs7
strongswan-mod-pkcs8
strongswan-mod-pubkey
strongswan-mod-random
strongswan-mod-rc2
strongswan-mod-resolve
strongswan-mod-revocation
strongswan-mod-sha1
strongswan-mod-sha2
strongswan-mod-smp
strongswan-mod-socket-default
strongswan-mod-socket-dynamic
strongswan-mod-sql
strongswan-mod-sqlite
strongswan-mod-sshkey
strongswan-mod-stroke
strongswan-mod-test-vectors
strongswan-mod-uci
strongswan-mod-unity
strongswan-mod-updown
strongswan-mod-vici
strongswan-mod-whitelist
strongswan-mod-x509
strongswan-mod-xauth-eap
strongswan-mod-xauth-generic
strongswan-mod-xcbc
strongswan-pki
strongswan-scepclient
strongswan-swanctl
I certificati sono stati creati e spostati nelle varie cartelle, anche se nella cartella /tmp/ rimangono:
caCert.crt caKey.pem ,al riavvio dovremmo perderli (non potrei generare ulteriori certificati?Non importa e' giusto per farti un report).
Questo e' un log del servizio:
Sun Apr 26 13:08:16 2020 authpriv.info ipsec_starter[2047]: Starting strongSwan 5.6.3 IPsec [starter]...
Sun Apr 26 13:08:16 2020 daemon.err modprobe: ah4 is already loaded
Sun Apr 26 13:08:16 2020 daemon.err modprobe: esp4 is already loaded
Sun Apr 26 13:08:16 2020 daemon.err modprobe: ipcomp is already loaded
Sun Apr 26 13:08:16 2020 daemon.err modprobe: xfrm4_tunnel is already loaded
Sun Apr 26 13:08:16 2020 daemon.err modprobe: xfrm_user is already loaded
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l)
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loaded ca certificate "C=US, O=Technicolor, CN=CATechnicolor" from '/etc/ipsec.d/cacerts/caCert.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loaded RSA private key from '/etc/ipsec.d/private/serverKey_.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[CFG] loaded EAP secret for remoteusername
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default connmark stroke updown xauth-generic dhcp
Sun Apr 26 13:08:16 2020 daemon.info charon: 00[JOB] spawning 16 worker threads
Sun Apr 26 13:08:16 2020 authpriv.info ipsec_starter[2047]: charon (2066) started after 60 ms
Sun Apr 26 13:08:16 2020 daemon.info charon: 05[CFG] received stroke: add connection 'rwEAPMSCHAPV2'
Sun Apr 26 13:08:16 2020 daemon.info charon: 05[CFG] adding virtual IP address pool 10.0.1.0/24
Sun Apr 26 13:08:16 2020 daemon.info charon: 05[CFG] loaded certificate "C=US, O=Technicolor, CN=" from 'serverCert_.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 05[CFG] id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN='
Sun Apr 26 13:08:16 2020 daemon.info charon: 05[CFG] added configuration 'rwEAPMSCHAPV2'
Sun Apr 26 13:08:16 2020 daemon.info charon: 07[CFG] received stroke: add connection 'rwPUBKEYIOS'
Sun Apr 26 13:08:16 2020 daemon.info charon: 07[CFG] reusing virtual IP address pool 10.0.1.0/24
Sun Apr 26 13:08:16 2020 daemon.info charon: 07[CFG] loaded certificate "C=US, O=Technicolor, CN=" from 'serverCert_.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 07[CFG] id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN='
Sun Apr 26 13:08:16 2020 daemon.info charon: 07[CFG] loaded certificate "C=US, O=Technicolor, CN=myvpnclient1" from 'clientCert_myvpnclient1.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 07[CFG] id 'SHAREDSAN' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 13:08:16 2020 daemon.info charon: 07[CFG] added configuration 'rwPUBKEYIOS'
Sun Apr 26 13:08:16 2020 daemon.info charon: 09[CFG] received stroke: add connection 'rwEAPTLSIOS'
Sun Apr 26 13:08:16 2020 daemon.info charon: 09[CFG] reusing virtual IP address pool 10.0.1.0/24
Sun Apr 26 13:08:16 2020 daemon.info charon: 09[CFG] loaded certificate "C=US, O=Technicolor, CN=" from 'serverCert_.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 09[CFG] id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN='
Sun Apr 26 13:08:16 2020 daemon.info charon: 09[CFG] loaded certificate "C=US, O=Technicolor, CN=myvpnclient1" from 'clientCert_myvpnclient1.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 09[CFG] id 'SHAREDSAN' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 13:08:16 2020 daemon.info charon: 09[CFG] added configuration 'rwEAPTLSIOS'
Sun Apr 26 13:08:16 2020 daemon.info charon: 11[CFG] received stroke: add connection 'rwPUBKEY'
Sun Apr 26 13:08:16 2020 daemon.info charon: 11[CFG] reusing virtual IP address pool 10.0.1.0/24
Sun Apr 26 13:08:16 2020 daemon.info charon: 11[CFG] loaded certificate "C=US, O=Technicolor, CN=" from 'serverCert_.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 11[CFG] id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN='
Sun Apr 26 13:08:16 2020 daemon.info charon: 11[CFG] loaded certificate "C=US, O=Technicolor, CN=myvpnclient1" from 'clientCert_myvpnclient1.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 11[CFG] id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 13:08:16 2020 daemon.info charon: 11[CFG] added configuration 'rwPUBKEY'
Sun Apr 26 13:08:16 2020 daemon.info charon: 13[CFG] received stroke: add connection 'rwEAPTLS'
Sun Apr 26 13:08:16 2020 daemon.info charon: 13[CFG] reusing virtual IP address pool 10.0.1.0/24
Sun Apr 26 13:08:16 2020 daemon.info charon: 13[CFG] loaded certificate "C=US, O=Technicolor, CN=" from 'serverCert_.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 13[CFG] id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN='
Sun Apr 26 13:08:16 2020 daemon.info charon: 13[CFG] loaded certificate "C=US, O=Technicolor, CN=myvpnclient1" from 'clientCert_myvpnclient1.pem'
Sun Apr 26 13:08:16 2020 daemon.info charon: 13[CFG] id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 13:08:16 2020 daemon.info charon: 13[CFG] added configuration 'rwEAPTLS'
id '%any' not confirmed by certificate, defaulting to 'C=US, O=Technicolor, CN='
CN=e' cosi' come lo vedi vuoto,non ha preso il mio ddns?o qualcosaltro?(N.B. il sevizio ddns l'ho settato,non e' attivo poiche' l'interfaccia su cui e' settato non e' attiva)
Poi ho notato 10.0.1.0/24,e che non lo hai messo sulla subnet del dhcp, ma poi dopo ci si riesce a comunicare con gli utenti e servizi della lan?
NB. non sono critiche , solo per capire.
-
Se vuoi che comunichino con la lan o gli assegni staticamente degli ip in essa inclusi o li fai assegnare via dhcp. La subnet proposta sulla wiki è solo un esempio, è chiaro che ognuno deve metterci la sua o quella che preferisce. Assegnare ai client ip al di fuori della subnet locale è utile quando li si vuole isolare da essa, altrimenti se lo scopo è fare in modo che si vedano a vicenda non ha senso tenerli su subnet distinta.
-
@LuKePicci, si infatti io l'ho configurato in modo che si trovi sulla stessa subnet del dhcp,era solo per farlo notare a FrancYescO, che mi pare l'abbia fatto per avvicinarsi alla wiki di openwrt.
Visto che ci sei, volevo farti notare che ho provato sulla versione 18, la velocita' massima e arrivo a circa 40MB, invece sulla versione 17 arrivo a toccare 50MB.
Quando ho fatto i test ho avviato sui router Htop, ed in tutti e due va a palla un solo core della cpu, ho pensato che forse siano in entrambe le versioni accellerati via hardware, altrimenti non mi spiego perche' sulla 18 la velocita' sia inferiore.
Questi sono i drivers crypto sulla versione 18:
kmod-crypto-aead
4.1.38-1
kmod-crypto-authenc
4.1.38-1
kmod-crypto-cbc
4.1.38-1
kmod-crypto-core
4.1.38-1
kmod-crypto-deflate
4.1.38-1
kmod-crypto-des
4.1.38-1
kmod-crypto-ecb
4.1.38-1
kmod-crypto-hash
4.1.38-1
kmod-crypto-hmac
4.1.38-1
kmod-crypto-iv
4.1.38-1
kmod-crypto-manager
4.1.38-1
kmod-crypto-md5
4.1.38-1
kmod-crypto-pcompress
4.1.38-1
kmod-crypto-rng
4.1.38-1
kmod-crypto-sha1
4.1.38-1
kmod-crypto-sha256
4.1.38-1
kmod-crypto-sha512
4.1.38-1
kmod-crypto-wq
4.1.38-1
-
Nessuna delle due versioni è accelerata in hardware, i driver per l'SPU li ho visti solo sule release 18.x di tim.
-
Conta per molte cose mi son limitato a fare l'automa e a scriptare quello scritto nella guida quindi non mi aspetto affatto sia tutto perfetto :P
caCert.crt caKey.pem in effetti possono essere anche eliminati al termine: ho visto che già lo script ufficiale lo prevedeva quindi viene salvato solo ca.p12 nei secret per poter fare altre generazioni
strongswan-mod-eap-** ipotizzo servano solo si si vuole mettere il secondo round di autenticazione, non lo so.
dati anche i vari from 'serverCert_.pem' direi che si ha fatto tutto senza rilevare il ddns e quindi con dominio vuoto
10.0.1.0/24 .. qui in effetti è stata una dimenticanza, ho provato semplicemente a rimpiazzare con %dhcp come era ma non sta funzionando :worry:
Sun Apr 26 15:25:04 2020 authpriv.info ipsec: 15[IKE] peer requested virtual IP %any
Sun Apr 26 15:25:04 2020 daemon.info ipsec: 15[IKE] peer requested virtual IP %any
Sun Apr 26 15:25:04 2020 authpriv.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:04 2020 daemon.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:05 2020 authpriv.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:05 2020 daemon.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:07 2020 authpriv.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:07 2020 daemon.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:07 2020 daemon.info dnsmasq-dhcp[14101]: DHCPDISCOVER(br-lan) 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:07 2020 daemon.info dnsmasq-dhcp[14101]: DHCPOFFER(br-lan) 192.168.1.206 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:07 2020 daemon.info dnsmasq-dhcp[14101]: DHCPDISCOVER(br-lan) 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:07 2020 daemon.info dnsmasq-dhcp[14101]: DHCPOFFER(br-lan) 192.168.1.206 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:07 2020 daemon.info dnsmasq-dhcp[14101]: DHCPDISCOVER(br-lan) 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:07 2020 daemon.info dnsmasq-dhcp[14101]: DHCPOFFER(br-lan) 192.168.1.206 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:10 2020 authpriv.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:10 2020 daemon.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:10 2020 daemon.info dnsmasq-dhcp[14101]: DHCPDISCOVER(br-lan) 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:10 2020 daemon.info dnsmasq-dhcp[14101]: DHCPOFFER(br-lan) 192.168.1.206 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:14 2020 authpriv.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:14 2020 daemon.info ipsec: 15[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Apr 26 15:25:14 2020 daemon.info dnsmasq-dhcp[14101]: DHCPDISCOVER(br-lan) 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:14 2020 daemon.info dnsmasq-dhcp[14101]: DHCPOFFER(br-lan) 192.168.1.206 7a:a7:7e:xx:xx:xx
Sun Apr 26 15:25:19 2020 authpriv.info ipsec: 15[CFG] DHCP DISCOVER timed out
Sun Apr 26 15:25:19 2020 daemon.info ipsec: 15[CFG] DHCP DISCOVER timed out
Sun Apr 26 15:25:19 2020 authpriv.info ipsec: 15[IKE] no virtual IP found for %any requested by 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 15:25:19 2020 daemon.info ipsec: 15[IKE] no virtual IP found for %any requested by 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 15:25:19 2020 authpriv.info ipsec: 15[IKE] peer requested virtual IP %any6
Sun Apr 26 15:25:19 2020 daemon.info ipsec: 15[IKE] peer requested virtual IP %any6
Sun Apr 26 15:25:19 2020 authpriv.info ipsec: 15[IKE] no virtual IP found for %any6 requested by 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 15:25:19 2020 daemon.info ipsec: 15[IKE] no virtual IP found for %any6 requested by 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Apr 26 15:25:19 2020 authpriv.info ipsec: 15[IKE] no virtual IP found, sending INTERNAL_ADDRESS_FAILURE
Sun Apr 26 15:25:19 2020 daemon.info ipsec: 15[IKE] no virtual IP found, sending INTERNAL_ADDRESS_FAILURE
-
strongswan-mod-eap-* sono necessari tutte le volte che usi eap-* come metodo di autenticazione, anche quando è il primo ed unico, e considerando che il modo più semplice di farla funzionare su windows è proprio con eap-tls o con eap-mschapv2 quando si usano user e password direi che è il caso di metterceli.
Hai qualcosa che non va nella config di dnsmasq o charon/dhcp
-
Si ma il punto e' come aggiungerli nello script strongswan-mod-eap-*, sono piu' pacchetti
/etc/strongswan.d/charon/dhcp.conf
dhcp {
# Always use the configured server address.
# force_server_address = no
force_server_address = yes
# Derive user-defined MAC address from hash of IKE identity.
# identity_lease = no
identity_lease = yes
# Interface name the plugin uses for address allocation.
# interface =
# interface = br-lan
# Whether to load the plugin. Can also be an integer to increase the
# priority of this plugin.
load = yes
# DHCP server unicast or broadcast IP address.
# server = 255.255.255.255
server = 192.168.1.255
}
# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files
charon {
load_modular=yes
dns1 = 192.168.1.1
nbns1 = 192.168.1.1
plugins {
include strongswan.d/charon/*.conf
}
}
include strongswan.d/*.conf
Anche io quando rimetto le configurazioni salto qualcosa :P
-
Li si elenca uno ad uno
Root set:
strongswan
What depends on root set
strongswan-mod-eap-identity 5.3.3-1 depends on strongswan
strongswan-mod-led 5.3.3-1 depends on strongswan
strongswan-mod-curl 5.3.3-1 depends on strongswan
strongswan-mod-eap-tls 5.3.3-1 depends on strongswan
strongswan-mod-farp 5.3.3-1 depends on strongswan
strongswan-mod-constraints 5.3.3-1 depends on strongswan
strongswan-mod-sha1 5.3.3-1 depends on strongswan
strongswan-mod-sha2 5.3.3-1 depends on strongswan
strongswan-libtls 5.3.3-1 depends on strongswan
strongswan-mod-agent 5.3.3-1 depends on strongswan
strongswan-mod-pkcs11 5.3.3-1 depends on strongswan
strongswan-mod-pkcs12 5.3.3-1 depends on strongswan
strongswan-mod-attr-sql 5.3.3-1 depends on strongswan
strongswan-mod-openssl 5.3.3-1 depends on strongswan
strongswan-mod-test-vectors 5.3.3-1 depends on strongswan
strongswan-mod-ldap 5.3.3-1 depends on strongswan
strongswan-mod-pem 5.3.3-1 depends on strongswan
strongswan-mod-rc2 5.3.3-1 depends on strongswan
strongswan-mod-eap-mschapv2 5.3.3-1 depends on strongswan
strongswan-mod-eap-md5 5.3.3-1 depends on strongswan
strongswan-mod-aes 5.3.3-1 depends on strongswan
strongswan-mod-pgp 5.3.3-1 depends on strongswan
strongswan-mod-mysql 5.3.3-1 depends on strongswan
strongswan-mod-sshkey 5.3.3-1 depends on strongswan
strongswan-mod-xcbc 5.3.3-1 depends on strongswan
strongswan-mod-random 5.3.3-1 depends on strongswan
strongswan-mod-ccm 5.3.3-1 depends on strongswan
strongswan-mod-pkcs1 5.3.3-1 depends on strongswan
strongswan-mod-pkcs7 5.3.3-1 depends on strongswan
strongswan-mod-pkcs8 5.3.3-1 depends on strongswan
strongswan-mod-dnskey 5.3.3-1 depends on strongswan
strongswan-utils 5.3.3-1 depends on strongswan
strongswan-mod-hmac 5.3.3-1 depends on strongswan
strongswan-mod-xauth-eap 5.3.3-1 depends on strongswan
strongswan-charon 5.3.3-1 depends on strongswan
strongswan-mod-duplicheck 5.3.3-1 depends on strongswan
strongswan-mod-eap-radius 5.3.3-1 depends on strongswan
strongswan-mod-des 5.3.3-1 depends on strongswan
strongswan-mod-uci 5.3.3-1 depends on strongswan
strongswan-mod-fips-prf 5.3.3-1 depends on strongswan
strongswan-mod-socket-default 5.3.3-1 depends on strongswan
strongswan-mod-blowfish 5.3.3-1 depends on strongswan
strongswan-mod-resolve 5.3.3-1 depends on strongswan
strongswan-mod-pubkey 5.3.3-1 depends on strongswan
strongswan-mod-ha 5.3.3-1 depends on strongswan
strongswan-mod-kernel-netlink 5.3.3-1 depends on strongswan
strongswan-mod-load-tester 5.3.3-1 depends on strongswan
strongswan-mod-gcm 5.3.3-1 depends on strongswan
strongswan-mod-gcrypt 5.3.3-1 depends on strongswan
strongswan-mod-smp 5.3.3-1 depends on strongswan
strongswan-default 5.3.3-1 depends on strongswan
strongswan-mod-updown 5.3.3-1 depends on strongswan
strongswan-mod-addrblock 5.3.3-1 depends on strongswan
strongswan-mod-nonce 5.3.3-1 depends on strongswan
strongswan-mod-xauth-generic 5.3.3-1 depends on strongswan
strongswan-mod-x509 5.3.3-1 depends on strongswan
strongswan-mod-unity 5.3.3-1 depends on strongswan
strongswan-mod-coupling 5.3.3-1 depends on strongswan
strongswan-mod-sqlite 5.3.3-1 depends on strongswan
strongswan-mod-dhcp 5.3.3-1 depends on strongswan
strongswan-mod-sql 5.3.3-1 depends on strongswan
strongswan-mod-stroke 5.3.3-1 depends on strongswan
strongswan-mod-attr 5.3.3-1 depends on strongswan
strongswan-mod-af-alg 5.3.3-1 depends on strongswan
strongswan-mod-revocation 5.3.3-1 depends on strongswan
strongswan-mod-whitelist 5.3.3-1 depends on strongswan
strongswan-mod-ctr 5.3.3-1 depends on strongswan
strongswan-minimal 5.3.3-1 depends on strongswan
strongswan-mod-gmp 5.3.3-1 depends on strongswan
strongswan-mod-cmac 5.3.3-1 depends on strongswan
strongswan-mod-md4 5.3.3-1 depends on strongswan
strongswan-mod-md5 5.3.3-1 depends on strongswane vi si sottraggono quelli da cui strongswan-default dipende
strongswan-default depends on:
libc
strongswan
strongswan-charon
strongswan-mod-aes
strongswan-mod-attr
strongswan-mod-constraints
strongswan-mod-des
strongswan-mod-dnskey
strongswan-mod-fips-prf
strongswan-mod-gmp
strongswan-mod-hmac
strongswan-mod-kernel-netlink
strongswan-mod-md5
strongswan-mod-nonce
strongswan-mod-pem
strongswan-mod-pgp
strongswan-mod-pkcs1
strongswan-mod-pubkey
strongswan-mod-random
strongswan-mod-rc2
strongswan-mod-resolve
strongswan-mod-revocation
strongswan-mod-sha1
strongswan-mod-sha2
strongswan-mod-socket-default
strongswan-mod-sshkey
strongswan-mod-stroke
strongswan-mod-updown
strongswan-mod-x509
strongswan-mod-xauth-generic
strongswan-mod-xcbc
strongswan-utils
Nello script non vedo gli edit a /etc/strongswan.conf, inoltre c'è un grosso problema con gli utenti multipli, non pssono esistere tutte quelle conn definite in simultanea, sia perchè se ne creano diverse con nomi uguali, sia perchè quelle dello stesso tipo configurate per utenti diversi sarebbero indistinguibili a livello protocollare. Quando hai più utenze devi fare come dice la guida, devi togliere rightcert e metterci rightca. Se poi ti vuoi divertire, puoi provare a vedere se sia o meno possibile definire un blocco di configurazione per ogni tipo di connessione e creare N conn distinte con nomi tutti diversi che includono al loro interno solo rightcert ed ereditano due volte, prima dalla definizione del tipo di connessione e poi dal blocco default.
-
A titolo di cronaca l'eseguibile contenuto in strongswan-pki nella versione per CC è contenuto in strongswan-utils.
-
Infatti io sui repo CC strongswan-pki non ce l'ho, stavo gusto per indagare a riguardo.
-
la domanda che mi sorge spontanea è perchè non usare rightca anche per l'utente singolo? (anche perchè tralaltro è sempre lo script sulla wiki che prevede la multiutenza)
la config di dhcp.conf è quella dello script e prima andava, tralaltro li sembra che fa la DHCPOFFER ma il client non se la fila..
su strongswan.conf non capisco a cosa ti riferisci a parte mettere dns1 nbns1 che immagino nel caso su usa il DHCP non servano, il resto mi pare il default
per quanto riguarda le mod-eap mi pare di capire che di default quello che si usa nello script di esempio è strongswan-mod-eap-mschapv2 gli altri penso si puoi fare anche a meno poi se servono all'utente se li installa lui, non vedo perchè tirarglieli giu tutti
-
con rightca verifichi solo la validità del certificato, con rightcert vai a fare pinning, se non hai da connettere più utenti in simultanea la seconda è più sicura
strongswan conf mi pare avesse qualche problema con I path degli include, ma potrebbe anche darsi che siano stati fixate nei nuovi pacchetti
eap-* conviene installarli tutti, sono solo metapacchetti, a toglierli non si risparmia nulla, la config di default per windows usa eap-tls, è l'unica che puoi impostare su windows e windows mobile senza diritti amministrativi, eap-radius viene comodo quando hai già una directory di utenti, eap-identity pure serve.altrimenti la direttiva eap_identity non funziona e windows non connette.
c'è anche un altro problema col comando di opkg install, se usi questo script su un device che ha impostate le repo ufficiali openwrt mi sa che ti si tira dietro anche libc
-
Mi sembra lineare.. ma pki serve anche a me
root@788vn:~# opkg install strongswan-default strongswan-pki strongswan-mod-dhcp
Installing strongswan-default (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-default_5.3.3-1_brcm63xx.ipk
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Installing strongswan (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan_5.3.3-1_brcm63xx.ipk
Installing strongswan-charon (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-charon_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-aes (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-aes_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-attr (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-attr_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-constraints (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-constraints_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-des (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-des_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-dnskey (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-dnskey_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-sha1 (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-sha1_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-fips-prf (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-fips-prf_5.3.3-1_brcm63xx.ipk
Installing libgmp (6.0.0-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/base/libgmp_6.0.0-1_brcm63xx.ipk
Installing strongswan-mod-gmp (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-gmp_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-hmac (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-hmac_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-kernel-netlink (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-kernel-netlink_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-md5 (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-md5_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-nonce (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-nonce_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-pem (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-pem_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-pgp (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-pgp_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-pkcs1 (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-pkcs1_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-pubkey (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-pubkey_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-random (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-random_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-rc2 (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-rc2_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-resolve (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-resolve_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-revocation (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-revocation_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-sha2 (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-sha2_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-socket-default (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-socket-default_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-sshkey (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-sshkey_5.3.3-1_brcm63xx.ipk
Installing strongswan-utils (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-utils_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-stroke (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-stroke_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-updown (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-updown_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-x509 (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-x509_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-xauth-generic (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-xauth-generic_5.3.3-1_brcm63xx.ipk
Installing strongswan-mod-xcbc (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-xcbc_5.3.3-1_brcm63xx.ipk
Unknown package 'strongswan-pki'.
Installing strongswan-mod-dhcp (5.3.3-1) to root...
Downloading http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/smp/packages/packages/strongswan-mod-dhcp_5.3.3-1_brcm63xx.ipk
Configuring strongswan.
no files found matching '/etc/strongswan.d/*.conf'
Starting strongSwan 5.3.3 IPsec [starter]...
no files found matching '/var/ipsec/ipsec.conf'
Configuring strongswan-mod-constraints.
Configuring strongswan-mod-sha1.
Configuring strongswan-mod-sha2.
Configuring strongswan-mod-pem.
Configuring strongswan-mod-rc2.
Configuring strongswan-mod-aes.
Configuring strongswan-mod-pgp.
Configuring strongswan-mod-sshkey.
Configuring strongswan-mod-xcbc.
Configuring strongswan-mod-random.
Configuring strongswan-mod-pkcs1.
Configuring strongswan-mod-dnskey.
Configuring strongswan-utils.
Configuring strongswan-mod-hmac.
Configuring strongswan-charon.
Configuring strongswan-mod-des.
Configuring strongswan-mod-fips-prf.
Configuring strongswan-mod-socket-default.
Configuring strongswan-mod-resolve.
Configuring strongswan-mod-pubkey.
Configuring strongswan-mod-kernel-netlink.
Configuring strongswan-mod-attr.
Configuring libgmp.
Configuring strongswan-mod-gmp.
Configuring strongswan-mod-md5.
Configuring strongswan-mod-nonce.
Configuring strongswan-mod-revocation.
Configuring strongswan-mod-stroke.
Configuring strongswan-mod-updown.
Configuring strongswan-mod-x509.
Configuring strongswan-mod-xauth-generic.
Configuring strongswan-default.
Configuring strongswan-mod-dhcp.
Collected errors:
* resolve_conffiles: Existing conffile /etc/ipsec.conf is different from the conffile in the new package. The new conffile will be placed at /etc/ipsec.conf-opkg.
* opkg_install_cmd: Cannot install package strongswan-pki.
per gli eap senza mettersi a far lavoro di fino basta un..
opkg list | grep strongswan-mod-eap- | awk '{print $1}' | xargs opkg install
-
sei sicuro che dalla sottrazione tra le due liste avanzassero solo questi?
-
Quindi con il comando:
opkg list | grep strongswan | awk '{print $1}' | xargs opkg install
Si buttano giu' tutti i pacchetti(83)
strongswan
5.6.3-3
strongswan-charon
5.6.3-3
strongswan-charon-cmd
5.6.3-3
strongswan-default
5.6.3-3
strongswan-ipsec
5.6.3-3
strongswan-isakmp
5.6.3-3
strongswan-libtls
5.6.3-3
strongswan-minimal
5.6.3-3
strongswan-mod-addrblock
5.6.3-3
strongswan-mod-aes
5.6.3-3
strongswan-mod-af-alg
5.6.3-3
strongswan-mod-agent
5.6.3-3
strongswan-mod-attr
5.6.3-3
strongswan-mod-attr-sql
5.6.3-3
strongswan-mod-ccm
5.6.3-3
strongswan-mod-cmac
5.6.3-3
strongswan-mod-connmark
5.6.3-3
strongswan-mod-constraints
5.6.3-3
strongswan-mod-coupling
5.6.3-3
strongswan-mod-curl
5.6.3-3
strongswan-mod-curve25519
5.6.3-3
strongswan-mod-des
5.6.3-3
strongswan-mod-dhcp
5.6.3-3
strongswan-mod-dnskey
5.6.3-3
strongswan-mod-duplicheck
5.6.3-3
strongswan-mod-eap-identity
5.6.3-3
strongswan-mod-eap-md5
5.6.3-3
strongswan-mod-eap-mschapv2
5.6.3-3
strongswan-mod-eap-radius
5.6.3-3
strongswan-mod-eap-tls
5.6.3-3
strongswan-mod-farp
5.6.3-3
strongswan-mod-fips-prf
5.6.3-3
strongswan-mod-forecast
5.6.3-3
strongswan-mod-gcm
5.6.3-3
strongswan-mod-gmp
5.6.3-3
strongswan-mod-gmpdh
5.6.3-3
strongswan-mod-ha
5.6.3-3
strongswan-mod-hmac
5.6.3-3
strongswan-mod-kernel-libipsec
5.6.3-3
strongswan-mod-kernel-netlink
5.6.3-3
strongswan-mod-ldap
5.6.3-3
strongswan-mod-led
5.6.3-3
strongswan-mod-load-tester
5.6.3-3
strongswan-mod-md4
5.6.3-3
strongswan-mod-md5
5.6.3-3
strongswan-mod-mysql
5.6.3-3
strongswan-mod-nonce
5.6.3-3
strongswan-mod-openssl
5.6.3-3
strongswan-mod-pem
5.6.3-3
strongswan-mod-pgp
5.6.3-3
strongswan-mod-pkcs1
5.6.3-3
strongswan-mod-pkcs11
5.6.3-3
strongswan-mod-pkcs12
5.6.3-3
strongswan-mod-pkcs7
5.6.3-3
strongswan-mod-pkcs8
5.6.3-3
strongswan-mod-pubkey
5.6.3-3
strongswan-mod-random
5.6.3-3
strongswan-mod-rc2
5.6.3-3
strongswan-mod-resolve
5.6.3-3
strongswan-mod-revocation
5.6.3-3
strongswan-mod-sha1
5.6.3-3
strongswan-mod-sha2
5.6.3-3
strongswan-mod-smp
5.6.3-3
strongswan-mod-socket-default
5.6.3-3
strongswan-mod-socket-dynamic
5.6.3-3
strongswan-mod-sql
5.6.3-3
strongswan-mod-sqlite
5.6.3-3
strongswan-mod-sshkey
5.6.3-3
strongswan-mod-stroke
5.6.3-3
strongswan-mod-test-vectors
5.6.3-3
strongswan-mod-uci
5.6.3-3
strongswan-mod-unity
5.6.3-3
strongswan-mod-updown
5.6.3-3
strongswan-mod-vici
5.6.3-3
strongswan-mod-whitelist
5.6.3-3
strongswan-mod-x509
5.6.3-3
strongswan-mod-xauth-eap
5.6.3-3
strongswan-mod-xauth-generic
5.6.3-3
strongswan-mod-xcbc
5.6.3-3
strongswan-pki
5.6.3-3
strongswan-scepclient
5.6.3-3
strongswan-swanctl
5.6.3-3
Che per il 4131 potrebbe anche andar bene, post install:
Free space: 90% (80.11 MB)
@FrancYescO, nello script dove hai messo la parola SHAREDSAN, nelle config ci va' $ ?esempio:
rightid=SHAREDSAN
rightid=$SHAREDSAN
questo e' stato generato dallo script
conn rwPUBKEYIOS
leftsendcert=always
rightid=SHAREDSAN
rightauth=pubkey
rightcert=clientCert_myvpnclient1.pem
#rightauth2=eap-mschapv2
conn rwEAPTLSIOS
leftsendcert=always
rightid=SHAREDSAN
rightauth=eap-tls
rightcert=clientCert_myvpnclient1.pem
#rightauth2=eap-mschapv2
-
@LuKePicci Non ho fatto l'estrazione delle liste, li stavo installando i base con i feed ufficiali openwrt e non mi sembra ha tirato giu nulla che non doveva
il comando sotto era per installare tutti i mod-eap- non avevo capito c'era da installare anche oltre
@a1pollo e si con quel comando ti installi tutti quelli che hanno strongswan nel nome, ma ok ai metapacchetti, ma perchè tirarsi giu tutta sta roba?
comunque per sbaglio avevo fatto partire l'install di tutti i strongswan-mod- e solo strongswan-mod-mysql si è tirato dietro ulibcxx che non so se lo rompe, poi cmq si è interrotto per qualche altro che aveva dipendenza kernel
comunque grazie sistemato quella cosa dello SHAREDSAN e aggiunto qualche check per permettere run multipli
-
C'è qualcosa oltre i vari eap-* ma non va installato tutto, ad esempio quel mysql di sicuro non serve
-
Quindi:
opkg list | grep strongswan | awk '{print $1}' | xargs opkg remove --force-removal-of-dependent-packages
opkg list | grep strongswan | awk '{print $1}' | xargs opkg remove --force-removal-of-dependent-packages
rimuove tutto, ripetuto due volte atrimenti rimane il pacchetto strongswan,poi manualmente rimuoviamo la cartella ipsec.d e i due files ipsec.*
Ho riprovato a reinstallare lo script, ho messo a posto il ddns "only.for.testing",lo script funziona,crea le chiavi avvia il demone :
:clap:
Mon Apr 27 16:20:35 2020 authpriv.info ipsec_starter[1306]: Starting strongSwan 5.6.3 IPsec [starter]...
Mon Apr 27 16:20:35 2020 daemon.err modprobe: ah4 is already loaded
Mon Apr 27 16:20:36 2020 daemon.err modprobe: esp4 is already loaded
Mon Apr 27 16:20:36 2020 daemon.err modprobe: ipcomp is already loaded
Mon Apr 27 16:20:36 2020 daemon.err modprobe: xfrm4_tunnel is already loaded
Mon Apr 27 16:20:36 2020 daemon.err modprobe: xfrm_user is already loaded
Mon Apr 27 16:20:36 2020 daemon.info charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l)
Mon Apr 27 16:20:36 2020 daemon.info charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Mon Apr 27 16:20:36 2020 daemon.info charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Mon Apr 27 16:20:36 2020 daemon.info charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Mon Apr 27 16:20:36 2020 daemon.info charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Mon Apr 27 16:20:36 2020 daemon.info charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Mon Apr 27 16:20:36 2020 daemon.info charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Mon Apr 27 16:20:36 2020 daemon.info charon: 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default connmark stroke updown xauth-generic dhcp
Mon Apr 27 16:20:36 2020 daemon.info charon: 00[JOB] spawning 16 worker threads
Mon Apr 27 16:20:36 2020 authpriv.info ipsec_starter[1306]: charon (1376) started after 60 ms
Mon Apr 27 16:23:44 2020 daemon.info odhcpd[2831]: Using a RA lifetime of 0 seconds on wl0_2
Mon Apr 27 16:23:52 2020 daemon.info charon: 00[DMN] signal of type SIGINT received. Shutting down
Mon Apr 27 16:23:52 2020 authpriv.info ipsec_starter[1306]: charon stopped after 200 ms
Mon Apr 27 16:23:52 2020 authpriv.info ipsec_starter[1306]: ipsec starter stopped
Mon Apr 27 16:23:52 2020 authpriv.info ipsec_starter[2396]: Starting strongSwan 5.6.3 IPsec [starter]...
Mon Apr 27 16:23:52 2020 daemon.err modprobe: ah4 is already loaded
Mon Apr 27 16:23:52 2020 daemon.err modprobe: esp4 is already loaded
Mon Apr 27 16:23:52 2020 daemon.err modprobe: ipcomp is already loaded
Mon Apr 27 16:23:52 2020 daemon.err modprobe: xfrm4_tunnel is already loaded
Mon Apr 27 16:23:52 2020 daemon.err modprobe: xfrm_user is already loaded
Mon Apr 27 16:23:52 2020 daemon.info charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l)
Mon Apr 27 16:23:52 2020 daemon.info charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Mon Apr 27 16:23:52 2020 daemon.info charon: 00[CFG] loaded ca certificate "C=US, O=Technicolor, CN=CATechnicolor" from '/etc/ipsec.d/cacerts/caCert.pem'
Mon Apr 27 16:23:52 2020 daemon.info charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Mon Apr 27 16:23:52 2020 daemon.info charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Mon Apr 27 16:23:52 2020 daemon.info charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Mon Apr 27 16:23:52 2020 daemon.info charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Mon Apr 27 16:23:52 2020 daemon.info charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Mon Apr 27 16:23:52 2020 daemon.info charon: 00[CFG] loaded RSA private key from '/etc/ipsec.d/private/serverKey_only.for.testing.pem'
Mon Apr 27 16:23:52 2020 daemon.info charon: 00[CFG] loaded EAP secret for remoteusername
Mon Apr 27 16:23:52 2020 daemon.info charon: 00[CFG] loaded 0 RADIUS server configurations
Mon Apr 27 16:23:52 2020 daemon.info charon: 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default connmark stroke updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic dhcp
Mon Apr 27 16:23:52 2020 daemon.info charon: 00[JOB] spawning 16 worker threads
Mon Apr 27 16:23:52 2020 authpriv.info ipsec_starter[2396]: charon (2415) started after 60 ms
Mon Apr 27 16:23:52 2020 daemon.info charon: 05[CFG] received stroke: add connection 'rwEAPMSCHAPV2'
Mon Apr 27 16:23:52 2020 daemon.info charon: 05[CFG] loaded certificate "C=US, O=Technicolor, CN=only.for.testing" from 'serverCert_only.for.testing.pem'
Mon Apr 27 16:23:52 2020 daemon.info charon: 05[CFG] added configuration 'rwEAPMSCHAPV2'
Mon Apr 27 16:23:52 2020 daemon.info charon: 07[CFG] received stroke: add connection 'rwPUBKEYIOS'
Mon Apr 27 16:23:52 2020 daemon.info charon: 07[CFG] loaded certificate "C=US, O=Technicolor, CN=only.for.testing" from 'serverCert_only.for.testing.pem'
Mon Apr 27 16:23:52 2020 daemon.info charon: 07[CFG] CA certificate "caCert.pem" not found, discarding CA constraint
Mon Apr 27 16:23:52 2020 daemon.info charon: 07[CFG] added configuration 'rwPUBKEYIOS'
Mon Apr 27 16:23:52 2020 daemon.info charon: 09[CFG] received stroke: add connection 'rwEAPTLSIOS'
Mon Apr 27 16:23:52 2020 daemon.info charon: 09[CFG] loaded certificate "C=US, O=Technicolor, CN=only.for.testing" from 'serverCert_only.for.testing.pem'
Mon Apr 27 16:23:52 2020 daemon.info charon: 09[LIB] opening '/etc/ipsec.d/certs/caCert.pem' failed: No such file or directory
Mon Apr 27 16:23:52 2020 daemon.info charon: 09[LIB] building CRED_CERTIFICATE - ANY failed, tried 1 builders
Mon Apr 27 16:23:52 2020 daemon.info charon: 09[CFG] loading certificate from 'caCert.pem' failed
Mon Apr 27 16:23:52 2020 daemon.info charon: 09[CFG] added configuration 'rwEAPTLSIOS'
Mon Apr 27 16:23:52 2020 daemon.info charon: 11[CFG] received stroke: add connection 'rwPUBKEY'
Mon Apr 27 16:23:52 2020 daemon.info charon: 11[CFG] loaded certificate "C=US, O=Technicolor, CN=only.for.testing" from 'serverCert_only.for.testing.pem'
Mon Apr 27 16:23:52 2020 daemon.info charon: 11[LIB] opening '/etc/ipsec.d/certs/caCert.pem' failed: No such file or directory
Mon Apr 27 16:23:52 2020 daemon.info charon: 11[LIB] building CRED_CERTIFICATE - ANY failed, tried 1 builders
Mon Apr 27 16:23:52 2020 daemon.info charon: 11[CFG] loading certificate from 'caCert.pem' failed
Mon Apr 27 16:23:52 2020 daemon.info charon: 11[CFG] added configuration 'rwPUBKEY'
Mon Apr 27 16:23:52 2020 daemon.info charon: 13[CFG] received stroke: add connection 'rwEAPTLS'
Mon Apr 27 16:23:52 2020 daemon.info charon: 13[CFG] loaded certificate "C=US, O=Technicolor, CN=only.for.testing" from 'serverCert_only.for.testing.pem'
Mon Apr 27 16:23:52 2020 daemon.info charon: 13[LIB] opening '/etc/ipsec.d/certs/caCert.pem' failed: No such file or directory
Mon Apr 27 16:23:52 2020 daemon.info charon: 13[LIB] building CRED_CERTIFICATE - ANY failed, tried 1 builders
Mon Apr 27 16:23:52 2020 daemon.info charon: 13[CFG] loading certificate from 'caCert.pem' failed
Mon Apr 27 16:23:52 2020 daemon.info charon: 13[CFG] added configuration 'rwEAPTLS'
Ci sono degli errori, forse sulla configurazione ipsec.conf,troppe istanze?:
Mon Apr 27 16:23:52 2020 daemon.info charon: 11[CFG] received stroke: add connection 'rwPUBKEY'
Mon Apr 27 16:23:52 2020 daemon.info charon: 11[CFG] loaded certificate "C=US, O=Technicolor, CN=only.for.testing" from 'serverCert_only.for.testing.pem'
Mon Apr 27 16:23:52 2020 daemon.info charon: 11[LIB] opening '/etc/ipsec.d/certs/caCert.pem' failed: No such file or directory
Mon Apr 27 16:23:52 2020 daemon.info charon: 11[LIB] building CRED_CERTIFICATE - ANY failed, tried 1 builders
Mon Apr 27 16:23:52 2020 daemon.info charon: 11[CFG] loading certificate from 'caCert.pem' failed
Mon Apr 27 16:23:52 2020 daemon.info charon: 11[CFG] added configuration 'rwPUBKEY'
Mon Apr 27 16:23:52 2020 daemon.info charon: 13[CFG] received stroke: add connection 'rwEAPTLS'
Mon Apr 27 16:23:52 2020 daemon.info charon: 13[CFG] loaded certificate "C=US, O=Technicolor, CN=only.for.testing" from 'serverCert_only.for.testing.pem'
Mon Apr 27 16:23:52 2020 daemon.info charon: 13[LIB] opening '/etc/ipsec.d/certs/caCert.pem' failed: No such file or directory
Mon Apr 27 16:23:52 2020 daemon.info charon: 13[LIB] building CRED_CERTIFICATE - ANY failed, tried 1 builders
Mon Apr 27 16:23:52 2020 daemon.info charon: 13[CFG] loading certificate from 'caCert.pem' failed
Mon Apr 27 16:23:52 2020 daemon.info charon: 13[CFG] added configuration 'rwEAPTLS'
Su dhcp.conf si puo' aggiungere?:
# Derive user-defined MAC address from hash of IKE identity.
# identity_lease = no
identity_lease = yes
Dovrebbe assegnare e rilasciare il fake mac sempre uguale allo stesso utente/certificato,cosi' da poterlo inserire sul dhcp della lan ed assegnare sempre lo stesso indirizzo, funziona l'ho gia' provato.
Poi come faccio a generare dopo lo script ulteriori certificati, o ad inserirli nello script? :help:
-
immagino perchè il caCert per la verifica lo vuole nella cartella certs, gli ho messo un symlink e aggiunto identity_lease
per altri client, è scritto anche nello script stesso: cambi la riga
CLIENTNAMES="myvpnclient1"in qualcosa tipo
CLIENTNAMES="myvpnclient1 giuseppe peppino"
Sul 788 su cui stavo facendo quel casino c'è un bellissimo postmortem quando provo a connettermi chissa che casino sto combinando:
Mon Apr 27 07:54:20 2020 daemon.info syslog: 00[CFG] loaded EAP secret for remoteusername
Mon Apr 27 07:54:20 2020 daemon.info syslog: 00[CFG] sql plugin: database URI not set
Mon Apr 27 07:54:20 2020 daemon.info syslog: 00[CFG] loaded 0 RADIUS server configurations
Mon Apr 27 07:54:20 2020 daemon.info syslog: 00[CFG] HA config misses local/remote address
Mon Apr 27 07:54:20 2020 daemon.info syslog: 00[CFG] coupling file path unspecified
Mon Apr 27 07:54:20 2020 daemon.info syslog: 00[LIB] loaded plugins: charon test-vectors ldap pkcs11 aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp agent xcbc cmac hmac ctr ccm gcm curl sqlite attr kernel-netlink resolve socket-default socket-dynamic farp stroke smp updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic xauth-eap dhcp whitelist led duplicheck uci addrblock uMon Apr 27 07:54:20 2020 daemon.info syslog: 00[JOB] spawning 16 worker threads
Mon Apr 27 07:54:20 2020 daemon.info syslog: 01[DMN] thread 1 received 11
Mon Apr 27 07:54:20 2020 daemon.info syslog: 08[DMN] thread 8 received 11
Mon Apr 27 07:54:20 2020 daemon.info syslog: 08[LIB] no support for capturing backtraces
Mon Apr 27 07:54:20 2020 daemon.info syslog: 08[DMN] killing ourself, received critical signal
Mon Apr 27 07:54:20 2020 authpriv.info ipsec_starter[2963]: charon (3420) started after 960 ms
Mon Apr 27 07:54:20 2020 user.notice postmortem: core dump for pid 3420 file charon.3420.6.1587992060.core ignored due to system.coredump.action setting
Mon Apr 27 07:54:20 2020 authpriv.info ipsec_starter[2963]: reading stroke response failed
Mon Apr 27 07:54:20 2020 authpriv.info ipsec_starter[2963]: connecting to 'unix:///var/run/charon.ctl' failed: Connection refused
Mon Apr 27 07:54:20 2020 authpriv.info ipsec_starter[2963]: failed to connect to stroke socket 'unix:///var/run/charon.ctl'
Mon Apr 27 07:54:20 2020 authpriv.info ipsec_starter[2963]: connecting to 'unix:///var/run/charon.ctl' failed: Connection refused
Mon Apr 27 07:54:20 2020 authpriv.info ipsec_starter[2963]: failed to connect to stroke socket 'unix:///var/run/charon.ctl'
Mon Apr 27 07:54:20 2020 authpriv.info ipsec_starter[2963]: connecting to 'unix:///var/run/charon.ctl' failed: Connection refused
Mon Apr 27 07:54:20 2020 authpriv.info ipsec_starter[2963]: failed to connect to stroke socket 'unix:///var/run/charon.ctl'
Mon Apr 27 07:54:20 2020 authpriv.info ipsec_starter[2963]: connecting to 'unix:///var/run/charon.ctl' failed: Connection refused
Mon Apr 27 07:54:20 2020 authpriv.info ipsec_starter[2963]: failed to connect to stroke socket 'unix:///var/run/charon.ctl'
Mon Apr 27 07:54:20 2020 authpriv.info ipsec_starter[2963]: charon has died -- restart scheduled (5sec)
Mon Apr 27 07:54:25 2020 daemon.info syslog: 00[DMN] Starting IKE charon daemon (strongSwan 5.3.3, Linux 3.4.11-rt19, mips)
Mon Apr 27 07:54:25 2020 daemon.info syslog: 00[CFG] disabling load-tester plugin, not configured
Mon Apr 27 07:54:25 2020 daemon.info syslog: 00[LIB] plugin 'load-tester': failed to load - load_tester_plugin_create returned NULL
Mon Apr 27 07:54:25 2020 daemon.info syslog: 00[LIB] failed to open /dev/net/tun: No such file or directory
Mon Apr 27 07:54:25 2020 daemon.info syslog: 00[KNL] failed to create TUN device
Mon Apr 27 07:54:25 2020 daemon.info syslog: 00[LIB] plugin 'kernel-libipsec': failed to load - kernel_libipsec_plugin_create returned NULL
Mon Apr 27 07:54:25 2020 daemon.info syslog: 00[CFG] attr-sql plugin: database URI not set
Mon Apr 27 07:54:25 2020 daemon.info syslog: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Mon Apr 27 07:54:25 2020 daemon.info syslog: 00[CFG] loaded ca certificate "C=US, O=Technicolor, CN=CATechnicolor" from '/etc/ipsec.d/cacerts/caCert.pem'
Mon Apr 27 07:54:25 2020 daemon.info syslog: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Mon Apr 27 07:54:25 2020 daemon.info syslog: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Mon Apr 27 07:54:25 2020 daemon.info syslog: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Mon Apr 27 07:54:25 2020 daemon.info syslog: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Mon Apr 27 07:54:25 2020 daemon.info syslog: 00[CFG] loading secrets from '/etc/ipsec.secrets'
-
opening '/etc/ipsec.d/certs/caCert.pem'Non so perchè va a cercarlo lì dentro. Sulla vecchia versione che uso io lo prende da cacerts
identity_lease lo uso pure io, non l'ho mai messo perchè per alcuni setup fa casino, tipo quando I client remoti usano come identity il loro ip pubblico e dallo stesso ip ci sono più client o cose del genere, ora di preciso non ricordo. Penso che allo scopo che serve questo script conviene abilitarlo e vedere se qualcuno si lamenta.
Ricordatevi sempre il fix al modprobe indicato nei prerequisiti.
-
"Ricordatevi sempre il fix al modprobe indicato nei prerequisiti."
Ma cosa fa' di preciso il fix?perche' non ho notato dei cambiamenti, infatti l'ultima volta che ho rimesso su' tutto (a gennaio) mi ero dimenticato di farlo, e tutto funziona tuttora.
-
Penso che si riferiva alla compilazione, altrimenti usa insmod che su alcuni firmware non è presente.
-
In pratica dovrebbe evitare l'apparire di quelli che nel log appaiono come errori ma in realtà non lo sono relativi al modprobe di moduli già caricati
-
Ho controllato nella 5.6.3 c'è la solita 201-kmodloader.patch ma qui sembra assente o è ignorata.
-
root@OpenWrt:/tmp# insmod bcmspu.ko && dmesg
[ 301.979565] Creating CPU ring for queue number 2 with 256 packets descriptor=0xbef459f4, size_of_entry 16
[ 301.979638] Done initializing Ring 2 Base=0xe0843000 End=0xe0844000 calculated entries= 256 RDD Base=c3f000K descriptor=0xbef459f4
root@OpenWrt:~# lsmod | grep bcmspu
bcmspu 19529 2
bdmf 1231462 11 bcmspu,dhd,wfd,bcm_enet,pktrunner,bcmxtmrtdrv,bcm_spdsvc,rdpa_cmd,rdpa_mw,rdpa,rdpa_gpl
rdpa_gpl 15152 11 bcmspu,dhd,wfd,bcm_enet,pktrunner,bcm_ingqos,bcmxtmrtdrv,bcm_spdsvc,rdpa_cmd,rdpa_mw,rdpa
root@OpenWrt:/tmp# ls /dev/spu*
/dev/spu0
root@OpenWrt:/tmp# spuctl start
root@OpenWrt:/tmp# cat /proc/crypto | grep -A 11 -B 2 bcmspu
name : authenc(hmac(sha256),cbc(des))
driver : authenc-hmac-sha256-cbc-des-spu
module : bcmspu
priority : 3000
refcnt : 1
selftest : passed
internal : no
type : aead
async : yes
blocksize : 8
ivsize : 8
maxauthsize : 32
geniv : <built-in>
name : authenc(hmac(sha256),cbc(des3_ede))
driver : authenc-hmac-sha256-cbc-3des-spu
module : bcmspu
priority : 3000
refcnt : 1
selftest : passed
internal : no
type : aead
async : yes
blocksize : 8
ivsize : 8
maxauthsize : 32
geniv : <built-in>
name : authenc(hmac(sha256),cbc(aes))
driver : authenc-hmac-sha256-cbc-aes-spu
module : bcmspu
priority : 3000
refcnt : 1
selftest : passed
internal : no
type : aead
async : yes
blocksize : 16
ivsize : 16
maxauthsize : 32
geniv : <built-in>
name : authenc(hmac(md5),cbc(des))
driver : authenc-hmac-md5-cbc-des-spu
module : bcmspu
priority : 3000
refcnt : 1
selftest : passed
internal : no
type : aead
async : yes
blocksize : 8
ivsize : 8
maxauthsize : 16
geniv : <built-in>
name : authenc(hmac(md5),cbc(des3_ede))
driver : authenc-hmac-md5-cbc-3des-spu
module : bcmspu
priority : 3000
refcnt : 1
selftest : passed
internal : no
type : aead
async : yes
blocksize : 8
ivsize : 8
maxauthsize : 16
geniv : <built-in>
name : authenc(hmac(md5),cbc(aes))
driver : authenc-hmac-md5-cbc-aes-spu
module : bcmspu
priority : 3000
refcnt : 1
selftest : passed
internal : no
type : aead
async : yes
blocksize : 16
ivsize : 16
maxauthsize : 16
geniv : <built-in>
name : authenc(hmac(sha1),cbc(des))
driver : authenc-hmac-sha1-cbc-des-spu
module : bcmspu
priority : 3000
refcnt : 1
selftest : passed
internal : no
type : aead
async : yes
blocksize : 8
ivsize : 8
maxauthsize : 20
geniv : <built-in>
name : authenc(hmac(sha1),cbc(des3_ede))
driver : authenc-hmac-sha1-cbc-3des-spu
module : bcmspu
priority : 3000
refcnt : 1
selftest : passed
internal : no
type : aead
async : yes
blocksize : 8
ivsize : 8
maxauthsize : 20
geniv : <built-in>
name : authenc(hmac(sha1),cbc(aes))
driver : authenc-hmac-sha1-cbc-aes-spu
module : bcmspu
priority : 3000
refcnt : 3
selftest : passed
internal : no
type : aead
async : yes
blocksize : 16
ivsize : 16
maxauthsize : 20
geniv : <built-in>
root@OpenWrt:~# ipsec statusall
Status of IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l):
uptime: 32 minutes, since May 23 02:26:31 2020
malloc: sbrk 753664, mmap 0, used 312176, free 441488
worker threads: 10 of 16 idle, 6/0/0/0 working, job queue: 0/0/0/0, scheduled: 2
loaded plugins: charon test-vectors pkcs11 aes des blowfish rc2 sha2 sha1 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp gmpdh curve25519 agent xcbc cmac hmac ctr ccm gcm curl attr kernel-netlink resolve socket-default socket-dynamic connmark forecast farp stroke vici smp updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic xauth-eap dhcp whitelist led duplicheck addrblock unity
Listening IP addresses:
192.168.43.254
...
Connections:
roadwarriorPUBKEY: %any...%any IKEv2
...
roadwarriorPUBKEY: remote: uses public key authentication
roadwarriorPUBKEY: child: 0.0.0.0/0 ::/0 === dynamic TUNNEL
roadwarriorEAPTLS: %any...%any IKEv2
...
roadwarriorEAPTLS: remote: uses EAP_TLS authentication with EAP identity '%any'
roadwarriorEAPTLS: child: 0.0.0.0/0 ::/0 === dynamic TUNNEL
Security Associations (1 up, 0 connecting):
...
roadwarriorEAPTLS[4]: IKEv2 SPIs: d903e4c411b5be67_i b7e8ca32f4ff6d94_r*, public key reauthentication in 2 hours
roadwarriorEAPTLS[4]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_3072
roadwarriorEAPTLS{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: cd60e89d_i 8bd7bc53_o
roadwarriorEAPTLS{1}: AES_CBC_256/HMAC_SHA1_96, 271600951 bytes_i (254572 pkts, 37s ago), 156956715 bytes_o (177812 pkts, 37s ago), rekeying in 16 minutes
roadwarriorEAPTLS{1}: 0.0.0.0/0 ::/0 === 192.168.43.181/32
root@OpenWrt:~# spuctl showstats
Encryption stats
Ingress 177811
Fallback 0
Egress 175526
Error 0
Dropped 2285
Decryption stats
Ingress 256429
Fallback 0
Egress 254571
Error 0
Dropped 1858
40 Mbit/s -> 100 Mbit/s 8)
https://www.speedtest.net/my-result/a/6100173352
-
:clap:
Ma da dove l'hai tirato fuori quel driver?
Io pensavo che invece, fossero tutti i drivers "crypto" non compilati per spu!
Devi assolutamente condividerlo! O:-)
-
Sulle vecchie 3.4 infatti è così, ma come dicevo qui su 4.1 invece quel driver è abilitato come modulo, anche se mancante.
Devo sistemare qualcos'altro nella buildroot, quando mi sputa fuori il pacchetto fatto come si deve ve lo mando.
-
Provate un po', occhio che con HMAC_SHA2_256_128 come hmac per ESP non funziona - nonostante sia apparentemente supportato.
Fate un ipsec statusall mentre il vostro attuale client è connesso per verificare la ciphersuite ESP in uso (è l'ultima indicata nella penultima riga, non quella IKE du righe più sopra) prima di installare il pacchetto. Se vedete che per ESP sta usando HMAC_SHA256_128 fate un downgrade a HMAC_SHA1_96 (che è di default su windows 10), come qui:
roadwarriorPUBKEY[15]: IKEv2 SPIs: 1049a22142fd11fb_i 0383621c775e34f3_r*, public key reauthentication in 2 hours
roadwarriorPUBKEY[15]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
roadwarriorPUBKEY{620}: INSTALLED, TUNNEL, reqid 7, ESP SPIs: c029f52a_i 5ff297e4_o
roadwarriorPUBKEY{620}: AES_CBC_256/HMAC_SHA1_96, 2241665 bytes_i (9593 pkts, 0s ago), 10279421 bytes_o (10322 pkts, 0s ago), rekeying in 30 minutes
roadwarriorPUBKEY{620}: 0.0.0.0/0 ::/0 === 192.168.43.192/32
https://anonfiles.com/N8iecc3fo4/kmod-bcm63xx-tch-spu_4.1.38-1_brcm63xx-tch_ipk
PS: una volta installato il pacchetto il modulo si carica in automatico e lo vedete in lsmod | grep bcmspu
Per avviare l'engine dovete dare un spuctl start. Se volete che parta in automatico create un file /etc/config/hardwarecrypto e riempitelo così:
config hardwarecrypto 'global'
option enable '1'
-
Ok, funziona, la velocita' varia da 80 a 95 Mbps su pc windows,ottimo!!
Ho controllato con htop mentre faceva lo speedtest e vanno a palla tutti e due i core(prima dell'installazione funzionava solo 1 core).
Grazie LuKe, hai fatto un'altro centro! :clap:
Non so' se hai visto i feed di @Marvel :clap: ha compilato strongswan con il pacchetto -full, ora "opkg install strongswan-full" installa tutti i pacchetti,provato e funziona(ci sono pacchetti in piu')
roadwarriorPUBKEY[61]: IKEv2 SPIs: 66025d9083c0d280_i 4974a258c0b2cc26_r*, public key reauthentication in 2 hours
roadwarriorPUBKEY[61]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
roadwarriorPUBKEY{62}: INSTALLED, TUNNEL, reqid 34, ESP SPIs: c5fa17d8_i f34100d6_o
roadwarriorPUBKEY{62}: AES_CBC_256/HMAC_SHA1_96, 40125139 bytes_i (32803 pkts, 0s ago), 3364435 bytes_o (22463 pkts, 0s ago), rekeying in 22 minutes
roadwarriorPUBKEY{62}: 0.0.0.0/0 ::/0 === 192.168.1.100/32
-
Ho fatto un po' di progressi sulle ciphersuite di default da usare nelle config di strongswan. Le trovate sulla pagina della wiki di openwrt. Ora PFS è opzionale e deciso dal client e aes128 è preferito su aes256 in ESP. Resta solo l'inghippo che su questo acceleratore hmac sha2_256_128 non va, quindi rispetto alla guida qua dobbiamo per forza tenerci anche hmac sha1_96 nella suite ESP
In aes128 se è scarico tocca anche i 125 mgabit
Connecting to host 192.168.43.254, port 5201
[ 4] local 192.168.199.169 port 41884 connected to 192.168.43.254 port 5201
[ ID] Interval Transfer Bandwidth Retr Cwnd
[ 4] 0.00-1.00 sec 9.77 MBytes 82.0 Mbits/sec 17 93.5 KBytes
[ 4] 1.00-2.00 sec 12.0 MBytes 101 Mbits/sec 0 158 KBytes
[ 4] 2.00-3.00 sec 13.4 MBytes 112 Mbits/sec 13 166 KBytes
[ 4] 3.00-4.00 sec 15.0 MBytes 126 Mbits/sec 21 161 KBytes
[ 4] 4.00-5.00 sec 12.0 MBytes 101 Mbits/sec 31 85.6 KBytes
[ 4] 5.00-6.00 sec 13.0 MBytes 109 Mbits/sec 0 159 KBytes
[ 4] 6.00-7.00 sec 11.2 MBytes 93.8 Mbits/sec 24 132 KBytes
[ 4] 7.00-8.00 sec 12.9 MBytes 108 Mbits/sec 41 92.1 KBytes
[ 4] 8.00-9.00 sec 12.6 MBytes 106 Mbits/sec 0 161 KBytes
[ 4] 9.00-10.00 sec 12.0 MBytes 101 Mbits/sec 25 103 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.00 sec 124 MBytes 104 Mbits/sec 172 sender
[ 4] 0.00-10.00 sec 123 MBytes 103 Mbits/sec receiver
iperf Done.
-
@LuKePicci ma dovrebbe as-is andare anche sui DGA TIM no? hai mica mai esplorato se wireguard possa portare ulteriori vantaggi (attualmente mi pare quello compilato da ansuel fa crashare il modem al load del modulo)?
-
Devo ancora capire bene in che relazione sono il config.gz preso dal router e quelli trovati nel tar dei sorgenti. Io gli ho messo dentro nel giusto ordine prima quelli generici dell'architettura, poi quelli del target e infine quelli del subtarget. Riguardo questi ultimi però io nel tar (che si chiama vant-w ma non so se è stato richiesto proprio per quel modello o altro) ne ho due versioni, una di default ed una non di default con qualche differenza dall'altra. Il risultato di questa combinazione me lo sono salvato nel subtarget VANTW, dopodiché l'ho usato come base per la config del subtarget VBNTS. A questa ho aggiunto il Kconfig preso dal vbnts con firmware 18.3 in config.gz che mi avevi mandato e l'ho compilato per quel subtarget. Io l'ho testato sul VBNTO e ho anche provato a caricarlo sul VBNTK vuoto su cui non ho installato strongswan.
Darò una occhiata anche a wireguard ma quello con IPsec non c'entra nulla, e l'SPU non lo accelera.
-
Sto preparando un 4130 da mettere nell'altra casa, mi sono imbattuto in un problema con strongswan quando usato in dhcp con ip della lan. In pratica c'è un servizio dosprotect - che credo abbia a che fare col chip wireless 5GHz - che rompe le scatole. La VPN si collegava correttamente ma poi non passava quasi nulla tranne qualche ping. Non ne sono sicuro, ma credo si ricordi i mac address che blocca, infatti provando a connettermi prima in locale e poi in remoto comunque la connessione non funzionava, mentre cambiando mac del client vpn (cioè disabilitando identity_lease) ha preso a funzionare in remoto, ma non in locale. Provo a capire se c'è modo di lasciare dosprotect attivo con una configurazione più opportuna.
PS in aes128 ho toccato i 140Mbit/s
PS2 @FrancYescO niente da fare per wireguard
-
"Non ne sono sicuro, ma credo si ricordi i mac address che blocca, infatti provando a connettermi prima in locale e poi in remoto comunque la connessione non funzionava".
Anche a me e' successo un problema simile al tuo, mi trovavo fuori casa al rientro trovo il secondo router (collegato come estensione della lan,) su cui girava il solo il server strongswan, in bootlooop, lo riattivo e niente strongswan non mi fa accedere, riprovo sul primario chiudendo le porte e anche qui' non mi fa' accedere.
Cambio i settaggi da rightsourceip=%dhcp a rightsourceip=192.168.1.120/32 , e riprende a funzionare.
Quindi il problema ha a che fare col dhcp, anche su luci prima vedevo il fake mac con l'indirizzo assegnato, ora non piu'.
PS Su strongswan possiamo anche configurare l'accensione di un led, usando uno di quelli mappati:
/etc/strongswan.d/charon/led.conf:
led {
activity_led = ambient1:white
blink_time = 50 #non lampeggia
# Whether to load the plugin. Can also be an integer to increase the
# priority of this plugin.
load = yes
}
Per la velocita' mi va' in media a 75, anche sul router scarico e con aes128.
-
Quella cosa del crash subito dopo la connessione (appena inizia a scambiare traffico) me la fa solo con acceleratore hw attivo e se come primo client vpn connetto windows via dhcp. Se prima di lui connetto android (app strongswan, stesso certificato, quindi stessa identity) sempre in dhcp, poi anche windows si connette normalmente. E questo me lo fa sia sul 4131 che sul 4130, non ho però indagato se disattivando identity_lease la cosa cambia. Sospetto ci sia qualche magagna con i mac address dei pacchetti che accelera perchè l'SPU non accelera solo la crittografia aes ma tutta la gestione di ESP per IPsec.. Di fatto il mio 4131 fa uptime di qualche mese quando non sto a sperimentare cose nuove, quindi quando mi connetto da fuori casa è assai probabile io abbia connesso almeno una volta android prima di quel momento.
Il problema di rpfilter (attivato in dosprotect solo nel 4130/2 e non nel 4131) non ha a che fare col reboot e nè con l'acceleratore hw, si presenta solo usando dhcp, semplicemente blocca qualsiasi traffico con sorgente ip di lan che non proviene da interfaccia lan. Ho deciso di poter vivere anche senza rpfilter e l'ho disabilitato.
Invece ho visto che sempre in dosprotect c'è un limite ai pacchetti UDP, ho rimosso quelle regole (ora ce l'ho come sono impostati tcp ed esp) e l'upload mi si è sbloccato oltre i 10mbit a cui era limitato.
-
Ciao Luke,
provo a spostare questa discussione in questo thread.. ma non ho capito la tua domanda. In che senso devo escludere il traffico in uscita dal NAT?
ciao a tutti,
sto cercando di attivare una connessione punto punto IPSEC tra il mio modem TG789vac2 con il firmware uno, verso un server strongswan su debian. Ho attivato la connessione con pre shared key e ikev2, purtroppo, avendo due subnet che si sovrappongono, ho dovuto anche gestire un virtual IP dal lato del mio modem per mascherare i miei IP.
Detto questo, riesco ad attivare la connessione IKE e anche il tunnel tra i due siti, dal server debian riesco anche ad effettuare un ping verso il mio modem, ma al contrario purtroppo non viene creata la rotta.
Probabilmente perchè, come qui descritto:
https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN
per creare la rotta, deve creare questo dispositivo VTI, e per fare ciò è necessario il modulo "kmod-ipvti" che non ho trovato da nessuna parte.
Come posso trovare questo modulo? oppure cambiando configurazione posso ovviare a questo problema?
-
la chain in cui applichi il masquerade sui pacchetti normalmente routati da lan a wan agisce prima di quella che ributta indietro il traffico per passarlo sul tunnel ipsec. Qui lo trovi spiegato meglio: https://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling#General-NAT-problems
-
non capisco come possa dipendere dal firewall. Io sul mio modem non trovo proprio la rotta verso la subnet remota, quindi, se dal modem provo a fare un ping verso l'IP del server remoto, non va da nessuna parte.
se eseguo questo comando sul modem:
ip route list table 220
non restituisce nulla
se invece lo eseguo sul server remoto la rotta è creata correttamente:
192.168.168.126 via 192.168.0.254 dev eth1 proto static src 192.168.1.1
comunque queste sono le regole inserite nel firewall
#strongswan ipsec
iptables -I INPUT -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I OUTPUT -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -t nat -I POSTROUTING -m policy --pol ipsec --dir out -j ACCEPT
-
Hai detto di aver creato un ip virtuale sul modem in modo da ovviare al problema delle subnet sovrapposte. Immagino che questo significhi sostanzialmente far arrivare sul server debian qualsiasi pacchetto proveniente dal modem tramite tunnel ipsec con il campo "source" riempito coll'ip virtuale. In pratica ti occorre nattare il traffico uscente dal modem verso il tunnel da ip locale qualsiasi a ip virtuale.
Se ti trovi con quanto ho appena detto allora la regola
iptables -t nat -I POSTROUTING -m policy --pol ipsec --dir out -j ACCEPTnon può fare al caso tuo.perchè gli stai esplicitamente dicendo di non fare il natting che ti occorre.
Il VTI dimenticatelo, non esiste in linux 3.4
-
ok, grazie mille, ho eliminato quella regola ma non è cambiato nulla.
non mi ero ancora focalizzato sulle regole del nat perchè, al momento, non sono ancora riuscito a raggiungere il server neanche dal modem.
Se il vti non serve, non capisco come dovrebbe fare a creare la regola di routing, dovrebbe creare un'interfaccia virutale? dovrebbe fare tutto in automatico o devo creare io qualche script?
questo è il file ipsec.conf
config setup
charondebug="all"
conn %default
type=tunnel
keyexchange=ikev2
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
esp=aes256-sha1!
mobike=no
conn homeivan-to-office
auto=start
authby=secret
leftid=xxxx.ddns.net
right=xx.xx.xx.xx
[email protected]
leftsourceip=%config
left=%any
rightsubnet=192.168.1.0/24
leftfirewall=yes
aggiungo che questo è il tunnel che vedo attivo sul modem:
ipsec status
Security Associations (1 up, 0 connecting):
homeivan-to-office[1]: ESTABLISHED 5 minutes ago, Public IP local[xxxx.ddns.net]...Public IP Rempote[xxxx.yyyy.it]
homeivan-to-office{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c5350e79_i c6a5c929_o
homeivan-to-office{1}: 192.168.168.126/32 === 192.168.1.0/24
ho eseguito questo comando:
ip route add 192.168.1.0/24 dev br-lan src 192.168.168.126 table 220
e adesso riesco a pingare le macchine della rete remota dal modem.
quindi dovrei creare uno script di up_down per creare manualmente la rotta?
adesso però ho il problema che non riesco ad accedere alla rete remota dalla mia rete locale.
l'IP Virtuale che ho utilizzato per accedere alla rete remota si trova sull'interfaccia br-guest mentre la mia lan sull'interfaccia br-lan, devo creare un routing tra le due interfacce?
-
Il funzionamento normale è basato sul matching di policy ipsec, ovvero si decide se mandare o meno un determinato traffico dentro un tunnel ipsec se matcha una policy ipsec attiva. Questa cosa non è "routing", quindi non va sotto il nome di route-based tunneling per il quale servirebbero vti, interfacce xfrm o altri trucchi con GRE o TUN. Il route-based tunneling consiste nel decidere se mandare o meno un determinato traffico dentro un tunnel ipsec quando lo si vede provenire da una interfaccia di rete, in cui puoi quindi routare traffico tramite route. Ha dei vantaggi ma non credo ti occorrano necessariamente per quello che vuoi fare tu. C'è una pagina sulla wiki di strongswan in cui ti spiega tutto riguardo al route-based tunneling, puoi leggertela per curiosità se ti va: https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN
Avendo tu usato leftsourceip=%config nell'initiator (il technicolor), dovresti dirmi cosa hai impostato come rightsourceip e rightsubnet sul responder (debian) per l'ip virtuale. Inoltre, qui sul technicolor vedo che hai impostato rightsubnet=192.168.1.0/24 il che, pur non conoscendo le tue subnet dai due lati, mi sa di sbagliato in quanto la documentazione di strongswan dice chiaramente che:
The traffic selectors in swanctl.conf and ipsec.conf (local|remote_ts and left|rightsubnet, respectively) default to the value dynamic or %dynamic, respectively. If virtual IPs are used, this value gets dynamically replaced by the received or assigned virtual IP.
Therefore, no local traffic selector must be configured on the client and no remote traffic selector on the server when using virtual IPs. This ensures the client's traffic selector is correctly narrowed to the assigned virtual IP.
-
scusami, hai ragione, non ti ho descritto la mia architettura:
la mia rete office ha la subnet 192.168.1.0/24
il server debian dove è installato strongswan ha l'ip della rete interna = 192.168.1.1 e l'ip della rete esterna = 192.168.0.2
la mia rete home ha la subent 192.168.0.0/24 e l'ip del modem è 192.168.0.1
quindi la sovrapposizione è solo relativa all'IP esterno del server debian con la mia subnet di casa ma, dovendo accedere solo alla subnet interna non dovrebbero esserci problemi, corretto?
questa la configurazione ipsec remota:
config setup
charondebug="all"
uniqueids=no
conn %default
type=tunnel
keyexchange=ikev2
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
esp=aes256-sha1!
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
mobike=no
conn office-to-homeivan
auto=add
authby=secret
right=%xxxx.ddns.net
rightid=xxxx.ddns.net
rightsourceip=192.168.168.126/32
left=192.168.0.2
leftid=xxxx.yyyy.it
leftsubnet=192.168.1.0/24
-
Ok, allora, il rightsubnet sull'initiator, il modem, eliminalo o mettilo sul default che è %dynamic. Com'è ora non è sbagliata ma non ha senso specificarla lì.
Detto questo, non hai bisogno di alcun virtual IP in strongswan in quanto le subnet ai due lati sono disgiunte. Quindi ripulisci tutto ciò che hai creato relativamente a quel virtual ip custom, lascia che gli venga assegnato un ip virtuale appartenente alla subnet remota 192.168.1.0 e rimetti la regola di nat exemption nel firewall. A quel punto fai le varie prove a raggiungere la rete 192.168.1.0 dal technicolor e dai suoi host lan, e viceversa dal server debian la rete 192.168.0.0 quando l'altra sulla stessa subnet non esiste.
Dopodiché, per risolvere il conflitto che hai sul server debian che giustamente non sa come raggiungere 192.168.0.0 e famiglia quando c'è connessa sia la VPN che l'altra rete, devi escogitare qualcosa dal suo lato che però non ha niente a che fare con ipsec e strongswan. Ovviamente io preferirei cambiare la subnet di casa, non so se hai già scartato questa soluzione ma sarebbe un bel passo avanti perchè a quel punto ti basterebbe aggiungere una banale rotta verso 192.168.0.0 sul technicolor attraverso 192.168.1.1 o altro router su quella rete.
-
ma quindi, se io non avessi la necessità di raggiungere dalla rete debian la rete del technicolor, ma mi servisse solo la rotta al contrario, non dovrei fare nient'altro?
-
se l'unico scopo è raggiungere dalla rete lan del technicolor l'altra rete 192.168.0.0 a cui è connesso il server debian ma che non è quella tramite la quale il server agisce da responder ipsec allora non dovresti fare nient'altro che creare dal lato del technicolor la rotta che ti dicevo, perchè i tuoi dispositivi nella rete del technicolor verrebbero visti dall'altra parte come un unico 192.168.1.N (rightsourceip) che molto probabilmente gli altri host sulla 192.168.0.0 già sanno come raggiungere, ma questo lo sto solo ipotizzando, se così non fosse sono altre cose a cui badare dall'altor lato.
-
dopo una serie di tentativi sono riuscito a riattivare il tunnel ma non senza definire un virtual IP, però non sono riuscito ad ottenere un IP da utilizzare lato initiator.
questa è la configurazione di entrambe le macchine:
# initiator Technicolor
conn %default
type=tunnel
keyexchange=ikev2
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
esp=aes256-sha1!
mobike=no
installpolicy=yes
conn homeivan-to-office
auto=start
authby=secret
leftid=xxxx.ddns.net
right=85.18.44.44
rightid=xxxx.yyyy.it
leftsourceip=%config4
rightsubnet= %dynamic
rightsourceip=%dhcp
rightsubnet=192.168.1.0/24
#receiver Debian
conn %default
type=tunnel
keyexchange=ikev2
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
esp=aes256-sha1!
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
mobike=no
conn office-to-homeivan
auto=add
authby=secret
right=%xxxx.ddns.net
rightid=xxxx.ddns.net
left=192.168.0.2
leftid=xxxx.yyyy.it
leftsubnet=192.168.1.0/24
ho anche provato ad aggiungere nel strongswan.conf questo:
plugins {
attr {
dns = 192.168.1.15, 192.168.1.16
dhcp = 192.168.1.15, 192.168.1.16
}
}
-
No scusa lascia perdere il dhcp, non mettere in mezzo altre cose, sul technicolor non ci va nessun rightsourceip, e togli anche quella rightsubnet statica. E' sul server che devi mettere rightsourceip=%dhcp o per il momento solo un ip singolo a tua scelta tipo 192.168.1.42/32 Quella roba che hai messo nei plugin levala, non serve a nulla per quello che stai cercando di fare.
-
avevo già provato senza successo.
se lascio %dhcp ricevo questo errore:
Oct 12 08:59:18 mail charon: 08[IKE] peer requested virtual IP %any
Oct 12 08:59:18 mail charon: 08[IKE] no virtual IP found for %any requested by 'xxxx.ddns.net'
Oct 12 08:59:18 mail charon: 08[IKE] no virtual IP found, sending INTERNAL_ADDRESS_FAILURE
Oct 12 08:59:18 mail charon: 08[IKE] traffic selectors 85.18.44.44/32 === 0.0.0.0/0 inacceptable
Oct 12 08:59:18 mail charon: 08[IKE] failed to establish CHILD_SA, keeping IKE_SA
se invece imposto un IP fisso (192.168.1.25/32) ricevo questo errore:
Oct 12 09:01:37 mail charon: 07[IKE] peer requested virtual IP %any
Oct 12 09:01:37 mail charon: 07[CFG] assigning new lease to 'xxxx.ddns.net'
Oct 12 09:01:37 mail charon: 07[IKE] assigning virtual IP 192.168.1.25 to peer 'xxxx.ddns.net'
Oct 12 09:01:37 mail charon: 07[IKE] traffic selectors 85.18.44.44/32 === 0.0.0.0/0 inacceptable
Oct 12 09:01:37 mail charon: 07[IKE] failed to establish CHILD_SA, keeping IKE_SA
Ovviamente io preferirei cambiare la subnet di casa
ho seguito il tuo consiglio ed ho cambiato la subnet nella mia rete di casa, ma il problema non è cambiato.. :(
-
https://anonfiles.com/N8iecc3fo4/kmod-bcm63xx-tch-spu_4.1.38-1_brcm63xx-tch_ipk
riuppi quando puoi? anzi se @Marvel lo mette anche in repo tanto meglio :D
-
@ivan1970 cosa hai messo come rightsubnet sul server debian? è giusto con l'ip fisso, il dhcp ora non ti serve. Buono aver cambiato la subnet di casa, appena risolto quell'errore sul selector non dovresti avere problemi a raggiungere qualsiasi 192.168.1.0 dal technicolor (e dalla sua lan)
OT/ @FrancYescO se mi dite da dove è venuto fuori gli faccio il torrent /OT
-
@ivan1970 cosa hai messo come rightsubnet sul server debian? è giusto con l'ip fisso, il dhcp ora non ti serve. Buono aver cambiato la subnet di casa, appena risolto quell'errore sul selector non dovresti avere problemi a raggiungere qualsiasi 192.168.1.0 dal technicolor (e dalla sua lan)
questa è la configurazione adesso:
# initiator Technicolor
conn %default
type=tunnel
keyexchange=ikev2
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
esp=aes256-sha1!
mobike=no
installpolicy=yes
conn homeivan-to-office
auto=start
authby=secret
left=192.168.222.1
[email protected]
right=85.18.44.44
[email protected]
#receiver Debian
conn %default
type=tunnel
keyexchange=ikev2
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
esp=aes256-sha1!
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=clear
mobike=no
conn office-to-homeivan
auto=add
authby=secret
right=%xxxx.ddns.net
rightid=xxxx.ddns.net
left=192.168.0.2
leftid=xxxx.yyyy.it
rightsubnet=192.168.222.0/24
e non riesce ad effettuare la connessione IKE
Oct 12 18:49:25 mail charon: 12[NET] received packet: from 79.17.211.208[500] to 192.168.0.2[500] (840 bytes)
Oct 12 18:49:25 mail charon: 12[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) ]
Oct 12 18:49:25 mail charon: 12[IKE] 79.17.211.208 is initiating an IKE_SA
Oct 12 18:49:25 mail charon: 12[IKE] local host is behind NAT, sending keep alives
Oct 12 18:49:25 mail charon: 12[IKE] remote host is behind NAT
Oct 12 18:49:25 mail charon: 12[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) N(MULT_AUTH) ]
Oct 12 18:49:25 mail charon: 12[NET] sending packet: from 192.168.0.2[500] to 79.17.211.208[500] (584 bytes)
Oct 12 18:49:45 mail charon: 13[IKE] sending keep alive to 79.17.211.208[500]
Oct 12 18:49:55 mail charon: 14[JOB] deleting half open IKE_SA after timeout
-
Il left sul server ha un valore che non ha senso, ma non sto capendo perché non ritorni alla situazione di partenza in cui avevi solo un problema sull'ip virtuale scelto, da lì eravamo molto più vicini al traguardo
-
anzi se @Marvel lo mette anche in repo tanto meglio
Certamente, non ci sono problemi, se @LuKePicci mi da il permesso lo carico nel repo con i dovuti credits.
OT/ @FrancYescO se mi dite da dove è venuto fuori gli faccio il torrent /OT
In che senso dove è venuto fuori? L'hai caricato tu:
https://www.ilpuntotecnico.com/forum/index.php/topic,82673.msg265543.html#msg265543
:D
-
Il left sul server ha un valore che non ha senso, ma non sto capendo perché non ritorni alla situazione di partenza in cui avevi solo un problema sull'ip virtuale scelto, da lì eravamo molto più vicini al traguardo
perchè prima avevo il virtual IP che adesso non dovrebbe più servire..
ho cercato di ridurre al minimo i parametri, adesso però la connessione IKE viene effettuata ma non va avanti perchè ricevo l'errore: traffic selectors inacceptable
adesso la configurazione è questa:
#initiator
conn homeivan-to-office
auto=start
authby=secret
left=%any
leftid=[member=1153]xxxx[/member].ddns.net
leftsubnet=192.168.222.0/24
leftfirewall=yes
right=85.30.40.50
rightid=xxxx.yyyy.it
rightsubnet=192.168.1.0/24
#responder
conn office-to-homeivan
auto=add
authby=secret
right=%xxxx.ddns.net
rightid=xxxx.ddns.net
leftid=xxxx.yyyy.it
in questo caso ricevo questo errore:
traffic selectors 192.168.1.0/24 === 192.168.222.0/24 inacceptable
invece togliendo il dalla configurazione dell'initiator i parametri leftsubnet e rightsubnet ricevo questo errore
traffic selectors 85.30.40.50/32 === 79.17.211.210/32 inacceptable
i due IP rappresentano i due IP pubblici dei due siti. Ma nel log quando effettua la connessione lato responder non mette l'IP pubblico ma quello della rete esterna al concentratore:
IKE_SA office-to-homeivan[2] established between 192.168.0.2[fqdn]...79.17.211.210[fqdn]
non vorrei che fosse questo parte del problema.. :-\
-
sono riuscito ad attivare il tunnel:
#initiator
root@modemtim:~# ipsec status
Security Associations (1 up, 0 connecting):
homeivan-to-office[1]: ESTABLISHED 15 seconds ago, 79.17.211.208[xxxx.ddns.net]...85.30.40.50[xxxx.yyyy.it]
homeivan-to-office{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: cf84ecd7_i c4c75c86_o
homeivan-to-office{1}: 192.168.222.0/24 === 192.168.1.0/24
#responder
root@mail:~# ipsec status
Security Associations (1 up, 0 connecting):
office-to-homeivan[1]: ESTABLISHED 23 seconds ago, 192.168.0.2[xxxx.yyyy.it]...79.17.211.208[xxxx.ddns.net]
office-to-homeivan{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c4c75c86_i cf84ecd7_o
office-to-homeivan{1}: 192.168.1.0/24 === 192.168.222.0/24
però non esistono rotte tra le due subnet e non sono riuscito a crearne una manualmente.. ma devo creare io la rotto o dovrebbe essere creata in automatico alla connessione?
abilitando il parametro leftfirewall=yes su entrambi i siti, adesso sul server debian trovo questa rotta:
ip route list table 220
192.168.222.0/24 via 192.168.0.254 dev eth1 proto static src 192.168.1.1
mentre sul technicolor non trovo nulla.. ma ciò nonostante non c'è routing in nessun verso..
-
Ottimo, mi sono accorto di aver confuso io le tue due subnet su debian, sul server in rightsubnet ci va 192.168.0.0/24 (ti avevo detto .1.1/24) e rightsourceip deve essere un ip in 192.168.0.0 tipo 192.168.0.42 (ti avevo detto .1.42)
A quel punto prova dal technicolor a raggiungere un qualsiasi indirizzo in 192.168.0.0, sia quello virtuale assegnato al tch, sia quello del server debian (che se ho ben intuito dovrebbe essere 192.168.0.2) sia gli altri nella rete esterna dell'ufficio. Dopodichè ti serve creare manualmente sul technicolor una rotta che gli indichi di poter raggiungere 192.168.1.0 attraverso il tunnel vpn, cosa che ora puoi fare senza conflitti avendo cambiato la subnet di casa in .222.0. Fatto questo dovresti poter raggiungere 192.168.1.1. Come vedi sul server spunta in automatico la rotta per il tragitto inverso che dice a lui dove rispedire i pacchetti destinati a 192.168.222.0, anche questa funzionerà senza conflitto perchè in ufficio non c'è una subnet con quell'id. Infine, se i vari host in 192.168.1.0 già usano 192.168.1.1 come default gateway non hai bisogno di dar loro alcuna regola perchè nel tentativo di raggiungere 192.168.222.0 (per loro un indirizzo non locale) andranno al default gateway (il server debian) e lui sa come mandarli avanti perchè ha quella rotta aggiunta automaticamente verso la rete di casa.
-
bene @LuKePicci, ci sono quasi :)
impostando il leftsourceip a 192.168.0.250 non mi tirava su il tunnel. Quindi ho provato a creare un alias di quell'ip sul technicolor aggiungendolo alla scheda di loopback, ed in questo modo il tunnel viene tirato su correttamente e riesco anche a raggiungere la subnet 192.168.0/24 sia dal technicolor che dalla mia rete di casa.. :clap:
non riesco ancora a far funzionare il contrario, nel senso che dal debian non raggiungo ne il 192.168.0.250 e tantomeno la subnet 192.168.222.0/24, ma questo problema al momento mi interessa poco..
Il problema che ho adesso, è che non ho capito come creare la rotta sul technicolor per raggiungere la subnet 192.168.1.0/24
ho provato con questo comando
ip route add 192.168.1.0/24 dev br-lan src 192.168.0.250 table 220
ho provato anche a togliere il table 200 (che non mi è chiaro a cosa serva).
ho anche provato a sostituire il device br-lan con lo (visto che associato l'p sorgente alla scheda di loopback).
tutto senza successo.. Scusami ma, probabilmente, mi manca qualche concetto di base.. :headbang:
edit
scusate..
ho scritto un saccco di cavolate.. a rispondere al ping sulla subnet 192.168.0.0/24 non è la rete remota, ma è sempre la mia loopback. :headbang: :headbang:
-
Perdonami, quello da mettere su 192.168.0.250 è il rightsourceip sul server, non left.
-
scusami @LuKePicci però a me manca un concetto:
che io sappia un IP deve sempre essere appoggiato ad un interfaccia di rete (fisica o virtuale che sia).
Se io non configuro un interfaccia di rete e, a quanto pare, non lo fa neanche strongswan, su che interfaccia verrà configurato l'IP 192.168.0.250?
-
Semplicemente gli ip virtuali di strongswan non sono associati a nessuna interfaccia, infatti non hanno un indirizzo mac, puoi fare in modo che ne venga gestito uno finto ciascuno ma è solo per abilitare un certo tipo di logiche che senza non funzionerebbero. La connettività IP base funziona anche senza.
Se cerchi qualcosa in giro trovi sicuramente materiale a riguardo.
In effetti credo sia questo il motivo per cui si chiamano "virtuali"
-
questa è la mia ultima configurazione:
#initiator
conn homeivan-to-office
auto=start
authby=secret
left=%any
leftid=[member=1153]xxxx[/member].ddns.net
leftsubnet=192.168.222.0/24
leftsourceip=%config
leftfirewall=yes
right=85.30.40.50
rightid=xxxx.yyyy.it
rightsubnet=192.168.0.0/24
#responder
conn office-to-homeivan
auto=add
authby=secret
leftid=xxxx.yyyy.it
leftsubnet=192.168.0.0/24
leftfirewall=yes
right=%xxxx.ddns.net
rightid=xxxx.ddns.net
rightsubnet=192.168.222.0/24
rightsourceip=192.168.0.250/32
adesso l'ip virtuale è stato tirato su e dal technicolor riesco a pingarlo, ma non vedo nessun altro server della rete 192.168.0.0/24.
in più adesso mi sembra che abbia tiruto su tutte questo nuove interfaccia che prima non mi sembrava di avere:
ifconfig -a
atm0 Link encap:Ethernet HWaddr 10:13:31:B4:46:84
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
atmwan Link encap:Ethernet HWaddr 10:13:31:B4:46:84
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
br-ipsec0 Link encap:Ethernet HWaddr 0E:FB:E8:BE:CD:96
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
gre0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-50-00-00-00-00-00-00-00 -00
NOARP MTU:1476 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
ifb0 Link encap:Ethernet HWaddr 2A:98:0F:7B:06:1E
BROADCAST NOARP MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:32
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
ifb1 Link encap:Ethernet HWaddr 2E:E0:FA:11:51:95
BROADCAST NOARP MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:32
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
ip6gre0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 -00
NOARP MTU:1448 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
ip6tnl0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 -00
NOARP MTU:1452 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
ptm0 Link encap:Ethernet HWaddr 10:13:31:B4:46:84
inet6 addr: fe80::1213:31ff:feb4:4684/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1508 Metric:1
RX packets:1564614 errors:0 dropped:0 overruns:0 frame:0
TX packets:665576 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1716452738 (1.5 GiB) TX bytes:307101278 (292.8 MiB)
sit0 Link encap:IPv6-in-IPv4
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
teql0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 -00
NOARP MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
tunl0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-50-00-00-00-00-00-00-00 -00
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
-
Ok, ora mi sembra tutto giusto, prova un ping dal technicolor verso l'IP del server Debian. Il fatto che ti rispondano o meno al ping può dipendere (e dipende di sicuro su macchine windows) dal fatto che le risposte ai ping sono proibite quando giungono da io non appartenenti alla subnet locale. Abilitarlo non ha senso, se devi fare prove metti qualcosa in ascolto sui server in .0.0, assicurati che dal server Debian tu possa accedervi e poi prova anche dal technicolor (e sua LAN)
-
è proprio quello il test che sto facendo, ma al ping non risponde.
il tunnel ipSec è attivo:
root@modemtim:~# ipsec status
Security Associations (1 up, 0 connecting):
homeivan-to-office[3]: ESTABLISHED 2 hours ago, 79.40.230.125[xxxx.ddns.net]...85.30.40.50[xxx.yyyy.it]
homeivan-to-office{8}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: cfb a6a79_i c6674ad0_o
homeivan-to-office{8}: 192.168.222.0/24 === 192.168.0.0/24
se provo a tracciare la rotta non va da nessuna parte:
root@modemtim:~# traceroute 192.168.0.2
traceroute to 192.168.0.2 (192.168.0.2), 30 hops max, 38 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
:-\
-
Ho un dubbio, prova con le medesime config ma commentta leftsourceip e rightsourceip su initiator e responder rispettivamente e riprova.
-
Ho un dubbio, prova con le medesime config ma commentta leftsourceip e rightsourceip su initiator e responder rispettivamente e riprova.
avevo già fatto questa prova diverse volte ma non riusciva a connettersi....
Adesso ci ho riprovato, ha tirato su il tunnel, ma non riesco ancora a comunicare tra i due siti.
Lanciando una traceroute da entrambe le parti non va da nessuna parte come succedeva ieri.
-
La regola di nat exemption c'è l'hai sempre da entrambi i lati vero?
Per il resto è tutto corretto, io uso una configuraziobe analoga qui a casa da me.
Non è che hai lasciato in giro qualche rimasugli di regole e rotte create per fare prove?
-
le regole dovrebbero esserci (e comunque non dovrebbe inserirle lo script di updown essendo impostato il leftfirewall=yes?)
adesso dal server debian riesco a raggiungere tutte le macchine di casa (subnet 192.168.222.0/24), che è l'unica cosa che non mi serve :D
però dal technicolor non raggiungo neanche il server debian (192.168.0.2).
ho provato anche ad attivare un tcpdump sull'interfaccia 192.168.0.2 del server debian ma non vedo proprio arrivare i pacchetti.
la cosa strana è che se lancio il comando
ip route list table 220
sul server Debian vedo questa rotta:
192.168.222.0/24 via 192.168.0.254 dev eth1 proto static src 192.168.0.2
mentre sul technicolor non restituisce nulla. E da quanto ho letto in giro questa rotta dovrebbe essere presente su entrambi i siti.
-
ora non ho modo di controllare le rotte ma il fatto che lato technicolor funzioni conferma che la config è corretta
riguardo leftfirewall, è deprecata, non fa nulla
la rotta è giusta e ci deve essere anche sul technicolor, io la vedo
-
grazie mille @LuKePicci risolto tutto.. :clap: :clap: :clap:
non creava la rotta perchè non era impostatato il parametro install_routes=yes
per aggiungere la rotta verso la subnet 192.168.1.0/24 ho aggiunto una nuova connessione nel file ipsec.conf
conn homeivan-to-officeinternal
also=homeivan-to-office
rightsubnet=192.168.1.0/24
in questo modo mi crea entrabbe le rotte
ipsec status
Security Associations (1 up, 0 connecting):
homeivan-to-office[1]: ESTABLISHED 14 minutes ago, 79.40.230.125[xxxx.ddns.net]...85.30.40.50[xxxx.yyyy.it]
homeivan-to-office{1}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c1134710_i c8213f55_o
homeivan-to-office{1}: 192.168.222.0/24 === 192.168.0.0/24
homeivan-to-officeinternal{2}: INSTALLED, TUNNEL, reqid 2, ESP in UDP SPIs: c40d9583_i ca97ce9c_o
homeivan-to-officeinternal{2}: 192.168.222.0/24 === 192.168.1.0/24
:headbang: :headbang:
-
Si però così ti crea due tunnel, prova a mettere la seconda subnet nel rightsubnet dell'altra, dovresti poter settare rightsubnet come una lista di subnet
-
Ci ho provato, ma ignorava la seconda subnet.. :-\
-
Non so perchè te la ignori, non mi è mai capitato di definirgli una coppia di subnet, io avrei creato a mano la rotta per .1.1
Il problema è che adesso che funziona la cosa logica sarebbe rimettergli l'ip virtuale che ti avevo fatto togliere per prova, ovvero riaggiungere rightsourceip e rimuovere rightsubnet dal server e rimuovere leftsubnet sal router di casa, altrimenti ora come ora chiunque in ufficio può entrare su tutti i pc e dispositivi della tua lan di casa, cosa ovviamente da evitare. Però col doppio tunnel mi sa che ti tocca il doppio ip virtuale
-
Ho provato anche a creare a mano la rotta ma mi ignorava anche quella.. ma secondo te potrei eliminare il tunnel della subnet 192.168.0.0/24? Perché quella non mi interessa..
-
Credo di si
-
sono riuscito a sostituire la subnet 192.168.0.0 con la 192.168.1.0
la configurazione con il virtual ip non riesco proprio a farla, ma non è un problema..
quello che mi preme capire adesso è se riesco ad aumentare le performance di ipsec.
Con un tunnel OpenVPN su un alto router riuscivo ad avere una banda di 50Mbps in download e 20 in upload (praticamente la banda del mio provider)
con il tunnel ipsec ho un banda di circa 10Mbps in download e 10 in opload, c'è un modo per migliorare queste performance?
-
Se fai un downgrade ad AES128 per ESP forse va leggermente meglio, ma se ti servono performance superiori devi prendere qualcosa di più performante tipo uno dei vari DGA (il 4132 fa anche 120 mega)
-
riuppi quando puoi? anzi se @Marvel lo mette anche in repo tanto meglio :D
@LuKePicci, il driver da te compilato, kmod-bcm63xx-tch-spu_4.1.38-1_brcm63xx-tch.ipk per l'accellerazione hardware posso metterlo su anon e condividerlo?
-
Si puoi ma quel driver mi sta facendo brutti scherzi a seconda del client che uso
-
@FrancYescO, @Marvel,
https://anonfiles.com/h4kd3ah6p3/kmod-bcm63xx-tch-spu_4.1.38-1_brcm63xx-tch_ipk
Per avviare l'engine dovete dare un spuctl start. Se volete che parta in automatico create un file /etc/config/hardwarecrypto e riempitelo così:
Codice: [Seleziona]
config hardwarecrypto 'global'
option enable '1'
@LuKePicci, quando lo installo e faccio i test arriva a max 140 Mb, e con htop vedo i due core che vanno al massimo, una volta che riavvio il gateway la velocita' scende a max 70 Mb, e con htop vedo che funziona solo 1 core.
-
Finchè non mi funziona stabilmente anche da client non-Android questo che descrivi è il problema minore. Poi magari sono correlate ma in buona sostanza mi va in crash la maggior parte delle volte (e non ho capito quando non lo fa) che mi ci connetto da windows o da altro dga con lo stesso setup. A voi non capita mai?
-
@LuKePicci io non uso un server vpn su nessuno dei miei dga, mi dispiace ma non posso darti un feedback.
Comunque dimmi tu, carico il pacchetto sul repo?
-
No io eviterei, viene da una toolchain diversa ed ha un target differente. Meglio tenerlo fuori dalla repo
-
@LuKePicci, ho due dga 4131 collegati in cascata lan/lan, sul primo, con interfaccia originale + luci e root, ho anche tutti i servizi, strongswan incluso, settato in modo che il dhcp(di strongswan) mi assegni gli indirizzi , mi succede che periodicamente non mi assegna gli indirizzi virtuali e di conseguenza non fa entrare nessun device da remoto, se le cambio le impostazioni strongswan senza il dhcp mi fa' entrare.
Sul secondo ho la custom gui + luci e anche li strongswan senza altri servizi, dopo che apro le porte sul primo ovviamente, con la stessa configurazione dhcp , strongswan mi accetta tutti i device.
-
@LuKePicci volevo dilettarmi ad installare la vpn per raggiungere la telecamera dall'esterno. Provo ad installare il tutto prima sul mio AP DGA4132 in lan e poi se tutto funziona passo direttamente sul dga4132 che mi da' la connettività, in questo modo lavoro tutto in lan 192.168.1.0/24.
Se voglio usare come client un win7 o l'app StrongSwan di Android quali certificati devo installare sui client vpn tra questi:
caCert.pem, clientCert_myvpnclient1.pem, client_myvpnclient1.p12
Inoltre ho questi feeds nei miei files "chaos_calmer_packages" vanno bene per l'installazione dei pacchetti?
-
Solo il p12, ma segui la guida.
Credo di no.
-
Uso una gui un po' vecchiotta 9.4.70 credo, semplicemente perché non mi ha mai dato noie e da allora non l'ho più aggiornata. E' per quello che ho i vecchi repo? Mi consigli di aggioranrla o fare tutto daccapo mettendo subito l'ultima stable GUI? Tra l'altro qual'è? Ultimamente mi sono un po' perso su quella che va bene...
-
Quello che devi fare non ha nulla a che vedere con la gui mod, quindi sarebbe indifferente, ma fare esperimenti con pacchetti custom nella condizione in cui ti ha messo quella mod non è consigliabile, rischi seriamente i brickarlo.
-
Come versione di Firmware ho una delle ultime superiore alla 2.2.0, corro cmq il problema di Brickarlo? Cosa devo fare per evitarlo.
Ti riporto alcune cose che ho notato installando il pacchetto Strogswan riportato in questa discussione.
Ho seguito passo passo lo script di @FrancYescO ../strongswan/setup.sh e mi sembra che ci siano degli errori o meglio delle differenze rispetto a quanto pubblicato da OpenWRT nella guida online "IPsec Modern IKEv2 Road-Warrior Configuration".
Le differenze più evidenti riguardano alcune sezioni del file ipsec.conf, le riporto di seguito, mi dici il perché:
conn %default
openwrt: ike=aes256-aes128-sha256-sha1-modp3072-modp2048
script: ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
openwrt: esp=aes128-aes256-sha256-modp3072-modp2048,aes128-aes256-sha256
script: non presente
conn rwEAPMSCHAPV2
Nessuna differenza
conn rwPUBKEYIOS
openwrt: rightca=clientCert_myvpnclient1.pem
script: rightca=caCert.pem
conn rwEAPTLSIOS
openwrt: rightca=clientCert_myvpnclient1.pem
script: rightca=caCert.pem
conn rwPUBKEY
openwrt: rightca=clientCert_myvpnclient1.pem
script: rightca=caCert.pem
conn rwEAPTLS
openwrt: rightca=clientCert_myvpnclient1.pem
script: rightca=caCert.pem
-
openwrt: ike=aes256-aes128-sha256-sha1-modp3072-modp2048
script: ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
openwrt: esp=aes128-aes256-sha256-modp3072-modp2048,aes128-aes256-sha256
script: non presente
IKE=quella che permette identificazione(autentication alghoritms)- si compone di tre gruppi :Encryption Algorithms,Integrity Algorithms,Diffie Hellman Groups
ESP=quella che trasporta il traffico della vpn- si compone di due gruppi :Encryption Algorithms,Integrity Algorithms
Potresti anche non mettere quelle righe (io non li ho), in pratica il server accetta quegli algoritmi.
Per quanto riguarda la rightca = mi pare siano uguali, pero' non sono sicuro, avevo fatto io una richiesta a Francyesco per poter generare piu' certificati automaticamente, e quindi distinguerli, es.:
certificato1 "myvpnclient1", genera clientCert_myvpnclient1.pem + il .p12, da consegnare al client
certificato2 "peppino", genera clientCert_peppino.pem + il .p12, da consegnare al client
openwrt: rightca=clientCert_myvpnclient1.pem
script: rightca=caCert.pem
anche questa riga io l'ho settata diversamente, con lo script dovrebbe essere cosi',ovviamente nello script puoi modificarle:
rightca="C=US, O=Technicolor, CN=CATechnicolor"
-
Ok grazie Mille! @LuKePicci mi ha detto che rischio di brickkare il modem, tu che versione di firmware utilizzi con strogswan.
Volevo, inoltre, chiederti se lo usi da tempo e se hai riscontrato malfunzionamenti o blocchi del modem.
Grazie Mille. Tanti auguri di buone feste,
-
Ho 2 dga4131 con firmware aggiornato alla v. 18, li ho briccati piu' volte, l'importante e' che tu abbia il bank planning, cosi' in casi estremi flashi con tftpd.
Strongswan funziona perfettamente, i problemi che mi ha dato sono "piccoletti" non da brick.
Utilizzo i feed di Ansuel + quelli di Macoers, che sono per openwrt v.18,forse LuKe si riferiva ai feed che stai utilizzando.
Le nuove versioni della gui effettuano il bank planning automaticamente, dopo vari reboot, quindi il consiglio e' portare il router alla v. 18
e poi gui, che ti mette anche i feed giusti.
-
Mi riferivo alla vecchia gui che gli disattiva il bank planning.
-
Vi riassumo le prove che ho fatto con client win7 e app android StrogSwan ver 2.3.2 in modalità Lan.
Per entrambi i casi sono SOLO riuscito a far funzionare il profilo "as PUBKEY roadwarriors" corrispondente alla sezione "rwPUBKEY" del file ipsec.conf
Uniche accortezze adottate:
1) ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
Quella con modp2048 suggerita dalla guida OpenWRT probabilmente funziona solo con win10.
2) rightcert=clientCert_myvpnclient1.pem
utilizzato il certificato client anziché quello della CA caCert.pem
Ora che la parte ipsec è smarcata mi diletto a fare le prove via Internet inserendo le incognite introdotte da iptables e dal Nat.
@a1pollo e @LuKePicci grazie per tutto midite solo quale Gui installare per non avere problemi. Infine per i feed Macoers @a1pollo li inserisco a mano come da te scritto in qualche post indietro?
Grazie Mille.
-
L'ultima, che ti metterà anche tutti i feed che servono.
Le modalità che lo script inserisce sono state scelte appunto per renderlo il più compatibile possibile con vari device/os
-
Come dice FrancYesco, ovviamente, ma alla fine ti funziona?
Io su android ho come IKEv2 Algoritms:
aes128-sha1-modp2048
piu' veloce ma meno sicura,l'importante e' che ti funzioni, poi puoi sperimentare tutti i settaggi, sul server.
-
Messa GUI last stable v9.6.65, forse converrebbe includere le ultime versioni di openssl perché opkg update da errore.
Aggiornamento fatto a mano:
opkg install libopenssl_1.0.2t-1_arm_cortex-a9_neon.ipk
Upgrading libopenssl on root from 1.0.2o-1 to 1.0.2t-1...
opkg install openssl-util_1.0.2t-1_arm_cortex-a9_neon.ipk
opkg update
@a1pollo ho distrutto la parte LAN, per cui non posso riprovare... appena ho il server operativo su internet rifaccio verifiche mettendo i requisiti minimali di sicurezza come riportato dalla Guida di OpenWRT, a me interessa che funzioni sopratutto con i client Android e Apple degli smartphone. La parte EAP nelle prove precedenti non mi funzionava ma secondo voi era perché non avevo installato i moduli:
opkg list | grep strongswan-mod-eap- ?
-
Molto probabilmente se non avevi i feed complati da Marvel che contiene strongswan-full con tutti i pacchetti. Anche io avevo riscontrato errori per mancanza di pacchetti installati.
Se hai fatto l'upgrade della gui dovresti avere ora tutti i feed giusti, se non dovessi averli devi aggiungerli manualmente.
I feed di Marvel sono i seguenti, vanno messi in /etc/opkg/customfeeds.conf:
src/gz chaos_calmer_base_macoers https://www.macoers.com/repository/homeware/18/brcm63xx-tch/VANTW/base
src/gz chaos_calmer_packages_macoers https://www.macoers.com/repository/homeware/18/brcm63xx-tch/VANTW/packages
src/gz chaos_calmer_luci_macoers https://www.macoers.com/repository/homeware/18/brcm63xx-tch/VANTW/luci
src/gz chaos_calmer_routing_macoers https://www.macoers.com/repository/homeware/18/brcm63xx-tch/VANTW/routing
src/gz chaos_calmer_telephony_macoers https://www.macoers.com/repository/homeware/18/brcm63xx-tch/VANTW/telephony
src/gz chaos_calmer_core_macoers https://www.macoers.com/repository/homeware/18/brcm63xx-tch/VANTW/target/packages
Se dovessi avere problemi per l'archittettura aggiungi in cima a /etc/opkg.conf sopra gli altri feed(ansuel):
dest root /
dest ram /tmp
lists_dir ext /var/opkg-lists
option overlay_root /overlay
arch all 100
arch arm_cortex-a9 200
arch arm_cortex-a9_neon 300
arch brcm63xx-tch 400
-
No @a1pollo forse non mi sono spiegato bene. Volevo dire che dopo che si installa la nuova GUI stable v9.6.65 e si prova a dare "opkg update" il comando fallisce, ma non perché i feed sono errati bensì perché la versione di openssl è vecchia. Per cui occorre fare a mano l'update di openssl.
-
Avevo capito, alle volte la gui fa' capricci, ti conviene segnalarlo nel thread della gui.
-
@FrancYescO nel tuo script il campo "CACERTPASSWORD" non sembra funzionare. Nel senso se settato poi quando si usano i certificati, la password inserita non viene riconociuta correttamente. Trovo utile assegnare una password ai certificati generati in modo che quando si importano venga chiesto di inserirla.
Inoltre, secondo me, lascerei l'indicazione di spostare in un luogo sicuro, come indicato nella guida OpenWRT, i certificati non necessari piuttosto che spostarli in "/etc/ipsec.d/private/".
-
ipotizzo sia da rimuover quel "pass:" dal comando https://github.com/FrancYescO/sharing_tg789/blob/strongswan/setup.sh#L158 .. puoi confermare? anche se poi non si spiegherebbe perchè quelli generati fin ora erano senza password
quella di spostarli in /etc/ipsec.d/private/ era ovviamente una "convenzione" ipotizzando un futuro i cui si potesse avere il download dei certificati da GUI (per quanto insicuro sia tenerli sul server), poi si certo un echo in più non costa nulla
-
Senza password funziona correttamente per cui quello che dici è corretto. Io temporaneamente ho risolto rimuovendo da openssl la parte "-password "pass:$CACERTPASSWORD"", in questo modo durante la generazione c'è il prompt con la richiesta password. Forse dentro lo script andrebbero usati gli apici inversi... Andrebbero fatte delle prove....
-
Mi pare che la password la prendesse dal servizio ddns,poi anche la "san"(dominio) dei certificati, @SpiK369 il servizio era settato e attivo?
-
@a1pollo mi riferisco non alle password ottenute con comandi uci, ma a quella relativa ai certificati che inserisci manualmente.
-
Io ricordo che lo script prendeva la password dal servizio ddns, per i certificati p12, pero' potrei anche sbagliare, l'avevo usato per prova, ma poi avevo rimesso le mie config e i miei certificati.
-
Da quel che io ricordo lo script non funzionava quando settavo la password, o almeno dopo la loro creazione non riuscivo più ad importarli (Password errata), potrebbe essere come dice @a1pollo che prendesse la password del ddns (Cosa che non ho controllato) ma mi sembra difficile. Ricordo che io toglievo completamente il campo password per farlo funzionare.... Mi ero dimenticato di segnalare il problema
-
se mi riuscite a fare qualche check con i comandi non interattivi da dare per generare i certificati con password aggiorno lo script
-
@SpiK369,@FrancYescO, ho generato ora piu' certificati con lo script, ho inserito una password qui:
CACERTPASSWORD="pignolo1" #if set will be asked when installing cert on clients or generating new clientCert
e funziona su tutti i certificati,quando li installo mi chiede la password
#!/bin/sh
echo "Installing strongswan..."
opkg install strongswan-default strongswan-pki strongswan-mod-dhcp
opkg list | grep strongswan-mod-eap- | awk '{print $1}' | xargs opkg install
COUNTRYNAME="US"
CANAME="CATechnicolor"
ORGNAME="Technicolor"
CACERTPASSWORD="pignolo1" #if set will be asked when installing cert on clients or generating new clientCert
SERVERDOMAINNAME=$(uci get ddns.myddns_ipv4.domain) #"myvpnserver.dyndns.org"
CLIENTNAMES="client1 client2 client3" # or more " … myvpnclient2 muvpnclient3"
SHAREDSAN="myVpnClients" # iOS clients need to match a common SAN
-
Si ma poi funziona test come password?
-
Pignolo, ne ho messa una piu' lunga da 8 caratteri :rotfl:
-
Cavoli, Sì ha lunghezza 13 caratteri. E' questo il problema?
-
No, ho provato ora e funziona anche una password da 13 caratteri, con 4 non funziona! la lunghezza minima non la so'.
@FrancYescO, potrebbe andare cosi', password automatica dal servizio ddns?
#!/bin/sh
COUNTRYNAME="US"
CANAME="CATechnicolor"
ORGNAME="Technicolor"
CACERTPASSWORD=$(uci get ddns.myddns_ipv4.password) #if set will be asked when installing cert on clients or generating new clientCert
SERVERDOMAINNAME=$(uci get ddns.myddns_ipv4.domain) #"myvpnserver.dyndns.org"
CLIENTNAMES="myvpnclient myvpnclient2 muvpnclient3" # or more " … myvpnclient2 muvpnclient3"
SHAREDSAN="myVpnClients" # iOS clients need to match a common SAN
cd /tmp
echo "Building certificates for [ $SERVERDOMAINNAME ] and client [ $CLIENTNAME (aka $SHAREDSAN) ] "
[ -f "/etc/ipsec.d/private/ca.p12" ] && ln -s /etc/ipsec.d/private/ca.p12 ca.p12
if [ -f "caKey.pem" ] ; then
echo "caKey exists, using existing caKey for signing serverCert and clientCert...."
elif [ -f "ca.p12" ] ; then
echo "CA keys bundle exists, accessing existing protected caKey for signing serverCert and clientCert...."
openssl pkcs12 -in ca.p12 -nocerts -out caKey.pem
else
echo "generating a new cakey for [ $CANAME ]"
ipsec pki --gen --outform pem > caKey.pem
fi
echo "generating caCert for [ $CANAME ]..."
ipsec pki --self --lifetime 3652 --in caKey.pem --dn "C=$COUNTRYNAME, O=$ORGNAME, CN=$CANAME" --ca --outform pem > caCert.pem
openssl x509 -inform PEM -outform DER -in caCert.pem -out caCert.crt
echo "Now building CA keys bundle"
openssl pkcs12 -export -inkey caKey.pem -in caCert.pem -name "$CANAME" -certfile caCert.pem -caname "$CANAME" -out ca.p12 -password "pass:$CACERTPASSWORD"
echo "generating server certificates for [ $SERVERDOMAINNAME ]... "
ipsec pki --gen --outform pem > serverKey_$SERVERDOMAINNAME.pem
ipsec pki --pub --in serverKey_$SERVERDOMAINNAME.pem | ipsec pki --issue --lifetime 3652 --cacert caCert.pem --cakey caKey.pem --dn "C=$COUNTRYNAME, O=$ORGNAME, CN=$SERVERDOMAINNAME" --san="$SERVERDOMAINNAME" --flag serverAuth --flag ikeIntermediate --outform pem > serverCert_$SERVERDOMAINNAME.pem
#openssl x509 -inform PEM -outform DER -in serverCert_$SERVERDOMAINNAME.pem -out serverCert_$SERVERDOMAINNAME.crt
for CLIENTNAME in $CLIENTNAMES; do
if [ -f "clientCert_$CLIENTNAME.pem" ] ; then
echo "clientCert for [ $CLIENTNAME ] exists, not generating new clientCert."
continue
fi
echo "generating clientCert for [ $CLIENTNAME (aka $SHAREDSAN) ]..."
ipsec pki --gen --outform pem > clientKey_$CLIENTNAME.pem
ipsec pki --pub --in clientKey_$CLIENTNAME.pem | ipsec pki --issue --lifetime 3652 --cacert caCert.pem --cakey caKey.pem --dn "C=$COUNTRYNAME, O=$ORGNAME, CN=$CLIENTNAME" --san="$CLIENTNAME" --san="$SHAREDSAN" --outform pem > clientCert_$CLIENTNAME.pem
openssl x509 -inform PEM -outform DER -in clientCert_$CLIENTNAME.pem -out clientCert_$CLIENTNAME.crt
echo "Now building Client keys bundle for [ $CLIENTNAME ]"
openssl pkcs12 -export -inkey clientKey_$CLIENTNAME.pem -in clientCert_$CLIENTNAME.pem -name "$CLIENTNAME" -certfile caCert.pem -caname "$CANAME" -out client_$CLIENTNAME.p12 -password "pass:$CACERTPASSWORD"
rm clientKey_$CLIENTNAME.pem
openssl x509 -inform PEM -outform DER -in clientCert_$CLIENTNAME.pem -out clientCert_$CLIENTNAME.crt
echo "remember that the password is [ $CACERTPASSWORD ] "
done
Questo il log
root@OpenWrt:~# ./setup.sh
Building certificates for [ myvpnserver.dyndns.org ] and client [ (aka myVpnClients) ]
generating a new cakey for [ CATechnicolor ]
generating caCert for [ CATechnicolor ]...
Now building CA keys bundle
generating server certificates for [ myvpnserver.dyndns.org ]...
generating clientCert for [ myvpnclient (aka myVpnClients) ]...
Now building Client keys bundle for [ myvpnclient ]
remember that the password is [ passdatredici ]
generating clientCert for [ myvpnclient2 (aka myVpnClients) ]...
Now building Client keys bundle for [ myvpnclient2 ]
remember that the password is [ passdatredici ]
generating clientCert for [ muvpnclient3 (aka myVpnClients) ]...
Now building Client keys bundle for [ muvpnclient3 ]
remember that the password is [ passdatredici ]
root@OpenWrt:~#
-
Porca miseria non posso provare... ho il modem in bootloop è andato storto qualcosa con agg. firmware con ultima GUI stable.... Sto cercando di risolvere senza seriale ma la vedo dura...
-
Salve, causa passaggio ad IKEv2 di recente ho rimosso il pacchetto modgui-vpn ed eseguito lo script di FrancYescO dando:
curl -s https://raw.githubusercontent.com/FrancYescO/sharing_tg789/strongswan/setup.sh | sh
Lo script di ferma all'enable e all'avvio di ipsec (ultime 2 righe):
root@OpenWrt:~# /etc/init.d/ipsec enable
-ash: /etc/init.d/ipsec: not found
root@OpenWrt:~# /etc/init.d/ipsec start
-ash: /etc/init.d/ipsec: not found
Sembra pertanto corrotta la configurazione di ipsec e sono costretto ad avviarlo a mano da /usr/sbin: in particolare mancano i file ipsec presenti /etc/init.d/ e /etc/config/.
Ho provato a forzare la reinstallazione dei pacchetti indicati nello script usando --force-reinstall ma non è cambiato nulla :facepalm:
Come ripristino ipsec e la sua configurazione corretta?
Grazie
-
Se non riesci a restorare i files dai pacchetti originale mi sa che ti conviene resettare tutto.
-
Alla fine il DGA4131 è andato in bootloop :headbang: Dopo 3 ore di recovery con TFTPD, bank planning, etc... sono tornato alla situazione di partenza.
Ho finalmente installato strongswan con lo script di FrancYescO e ora sto cercando di effettuare la prima connessione solo che ottengo il seguente errore (sia da Windows che da Android):
root@OpenWrt:~# logread -f
Sun Nov 14 22:56:00 2021 daemon.info charon: 05[NET] received packet: from CLIENT.IP[5897] to SERVER.IP[500] (716 bytes)
Sun Nov 14 22:56:00 2021 daemon.info charon: 05[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Nov 14 22:56:00 2021 daemon.info charon: 05[IKE] CLIENT.IP is initiating an IKE_SA
Sun Nov 14 22:56:00 2021 authpriv.info charon: 05[IKE] CLIENT.IP is initiating an IKE_SA
Sun Nov 14 22:56:00 2021 daemon.info charon: 05[IKE] remote host is behind NAT
Sun Nov 14 22:56:00 2021 daemon.info charon: 05[IKE] DH group ECP_256 inacceptable, requesting MODP_3072
Sun Nov 14 22:56:00 2021 daemon.info charon: 05[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Sun Nov 14 22:56:00 2021 daemon.info charon: 05[NET] sending packet: from SERVER.IP[500] to CLIENT.IP[5897] (38 bytes)
Sun Nov 14 22:56:00 2021 daemon.info charon: 07[NET] received packet: from CLIENT.IP[5897] to SERVER.IP[500] (1036 bytes)
Sun Nov 14 22:56:00 2021 daemon.info charon: 07[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Nov 14 22:56:00 2021 daemon.info charon: 07[IKE] CLIENT.IP is initiating an IKE_SA
Sun Nov 14 22:56:00 2021 authpriv.info charon: 07[IKE] CLIENT.IP is initiating an IKE_SA
Sun Nov 14 22:56:01 2021 daemon.info charon: 07[IKE] remote host is behind NAT
Sun Nov 14 22:56:01 2021 daemon.info charon: 07[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Sun Nov 14 22:56:01 2021 daemon.info charon: 07[NET] sending packet: from SERVER.IP[500] to CLIENT.IP[5897] (590 bytes)
Sun Nov 14 22:56:02 2021 daemon.info charon: 06[NET] received packet: from CLIENT.IP[5935] to SERVER.IP[4500] (1364 bytes)
Sun Nov 14 22:56:02 2021 daemon.info charon: 06[ENC] parsed IKE_AUTH request 1 [ EF(1/4) ]
Sun Nov 14 22:56:02 2021 daemon.info charon: 06[ENC] received fragment #1 of 4, waiting for complete IKE message
Sun Nov 14 22:56:02 2021 daemon.info charon: 08[NET] received packet: from CLIENT.IP[5935] to SERVER.IP[4500] (1364 bytes)
Sun Nov 14 22:56:02 2021 daemon.info charon: 08[ENC] parsed IKE_AUTH request 1 [ EF(2/4) ]
Sun Nov 14 22:56:02 2021 daemon.info charon: 08[ENC] received fragment #2 of 4, waiting for complete IKE message
Sun Nov 14 22:56:02 2021 daemon.info charon: 12[NET] received packet: from CLIENT.IP[5935] to SERVER.IP[4500] (1364 bytes)
Sun Nov 14 22:56:02 2021 daemon.info charon: 12[ENC] parsed IKE_AUTH request 1 [ EF(3/4) ]
Sun Nov 14 22:56:02 2021 daemon.info charon: 12[ENC] received fragment #3 of 4, waiting for complete IKE message
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[NET] received packet: from CLIENT.IP[5935] to SERVER.IP[4500] (884 bytes)
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[ENC] parsed IKE_AUTH request 1 [ EF(4/4) ]
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[ENC] received fragment #4 of 4, reassembling fragmented IKE message
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[IKE] received 157 cert requests for an unknown ca
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[IKE] received end entity cert "C=US, O=Technicolor, CN=myvpnclient1"
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[CFG] looking for peer configs matching SERVER.IP[%any]...CLIENT.IP[C=US, O=Technicolor, CN=myvpnclient1]
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[CFG] selected peer config 'rwEAPMSCHAPV2'
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[CFG] using certificate "C=US, O=Technicolor, CN=myvpnclient1"
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[CFG] no issuer certificate found for "C=US, O=Technicolor, CN=myvpnclient1"
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[CFG] issuer is "C=US, O=Technicolor, CN=CATechnicolor"
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[IKE] no trusted RSA public key found for 'C=US, O=Technicolor, CN=myvpnclient1'
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[IKE] peer supports MOBIKE
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sun Nov 14 22:56:02 2021 daemon.info charon: 09[NET] sending packet: from SERVER.IP[4500] to CLIENT.IP[5935] (80 bytes)
Suggerimenti?
-
Dice che non trova il certificato CA della CA che hai generato. E' strano perchè lo script dovrebbe crearli e metterli tutti al loro psoto.
-
Non so se c'entra qualcosa, ma quotandomi:
-avevo IPv6 abilitato nella LAN sul modem e per qualche motivo mi falliva l'handshake, appena disattivato subito si e' connesso dal client
-
Grazie dei consigli innanzitutto.
Non ho IPV6 abilitato in lan ma credo di aver risolto il problema del certificato rigenerando le chiavi (come da script di FrancYescO).
Ora però ho questo errore (da client Android):
root@OpenWrt:~# logread -f
Mon Nov 15 21:33:14 2021 daemon.info charon: 15[NET] received packet: from CLIENT.IP[9356] to SERVER.IP[500] (716 bytes)
Mon Nov 15 21:33:14 2021 daemon.info charon: 15[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Mon Nov 15 21:33:14 2021 daemon.info charon: 15[IKE] CLIENT.IP is initiating an IKE_SA
Mon Nov 15 21:33:14 2021 authpriv.info charon: 15[IKE] CLIENT.IP is initiating an IKE_SA
Mon Nov 15 21:33:14 2021 daemon.info charon: 15[IKE] remote host is behind NAT
Mon Nov 15 21:33:14 2021 daemon.info charon: 15[IKE] DH group ECP_256 inacceptable, requesting MODP_3072
Mon Nov 15 21:33:14 2021 daemon.info charon: 15[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Mon Nov 15 21:33:14 2021 daemon.info charon: 15[NET] sending packet: from SERVER.IP[500] to CLIENT.IP[9356] (38 bytes)
Mon Nov 15 21:33:14 2021 daemon.info charon: 13[NET] received packet: from CLIENT.IP[9356] to SERVER.IP[500] (1036 bytes)
Mon Nov 15 21:33:14 2021 daemon.info charon: 13[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Mon Nov 15 21:33:14 2021 daemon.info charon: 13[IKE] CLIENT.IP is initiating an IKE_SA
Mon Nov 15 21:33:14 2021 authpriv.info charon: 13[IKE] CLIENT.IP is initiating an IKE_SA
Mon Nov 15 21:33:15 2021 daemon.info charon: 13[IKE] remote host is behind NAT
Mon Nov 15 21:33:15 2021 daemon.info charon: 13[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Mon Nov 15 21:33:15 2021 daemon.info charon: 13[NET] sending packet: from SERVER.IP[500] to CLIENT.IP[9356] (590 bytes)
Mon Nov 15 21:33:16 2021 daemon.info charon: 06[NET] received packet: from CLIENT.IP[9400] to SERVER.IP[4500] (1364 bytes)
Mon Nov 15 21:33:16 2021 daemon.info charon: 06[ENC] parsed IKE_AUTH request 1 [ EF(1/4) ]
Mon Nov 15 21:33:16 2021 daemon.info charon: 06[ENC] received fragment #1 of 4, waiting for complete IKE message
Mon Nov 15 21:33:16 2021 daemon.info charon: 16[NET] received packet: from CLIENT.IP[9400] to SERVER.IP[4500] (1364 bytes)
Mon Nov 15 21:33:16 2021 daemon.info charon: 16[ENC] parsed IKE_AUTH request 1 [ EF(2/4) ]
Mon Nov 15 21:33:16 2021 daemon.info charon: 16[ENC] received fragment #2 of 4, waiting for complete IKE message
Mon Nov 15 21:33:16 2021 daemon.info charon: 05[NET] received packet: from CLIENT.IP[9400] to SERVER.IP[4500] (1364 bytes)
Mon Nov 15 21:33:16 2021 daemon.info charon: 05[ENC] parsed IKE_AUTH request 1 [ EF(3/4) ]
Mon Nov 15 21:33:16 2021 daemon.info charon: 05[ENC] received fragment #3 of 4, waiting for complete IKE message
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[NET] received packet: from CLIENT.IP[9400] to SERVER.IP[4500] (884 bytes)
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[ENC] parsed IKE_AUTH request 1 [ EF(4/4) ]
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[ENC] received fragment #4 of 4, reassembling fragmented IKE message
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[IKE] received cert request for "C=US, O=Technicolor, CN=CATechnicolor"
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[IKE] received 156 cert requests for an unknown ca
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[IKE] received end entity cert "C=US, O=Technicolor, CN=myvpnclient1"
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[CFG] looking for peer configs matching SERVER.IP[%any]...CLIENT.IP[C=US, O=Technicolor, CN=myvpnclient1]
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[CFG] selected peer config 'rwEAPMSCHAPV2'
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[CFG] using certificate "C=US, O=Technicolor, CN=myvpnclient1"
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[CFG] using trusted ca certificate "C=US, O=Technicolor, CN=CATechnicolor"
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[CFG] checking certificate status of "C=US, O=Technicolor, CN=myvpnclient1"
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[CFG] certificate status is not available
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[CFG] reached self-signed root ca with a path length of 0
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[IKE] authentication of 'C=US, O=Technicolor, CN=myvpnclient1' with RSA_EMSA_PKCS1_SHA2_256 successful
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[CFG] constraint check failed: EAP identity '%any' required
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[CFG] selected peer config 'rwEAPMSCHAPV2' inacceptable: non-matching authentication done
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[CFG] no alternative config found
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[IKE] peer supports MOBIKE
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Mon Nov 15 21:33:16 2021 daemon.info charon: 07[NET] sending packet: from SERVER.IP[4500] to CLIENT.IP[9400] (80 bytes)
Suggerimenti?
-
Te lo dice lui il problema, hai impostato male le EAP identity. Confronta quello che lo script ha generato con le settings che trovi sulla wiki di openwrt di riferimento. Facci anche sapere che client Android stai usando (nativo? app strongswan? altro?) e come l'hai configurata (screenshot please)
-
Dopo svariate prove ora la VPN va che è un piacere... ;)
Riepilogo:
dopo aver installato StrongSwan eseguendo l'ottimo script di FrancYescO (attivando la generazione di più certificati client), effettuare le seguenti modifiche al file '/etc/ipsec.conf':
a) nella sezione conn rwPUBKEY decommentare la riga 'rightauth2=eap-mschapv2' per redirigere l'autenticazione su chiave pubblica
b) nella sezione conn %default aggiungere la riga 'esp=aes128-aes256-sha256-modp3072-modp2048,aes128-aes256-sha256' per maggiore compatibilità/performance
Non è necessario toccare nient'altro rispetto a quanto creato dallo script, almeno per una configurazione minimale.
Risultati test sulla lan interna WIFI 2.4GHz con server DGA4131 v. 18.3:
- Client integrato in Windows 11 (importato certificato p12 e creazione VPN IKEv2) ---> download 37 Mb/s e upload 38 Mb/s
- Client Android 7 con app ufficiale StrongSwan (importato certificato p12 e creazione VPN IKEv2) ---> download 33 Mb/s e upload 35 Mb/s
#### file '/etc/ipsec.conf' ####
config setup
conn %default
keyexchange=ikev2
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
esp=aes128-aes256-sha256-modp3072-modp2048,aes128-aes256-sha256
left=%any
leftauth=pubkey
leftcert=serverCert_SERVER.IP.pem
leftid=SERVER.IP
leftsubnet=0.0.0.0/0;::/0
right=%any
rightsourceip=%dhcp
eap_identity=%identity
auto=add
conn rwEAPMSCHAPV2
leftsendcert=always
#rightauth=eap-mschapv2
rightsendcert=never
conn rwPUBKEYIOS
leftsendcert=always
rightid=myVpnClients
rightauth=pubkey
rightca=caCert.pem
#rightauth2=eap-mschapv2
conn rwEAPTLSIOS
leftsendcert=always
rightid=myVpnClients
rightauth=eap-tls
rightcert=caCert.pem
#rightauth2=eap-mschapv2
conn rwPUBKEY
rightauth=pubkey
rightcert=caCert.pem
rightauth2=eap-mschapv2
conn rwEAPTLS
rightauth=eap-tls
rightcert=caCert.pem
Grazie mille per il vostro supporto.
-
Forse al punto a) intendevi dire di decommentare rightca=
-
Forse al punto a) intendevi dire di decommentare rightca=
No, intendevo proprio decommentare (nella sezione 'conn rwPUBKEY') la riga 'rightauth2=eap-mschapv2' inserita come commento dallo script di FrancYescO. Altrimenti il server non identifica il tipo di autenticazione del client, almeno nel mio caso è stato così.
Se avete suggerimenti o correzioni per migliorare le cose sono ben accetti, grazie mille.
Se può servire allego lo script per la sola generazione multipla dei certificati (1 lato server e 4 lato client), estratto integralmente dall'ottimo script di FrancYescO.
Prerequisito: eliminare i precedenti certificati presenti sul server svuotando le 3 cartelle '/etc/ipsec.conf/cacerts /etc/ipsec.conf/certs /etc/ipsec.conf/private'
file '/etc/certGen.sh':
#!/bin/sh
COUNTRYNAME="US"
CANAME="CATechnicolor"
ORGNAME="Technicolor"
CACERTPASSWORD="" #if set will be asked when installing cert on clients or generating new clientCert
SERVERDOMAINNAME=$(uci get ddns.myddns_ipv4.domain) #"myvpnserver.dyndns.org"
CLIENTNAMES="myvpnclient1 myvpnclient2 myvpnclient3 myvpnclient4"
SHAREDSAN="myVpnClients" # iOS clients need to match a common SAN
cd /tmp
echo "Building certificates for [ $SERVERDOMAINNAME ] and client [ $CLIENTNAME (aka $SHAREDSAN) ] "
[ -f "/etc/ipsec.d/private/ca.p12" ] && ln -s /etc/ipsec.d/private/ca.p12 ca.p12
if [ -f "caKey.pem" ] ; then
echo "caKey exists, using existing caKey for signing serverCert and clientCert...."
elif [ -f "ca.p12" ] ; then
echo "CA keys bundle exists, accessing existing protected caKey for signing serverCert and clientCert...."
openssl pkcs12 -in ca.p12 -nocerts -out caKey.pem
else
echo "generating a new cakey for [ $CANAME ]"
ipsec pki --gen --outform pem > caKey.pem
fi
echo "generating caCert for [ $CANAME ]..."
ipsec pki --self --lifetime 3652 --in caKey.pem --dn "C=$COUNTRYNAME, O=$ORGNAME, CN=$CANAME" --ca --outform pem > caCert.pem
openssl x509 -inform PEM -outform DER -in caCert.pem -out caCert.crt
echo "Now building CA keys bundle"
openssl pkcs12 -export -inkey caKey.pem -in caCert.pem -name "$CANAME" -certfile caCert.pem -caname "$CANAME" -out ca.p12 -password "pass:$CACERTPASSWORD"
echo "generating server certificates for [ $SERVERDOMAINNAME ]... "
ipsec pki --gen --outform pem > serverKey_$SERVERDOMAINNAME.pem
ipsec pki --pub --in serverKey_$SERVERDOMAINNAME.pem | ipsec pki --issue --lifetime 3652 --cacert caCert.pem --cakey caKey.pem --dn "C=$COUNTRYNAME, O=$ORGNAME, CN=$SERVERDOMAINNAME" --san="$SERVERDOMAINNAME" --flag serverAuth --flag ikeIntermediate --outform pem > serverCert_$SERVERDOMAINNAME.pem
#openssl x509 -inform PEM -outform DER -in serverCert_$SERVERDOMAINNAME.pem -out serverCert_$SERVERDOMAINNAME.crt
for CLIENTNAME in $CLIENTNAMES; do
if [ -f "clientCert_$CLIENTNAME.pem" ] ; then
echo "clientCert for [ $CLIENTNAME ] exists, not generating new clientCert."
continue
fi
echo "generating clientCert for [ $CLIENTNAME (aka $SHAREDSAN) ]..."
ipsec pki --gen --outform pem > clientKey_$CLIENTNAME.pem
ipsec pki --pub --in clientKey_$CLIENTNAME.pem | ipsec pki --issue --lifetime 3652 --cacert caCert.pem --cakey caKey.pem --dn "C=$COUNTRYNAME, O=$ORGNAME, CN=$CLIENTNAME" --san="$CLIENTNAME" --san="$SHAREDSAN" --outform pem > clientCert_$CLIENTNAME.pem
openssl x509 -inform PEM -outform DER -in clientCert_$CLIENTNAME.pem -out clientCert_$CLIENTNAME.crt
echo "Now building Client keys bundle for [ $CLIENTNAME ]"
openssl pkcs12 -export -inkey clientKey_$CLIENTNAME.pem -in clientCert_$CLIENTNAME.pem -name "$CLIENTNAME" -certfile caCert.pem -caname "$CANAME" -out client_$CLIENTNAME.p12 -password "pass:$CACERTPASSWORD"
rm clientKey_$CLIENTNAME.pem
openssl x509 -inform PEM -outform DER -in clientCert_$CLIENTNAME.pem -out clientCert_$CLIENTNAME.crt
done
# where to put them...
mv caCert.pem /etc/ipsec.d/cacerts/
ln -s ../cacerts/caCert.pem /etc/ipsec.d/certs/caCert.pem
mv serverCert*.pem /etc/ipsec.d/certs/
mv serverKey*.pem /etc/ipsec.d/private/
mv clientCert*.pem /etc/ipsec.d/certs/
#These file are not needed on the server
[ ! -f "/etc/ipsec.d/private/ca.p12" ] && mv ca.p12 /etc/ipsec.d/private/ #needed to generate new clients
mv client_*.p12 /etc/ipsec.d/private/
mv clientCert_*.crt /etc/ipsec.d/private/
echo "**** THE END ****"
-
Ok forse ho intuito il tipo di problema ma quel punto ti conviene semplicemente rimuovere le sezioni rwPUBKEY visto che non le stai utilizzando. Ne deduco che tu stia utilizzando EAPTLS. Io comunque le ho entrambe attive, sia rwPUBKEY che rwEAPTLS, se mi dai il log e il tuo file config mi faccio un'idea del perchè non riesce a distinguerle.
-
Ora la connessione va anche rimettendo il commento sulla riga 'rightauth2=eap-mschapv2' (sezione 'conn rwPUBKEY') e quindi non ho possibilità di mettere il file di log :facepalm: Non me lo so spiegare sinceramente.
Nel frattempo ho solo cambiato setting del DNS mettendo list dhcp_option '6,1.1.1.1,192.168.1.1' nella sezione lan di 'etc/config/dhcp'.
Comunque allego il file '/etc/ipsec.conf' attuale:
config setup
conn %default
keyexchange=ikev2
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
esp=aes128-aes256-sha256-modp3072-modp2048,aes128-aes256-sha256
left=%any
leftauth=pubkey
leftcert=serverCert_SERVER.IP.pem
leftid=SERVER.IP
leftsubnet=0.0.0.0/0;::/0
right=%any
rightsourceip=%dhcp
eap_identity=%identity
auto=add
conn rwEAPMSCHAPV2
leftsendcert=always
#rightauth=eap-mschapv2
rightsendcert=never
conn rwPUBKEYIOS
leftsendcert=always
rightid=myVpnClients
rightauth=pubkey
rightca=caCert.pem
#rightauth2=eap-mschapv2
conn rwEAPTLSIOS
leftsendcert=always
rightid=myVpnClients
rightauth=eap-tls
rightcert=caCert.pem
#rightauth2=eap-mschapv2
conn rwPUBKEY
rightauth=pubkey
rightcert=caCert.pem
#rightauth2=eap-mschapv2
conn rwEAPTLS
rightauth=eap-tls
rightcert=caCert.pem
log ultima connessione avvenuta correttamente:
Sun Nov 21 09:51:28 2021 daemon.info charon: 09[NET] received packet: from CLIENT.IP[19802] to SERVER.IP[500] (716 bytes)
Sun Nov 21 09:51:28 2021 daemon.info charon: 09[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Nov 21 09:51:28 2021 daemon.info charon: 09[IKE] CLIENT.IP is initiating an IKE_SA
Sun Nov 21 09:51:28 2021 authpriv.info charon: 09[IKE] CLIENT.IP is initiating an IKE_SA
Sun Nov 21 09:51:28 2021 daemon.info charon: 09[IKE] remote host is behind NAT
Sun Nov 21 09:51:28 2021 daemon.info charon: 09[IKE] DH group ECP_256 inacceptable, requesting MODP_3072
Sun Nov 21 09:51:28 2021 daemon.info charon: 09[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Sun Nov 21 09:51:28 2021 daemon.info charon: 09[NET] sending packet: from SERVER.IP[500] to CLIENT.IP[19802] (38 bytes)
Sun Nov 21 09:51:28 2021 daemon.info charon: 05[NET] received packet: from CLIENT.IP[19802] to SERVER.IP[500] (1036 bytes)
Sun Nov 21 09:51:28 2021 daemon.info charon: 05[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Nov 21 09:51:28 2021 daemon.info charon: 05[IKE] CLIENT.IP is initiating an IKE_SA
Sun Nov 21 09:51:28 2021 authpriv.info charon: 05[IKE] CLIENT.IP is initiating an IKE_SA
Sun Nov 21 09:51:29 2021 daemon.info charon: 05[IKE] remote host is behind NAT
Sun Nov 21 09:51:29 2021 daemon.info charon: 05[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Sun Nov 21 09:51:29 2021 daemon.info charon: 05[NET] sending packet: from SERVER.IP[500] to CLIENT.IP[19802] (590 bytes)
Sun Nov 21 09:51:30 2021 daemon.info charon: 13[NET] received packet: from CLIENT.IP[19809] to SERVER.IP[4500] (1364 bytes)
Sun Nov 21 09:51:30 2021 daemon.info charon: 13[ENC] parsed IKE_AUTH request 1 [ EF(1/4) ]
Sun Nov 21 09:51:30 2021 daemon.info charon: 13[ENC] received fragment #1 of 4, waiting for complete IKE message
Sun Nov 21 09:51:30 2021 daemon.info charon: 06[NET] received packet: from CLIENT.IP[19809] to SERVER.IP[4500] (1364 bytes)
Sun Nov 21 09:51:30 2021 daemon.info charon: 06[ENC] parsed IKE_AUTH request 1 [ EF(2/4) ]
Sun Nov 21 09:51:30 2021 daemon.info charon: 06[ENC] received fragment #2 of 4, waiting for complete IKE message
Sun Nov 21 09:51:30 2021 daemon.info charon: 10[NET] received packet: from CLIENT.IP[19809] to SERVER.IP[4500] (1364 bytes)
Sun Nov 21 09:51:30 2021 daemon.info charon: 10[ENC] parsed IKE_AUTH request 1 [ EF(3/4) ]
Sun Nov 21 09:51:30 2021 daemon.info charon: 10[ENC] received fragment #3 of 4, waiting for complete IKE message
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[NET] received packet: from CLIENT.IP[19809] to SERVER.IP[4500] (884 bytes)
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[ENC] parsed IKE_AUTH request 1 [ EF(4/4) ]
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[ENC] received fragment #4 of 4, reassembling fragmented IKE message
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[IKE] received cert request for "C=US, O=Technicolor, CN=CATechnicolor"
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[IKE] received 156 cert requests for an unknown ca
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[IKE] received end entity cert "C=US, O=Technicolor, CN=myvpnclient2"
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[CFG] looking for peer configs matching SERVER.IP[%any]...CLIENT.IP[C=US, O=Technicolor, CN=myvpnclient2]
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[CFG] selected peer config 'rwEAPMSCHAPV2'
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[CFG] using certificate "C=US, O=Technicolor, CN=myvpnclient2"
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[CFG] using trusted ca certificate "C=US, O=Technicolor, CN=CATechnicolor"
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[CFG] checking certificate status of "C=US, O=Technicolor, CN=myvpnclient2"
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[CFG] certificate status is not available
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[CFG] reached self-signed root ca with a path length of 0
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[IKE] authentication of 'C=US, O=Technicolor, CN=myvpnclient2' with RSA_EMSA_PKCS1_SHA2_256 successful
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[IKE] peer supports MOBIKE
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[IKE] authentication of 'SERVER.ADDRESS' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[IKE] IKE_SA rwEAPMSCHAPV2[4] established between SERVER.IP[SERVER.ADDRESS]...CLIENT.IP[C=US, O=Technicolor, CN=myvpnclient2]
Sun Nov 21 09:51:30 2021 authpriv.info charon: 11[IKE] IKE_SA rwEAPMSCHAPV2[4] established between SERVER.IP[SERVER.ADDRESS]...CLIENT.IP[C=US, O=Technicolor, CN=myvpnclient2]
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[IKE] scheduling reauthentication in 9752s
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[IKE] maximum IKE_SA lifetime 10292s
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[IKE] sending end entity cert "C=US, O=Technicolor, CN=SERVER.ADDRESS"
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[IKE] peer requested virtual IP %any
Sun Nov 21 09:51:30 2021 daemon.info charon: 11[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Nov 21 09:51:31 2021 daemon.info charon: 11[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Nov 21 09:51:33 2021 daemon.info charon: 11[CFG] sending DHCP DISCOVER to 192.168.1.255
Sun Nov 21 09:51:33 2021 daemon.info charon: 16[CFG] received DHCP OFFER 192.168.1.56 from 192.168.1.1
Sun Nov 21 09:51:33 2021 daemon.info charon: 11[CFG] sending DHCP REQUEST for 192.168.1.56 to 192.168.1.1
Sun Nov 21 09:51:33 2021 daemon.info charon: 05[CFG] received DHCP ACK for 192.168.1.56
Sun Nov 21 09:51:33 2021 daemon.info charon: 11[IKE] assigning virtual IP 192.168.1.56 to peer 'C=US, O=Technicolor, CN=myvpnclient2'
Sun Nov 21 09:51:33 2021 daemon.info charon: 11[IKE] peer requested virtual IP %any6
Sun Nov 21 09:51:33 2021 daemon.info charon: 11[IKE] no virtual IP found for %any6 requested by 'C=US, O=Technicolor, CN=myvpnclient2'
Sun Nov 21 09:51:33 2021 daemon.info charon: 11[IKE] CHILD_SA rwEAPMSCHAPV2{2} established with SPIs cXXXXXXX_i YYYYYYYY_o and TS 0.0.0.0/0 === 192.168.1.56/32
Sun Nov 21 09:51:33 2021 authpriv.info charon: 11[IKE] CHILD_SA rwEAPMSCHAPV2{2} established with SPIs cXXXXXXX_i YYYYYYYY_o and TS 0.0.0.0/0 === 192.168.1.56/32
Sun Nov 21 09:51:33 2021 daemon.info charon: 11[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS DNS) SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) ]
Sun Nov 21 09:51:33 2021 daemon.info charon: 11[ENC] splitting IKE message with length of 1440 bytes into 2 fragments
Sun Nov 21 09:51:33 2021 daemon.info charon: 11[ENC] generating IKE_AUTH response 1 [ EF(1/2) ]
Sun Nov 21 09:51:33 2021 daemon.info charon: 11[ENC] generating IKE_AUTH response 1 [ EF(2/2) ]
Sun Nov 21 09:51:33 2021 daemon.info charon: 11[NET] sending packet: from SERVER.IP[4500] to CLIENT.IP[19809] (1236 bytes)
Sun Nov 21 09:51:33 2021 daemon.info charon: 11[NET] sending packet: from SERVER.IP[4500] to CLIENT.IP[19809] (276 bytes)
Sun Nov 21 09:51:33 2021 daemon.info charon: 08[NET] received packet: from CLIENT.IP[19809] to SERVER.IP[4500] (1364 bytes)
Sun Nov 21 09:51:33 2021 daemon.info charon: 08[ENC] parsed IKE_AUTH request 1 [ EF(1/4) ]
Sun Nov 21 09:51:33 2021 daemon.info charon: 08[ENC] received fragment #1 of 4, waiting for complete IKE message
Sun Nov 21 09:51:33 2021 daemon.info charon: 12[NET] received packet: from CLIENT.IP[19809] to SERVER.IP[4500] (1364 bytes)
Sun Nov 21 09:51:33 2021 daemon.info charon: 12[ENC] parsed IKE_AUTH request 1 [ EF(2/4) ]
Sun Nov 21 09:51:33 2021 daemon.info charon: 12[ENC] received fragment #2 of 4, waiting for complete IKE message
Sun Nov 21 09:51:33 2021 daemon.info charon: 07[NET] received packet: from CLIENT.IP[19809] to SERVER.IP[4500] (1364 bytes)
Sun Nov 21 09:51:33 2021 daemon.info charon: 07[ENC] parsed IKE_AUTH request 1 [ EF(3/4) ]
Sun Nov 21 09:51:33 2021 daemon.info charon: 07[ENC] received fragment #3 of 4, waiting for complete IKE message
Sun Nov 21 09:51:33 2021 daemon.info charon: 15[NET] received packet: from CLIENT.IP[19809] to SERVER.IP[4500] (884 bytes)
Sun Nov 21 09:51:33 2021 daemon.info charon: 15[ENC] parsed IKE_AUTH request 1 [ EF(4/4) ]
Sun Nov 21 09:51:33 2021 daemon.info charon: 15[ENC] received fragment #4 of 4, reassembling fragmented IKE message
Sun Nov 21 09:51:33 2021 daemon.info charon: 15[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Sun Nov 21 09:51:33 2021 daemon.info charon: 15[IKE] received retransmit of request with ID 1, retransmitting response
Sun Nov 21 09:51:33 2021 daemon.info charon: 15[NET] sending packet: from SERVER.IP[4500] to CLIENT.IP[19809] (1236 bytes)
Sun Nov 21 09:51:33 2021 daemon.info charon: 15[NET] sending packet: from SERVER.IP[4500] to CLIENT.IP[19809] (276 bytes)[code]
-
Con la configurazione del post precedente (generata dallo script di FrancYescO), da client vpn (su rete mobile Vodafone) non riesco a raggiungere nessun client dell'unica lan interna 192.168.1.0/24.
Sul server strongswan è presente 'rightsourceip=%dhcp' che rilascia ai client indirizzi di classe 192.168.1.0/24.
Come potrei risolvere?
-
Questo dipende da come hai configurato il firewall, cos'hai messo / cosa ti ha messo lo script come regole di iptables?
-
In 'etc/firewall.user' ho le regole che ha aggiunto lo script di FrancYescO, cioè:
#strongswan ipsec
iptables -I INPUT -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I OUTPUT -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -t nat -I POSTROUTING -m policy --pol ipsec --dir out -j ACCEPT
Che modifiche suggerisci? Grazie in anticipo
-
Vai in /etc/config/dosprotect, disabilita "rpfilter" in globals e commenta le righe in udplimits (se le hai) in questo modo:
config ratelimit 'udplimits'
option proto 'udp'
# option per_srcip_burst '2000'
# option per_srcip_limit '1000'
# option per_srcip_buckets '2053'
# option global_burst '10000'
# option global_limit '5000'
-
Nulla da fare :worry:
Ricapitolando:
a) ho disattivato rpfilter e anche commentato le regole nella config 'dhcplimits' (io non ho udplimits), secondo il seguente schema nel file '/etc/config/dosprotect':
config globals 'globals'
option enabled '0'
option rpfilter '0'
option rpfilter_log_limit '5/minute'
option block_tcpsyn_withdata '0'
config ratelimit 'dhcplimits'
option proto 'udp'
# option extra '--dport 547'
# option per_srcip_burst '4'
# option per_srcip_limit '2'
# option global_burst '100'
# option global_limit '50'
Ho riavviato naturalmente...e niente: quando mi collego dall'esterno con connessione Vodafone mobile e device android, non vedo i client nella lan (sia client windows che linux)
b) ecco le config custom che ho al momento sul dga4131 18.x:
- in '/etc/config/dhcp' ho:
config dnsmasq 'dnsmasq'
..........
option cachelocal '1'
list server '/telecomitalia.it/dns1_per_il_voip'
list server '/telecomitalia.it/dns2_per_il_voip'
config dhcp 'lan'
..........
list dhcp_option '6,192.168.1.1'
- oltre alla regole dello script di FrancYescO (messe dentro '/etc/firewall.user'), in '/etc/config/firewall' ho:
config rule 'ipsec_esp'
option src 'wan'
option name 'IPSec ESP'
option proto 'esp'
option target 'ACCEPT'
config rule 'ipsec_ike'
option src 'wan'
option name 'IPSec IKE'
option proto 'udp'
option dest_port '500'
option target 'ACCEPT'
config rule 'ipsec_nat_traversal'
option src 'wan'
option name 'IPSec NAT-T'
option proto 'udp'
option dest_port '4500'
option target 'ACCEPT'
config rule 'ipsec_auth_header'
option src 'wan'
option name 'Auth Header'
option proto 'ah'
option target 'ACCEPT'
- in '/etc/config/network' ho:
config interface 'wan'
...
option peerdns '0'
list dns '1.1.1.1'
list dns '1.0.0.1'
Hai qualche altro suggerimento/prova? Grazie ancora
-
dhcplimits sicuro non c'entra, udplimits interviene quando finisci in modalità incapsulata e ti provoca un cap sulla banda, ti ho detto di fixarlo se lo avevi perchè so che diventerebbe un problema in alcuni frangenti ma non ha a che fare col tuo problema.
Non mi viene in mente altro, l'unica altra cosa che farei è verificare effettivamente in che misura tu non li raggiunga, ovvero, mettiti nel caso semplice con client windows remoto (magari connesso su rete cellulare con hotspot da smartphone) e fai una prova a pingare il router o entrarci in ssh. Fai sempre attenzione al fatto che le VPN siano impostate su windows come rete privata.
Fai conto che io ho il tuo stesso router e gli host della lan li raggiungo regolarmente, e per di più rieco anche a fare l'opposto cioè raggiungere servizi esposti sui rw in VPN dalla lan locale.
-
Sono riuscito a risolvere anche questo problema. Leggendo questa wiki (https://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling) ho eseguito i seguenti comandi:
iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -o br-lan -m policy --dir out --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -o br-lan -j MASQUERADE
Adattando quanto suggerito in questo vecchio post alla mia config in '/etc/firewall.user', ora riesco a pingare e ad accedere a tutti gli hosts dietro il router in vpn ipsec. Leggevo anche che non è una buona soluzione per via del fatto che si arriva sugli hosts della lan con l'ip del router...
EDIT:
- ho disattivato rpfilter anche in '/etc/config/network' nella sezione 'lan' (prima non l'avevo fatto) e non mi pare sia cambiato granchè.
Grazie ancora del supporto.
-
Ok e se invece di queste due che hai aggiunto ci metti solo la prima?
La prima regola delle due che hai citato è analoga alla quinta che ti aveva messo lo script, ma lo script usa -I e quindi te la inserisce in cima alla chain di POSTROUTING, mentre tu l'hai aggiunta con -A quindi in fondo alla stessa chain. Inoltre quella in fondo allo script è generale e non limitata con -s e -o mentre quella che hai citato lo fs in casi più particolari, quindi dovrebbe essere superflua.
La seconda regola invece è un normale masquerade dei pacchetti diretti in LAN con l'ip lan del router.
Faccio notare che nella wiki strongswan citata da cui quelle due regole provengono stava in realtà parlando di regole per traffico destinato su internet e quindi dirette in uscita (-o) su eth0 che in quella wiki sarebbe la porta WAN. Ovviamente il traffico uscente su WAN va masquerato altrimenti gli host pubblici non raggiungerebbero quelli con IP privato.
Il fatto che con quel masquerade che hai aggiunto tu riesca a "risolvere" vuol dire che c'è qualcosa che non va dal punto di vista di un host LAN che cerca di comunicare col client in VPN. Magari controlla che il plugin farp stia funzionando correttamente.
-
Ok e se invece di queste due che hai aggiunto ci metti solo la prima?
Niente da fare, non vedo nulla della lan interna...se le tengo attive entrambe invece tutto ok.
-
Ok allora la prima è inutile, puoi toglierla. Leggi sopra per gli ultimi edit.
-
Sono quasi convinto che ti manchi il pacchetto strongswan-mod-farp
-
BINGO! :clap: :clap: :clap:
Non so come hai fatto...ma 'strongswan-mod-farp' non risultava installato...eppure pensavo che dallo script venissero installate tutte le dipendenze:
root@OpenWrt:~# opkg list_installed | grep strongswan
strongswan - 5.6.3-3
strongswan-charon - 5.6.3-3
strongswan-default - 5.6.3-3
strongswan-ipsec - 5.6.3-3
strongswan-libtls - 5.6.3-3
strongswan-mod-aes - 5.6.3-3
strongswan-mod-attr - 5.6.3-3
strongswan-mod-connmark - 5.6.3-3
strongswan-mod-constraints - 5.6.3-3
strongswan-mod-des - 5.6.3-3
strongswan-mod-dhcp - 5.6.3-3
strongswan-mod-dnskey - 5.6.3-3
strongswan-mod-eap-identity - 5.6.3-3
strongswan-mod-eap-md5 - 5.6.3-3
strongswan-mod-eap-mschapv2 - 5.6.3-3
strongswan-mod-eap-radius - 5.6.3-3
strongswan-mod-eap-tls - 5.6.3-3
strongswan-mod-fips-prf - 5.6.3-3
strongswan-mod-gmp - 5.6.3-3
strongswan-mod-hmac - 5.6.3-3
strongswan-mod-kernel-netlink - 5.6.3-3
strongswan-mod-md4 - 5.6.3-3
strongswan-mod-md5 - 5.6.3-3
strongswan-mod-nonce - 5.6.3-3
strongswan-mod-pem - 5.6.3-3
strongswan-mod-pgp - 5.6.3-3
strongswan-mod-pkcs1 - 5.6.3-3
strongswan-mod-pubkey - 5.6.3-3
strongswan-mod-random - 5.6.3-3
strongswan-mod-rc2 - 5.6.3-3
strongswan-mod-resolve - 5.6.3-3
strongswan-mod-revocation - 5.6.3-3
strongswan-mod-sha1 - 5.6.3-3
strongswan-mod-sha2 - 5.6.3-3
strongswan-mod-socket-default - 5.6.3-3
strongswan-mod-sshkey - 5.6.3-3
strongswan-mod-stroke - 5.6.3-3
strongswan-mod-updown - 5.6.3-3
strongswan-mod-x509 - 5.6.3-3
strongswan-mod-xauth-generic - 5.6.3-3
strongswan-mod-xcbc - 5.6.3-3
strongswan-pki - 5.6.3-3
Dopo averlo installato:
root@OpenWrt:~# opkg install strongswan-mod-farp
Installing strongswan-mod-farp (5.6.3-3) to root...
Downloading https://www.macoers.com/repository/homeware/18/brcm63xx-tch/VANTW/packages/strongswan-mod-farp_5.6.3-3_arm_cortex-a9_neon.ipk
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (librt and librt) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Multiple packages (libpthread and libpthread) providing same name marked HOLD or PREFER. Using latest.
Configuring strongswan-mod-farp.
va tutto alla grande, naturalmente senza quelle 2 regole sullo split tunneling e persino con rpfilter attivo!
Dalla vpn vedo e pingo (ove possibile) gli host della lan interna. Non ho nemmeno attivato il caricamento di farp nei file di config di strongswan, l'ha fatto in automatico.
GRAZIE! :pray:
-
Eheh, sono andato per logica, se quella regola faceva funzionare le cose allora il primo indiziato era proprio farp. Rpfilter rompe le scatole sui Device col WiFi quantenna come il 4130/2
@lucash78 anche il tuo problema era sicuramente il medesimo
@FrancYescO appena hai un minuto c'è da fixare lo scriptino
-
fatto ;)
-
@LuKePicci mi ero perso la tua citazione!!
Buono a sapersi, anzi ottimo, ma ora ho problemi di riavvio con il DGA4132 ahimè (e non riesco a risolverli...)
-
Ciao a tutti, sto provando a installare la VPN su un DGA 4132 con GUI Ansuel.
Riassumo che cosa ho fatto.
1) Ho dato un opkg update e questo è l'output:
root@modemtim:~# opkg update
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/base/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_base
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/packages/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_packages
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/luci/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_luci
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/routing/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_routing
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/telephony/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_telephony
Downloading https://raw.githubusercontent.com/Ansuel/GUI_ipk/kernel-4.1/target/packages/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_core
Downloading https://repository.macoers.com/homeware/18/brcm63xx-tch/VANTW/base/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_base_macoers
Downloading https://repository.macoers.com/homeware/18/brcm63xx-tch/VANTW/packages/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_packages_macoers
Downloading https://repository.macoers.com/homeware/18/brcm63xx-tch/VANTW/luci/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_luci_macoers
Downloading https://repository.macoers.com/homeware/18/brcm63xx-tch/VANTW/routing/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_routing_macoers
Downloading https://repository.macoers.com/homeware/18/brcm63xx-tch/VANTW/telephony/Packages.gz
Updated list of available packages in /var/opkg-lists/chaos_calmer_telephony_macoers
root@modemtim:~#
2) Ho eseguito il comando /etc/init.d/ipsec status e ho ottenuto active with no instances
3) Ho fatto partire lo script curl https://raw.githubusercontent.com/FrancYescO/sharing_tg789/strongswan/setup.sh | sh e ho ottenuto il seguente output:
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0In stalling strongswan...
100 6909 100 6909 0 0 25588 0 --:--:-- --:--:-- --:--:-- 25588
Package strongswan-default (5.6.3-3) installed in root is up to date.
Package strongswan-pki (5.6.3-3) installed in root is up to date.
Package strongswan-mod-dhcp (5.6.3-3) installed in root is up to date.
Package strongswan-mod-farp (5.6.3-3) installed in root is up to date.
Package strongswan-mod-eap-identity (5.6.3-3) installed in root is up to date.
Package strongswan-mod-eap-md5 (5.6.3-3) installed in root is up to date.
Package strongswan-mod-eap-mschapv2 (5.6.3-3) installed in root is up to date.
Package strongswan-mod-eap-radius (5.6.3-3) installed in root is up to date.
Package strongswan-mod-eap-tls (5.6.3-3) installed in root is up to date.
Generating/Placing conf files...
Building certificates for [ yourhost.example.com ] and client [ (aka myVpnClien ts) ]
caKey exists, using existing caKey for signing serverCert and clientCert....
generating caCert for [ CATechnicolor ]...
openssl: symbol lookup error: openssl: undefined symbol: BIO_f_zlib
Now building CA keys bundle
openssl: symbol lookup error: openssl: undefined symbol: BIO_f_zlib
generating server certificates for [ yourhost.example.com ]...
generating clientCert for [ myvpnclient1 (aka myVpnClients) ]...
openssl: symbol lookup error: openssl: undefined symbol: BIO_f_zlib
Now building Client keys bundle for [ myvpnclient1 ]
openssl: symbol lookup error: openssl: undefined symbol: BIO_f_zlib
openssl: symbol lookup error: openssl: undefined symbol: BIO_f_zlib
ln: /etc/ipsec.d/certs/caCert.pem: File exists
mv: can't rename 'ca.p12': No such file or directory
mv: can't rename 'client_*.p12': No such file or directory
mv: can't rename 'clientCert_*.crt': No such file or directory
Warning: Option 'lan'.wan is unknown
Warning: Option 'wan'.conntrack is unknown
Warning: Option 'wan'.wan is unknown
Warning: Section 'wan' cannot resolve device of network 'wwan'
Warning: Option 'public_lan'.wan is unknown
Warning: Option 'z_wlnetb24'.wan is unknown
Warning: Option 'iptv'.wan is unknown
Warning: Option 'z_wlnetb5'.wan is unknown
Warning: Option 'z_if1'.wan is unknown
Warning: Option 'vpn'.wan is unknown
Warning: Option 'defaultipv6incoming'._key is unknown
Warning: Option 'defaultipv6outgoing'._key is unknown
Warning: Option 'defaultoutgoing'._key is unknown
Warning: Option 'defaultoutgoing_guest24'._key is unknown
Warning: Option 'defaultoutgoing_guest5'._key is unknown
* Flushing IPv4 filter table
* Flushing IPv4 nat table
* Flushing IPv4 mangle table
* Flushing IPv4 raw table
* Flushing IPv6 filter table
* Flushing IPv6 mangle table
* Flushing IPv6 raw table
* Flushing conntrack table ...
* Populating IPv4 filter table
* Rule 'ubus:cwmpd[cwmpd] rule 1'
! Skipping due to different family of ip address
* Rule 'ubus:cwmpd[cwmpd] rule 2'
* Rule 'ubus:cwmpd[cwmpd] rule 3'
* Rule 'ubus:igmpproxy[instance1] rule 0'
* Rule 'ubus:igmpproxy[instance1] rule 1'
* Rule 'ubus:nqe[instance1] rule 0'
* Rule 'Drop_non_TCP_SYN'
* Rule 'drop_lan_2_z_wlnetb24'
* Rule 'Deny_CWMP_Conn_Reqs_from_LAN'
* Rule 'drop_z_wlnetb24_2_lan'
* Rule 'drop-lan_2_z_wlnetb24_GW'
* Rule 'Allow_z_wlnetb24_ICMP'
* Rule 'Allow_z_wlnetb24_DHCP'
* Rule 'Allow_z_wlnetb24_DNS'
* Rule 'drop_lan_2_z_wlnetb5'
* Rule 'drop_z_wlnetb5_2_lan'
* Rule 'drop-lan_2_z_wlnetb5_GW'
* Rule 'Allow_z_wlnetb5_ICMP'
* Rule 'Allow_z_wlnetb5_DHCP'
* Rule 'Allow_z_wlnetb5_DNS'
* Rule 'Allow-DHCP-Renew'
* Rule 'Allow-Ping'
* Rule 'access_2_LAN_IP'
* Rule 'close_port_139'
* Rule 'close_port_445'
* Rule 'Deny-CUPS-wan'
* Rule 'SSH-wan'
* Rule 'Restrict-TCP-LAN-Input'
* Rule 'IPSec ESP'
* Rule 'IPSec IKE'
* Rule 'IPSec NAT-T'
* Rule 'Auth Header'
* Rule 'Default action for outgoing NAT'
* Rule 'Default action for outgoing NAT'
* Rule 'Default action for outgoing NAT'
* Redirect 'ubus:cwmpd[cwmpd] redirect 0'
* Forward 'lan' -> 'wan'
* Forward 'z_wlnetb24' -> 'wan'
* Forward 'lan' -> 'iptv'
* Forward 'z_wlnetb5' -> 'wan'
* Forward 'lan' -> 'zoneif1'
* Forward 'lan' -> 'vpn'
* Forward 'vpn' -> 'lan'
* Forward 'vpn' -> 'wan'
* Zone 'loopback'
* Zone 'lan'
* Zone 'wan'
* Zone 'public_lan'
* Zone 'z_wlnetb24'
* Zone 'iptv'
* Zone 'z_wlnetb5'
* Zone 'zoneif1'
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
* Zone 'vpn'
* Populating IPv4 nat table
* Redirect 'ubus:cwmpd[cwmpd] redirect 0'
* Zone 'loopback'
* Zone 'lan'
* Zone 'wan'
* Zone 'public_lan'
* Zone 'z_wlnetb24'
* Zone 'iptv'
* Zone 'z_wlnetb5'
* Zone 'zoneif1'
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
* Zone 'vpn'
* Populating IPv4 mangle table
* Zone 'loopback'
* Zone 'lan'
* Zone 'wan'
* Zone 'public_lan'
* Zone 'z_wlnetb24'
* Zone 'iptv'
* Zone 'z_wlnetb5'
* Zone 'zoneif1'
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
* Zone 'vpn'
* Populating IPv4 raw table
* Zone 'loopback'
* Zone 'lan'
* Zone 'wan'
* Zone 'public_lan'
* Zone 'z_wlnetb24'
* Zone 'iptv'
* Zone 'z_wlnetb5'
* Zone 'zoneif1'
* Zone 'vpn'
* Populating IPv6 filter table
* Rule 'ubus:cwmpd[cwmpd] rule 1'
! Skipping due to different family of ip address
* Rule 'ubus:cwmpd[cwmpd] rule 2'
* Rule 'ubus:cwmpd[cwmpd] rule 3'
* Rule 'ubus:igmpproxy[instance1] rule 0'
* Rule 'ubus:nqe[instance1] rule 0'
* Rule 'Drop_non_TCP_SYN'
* Rule 'drop_lan_2_z_wlnetb24'
* Rule 'Deny_CWMP_Conn_Reqs_from_LAN'
* Rule 'drop_z_wlnetb24_2_lan'
* Rule 'Allow-z_wlnetb24_ICMPv6'
* Rule 'drop_lan_2_z_wlnetb5'
* Rule 'drop_z_wlnetb5_2_lan'
* Rule 'Allow-z_wlnetb5_ICMPv6'
* Rule 'Allow-Ping6'
* Rule 'Allow-DHCPv6'
* Rule 'Allow-ICMPv6-Input'
* Rule 'Allow-ICMPv6-Forward'
* Rule 'Deny-CUPS-wan-v6'
* Rule 'IPSec ESP'
* Rule 'IPSec IKE'
* Rule 'IPSec NAT-T'
* Rule 'Auth Header'
* Rule 'Default action for outgoing NAT'
* Rule 'Default action for outgoing NAT'
* Rule 'Default action for outgoing NAT'
* Forward 'lan' -> 'wan'
* Forward 'z_wlnetb24' -> 'wan'
* Forward 'lan' -> 'iptv'
* Forward 'z_wlnetb5' -> 'wan'
* Forward 'lan' -> 'zoneif1'
* Forward 'lan' -> 'vpn'
* Forward 'vpn' -> 'lan'
* Forward 'vpn' -> 'wan'
* Zone 'loopback'
* Zone 'lan'
* Zone 'wan'
* Zone 'public_lan'
* Zone 'z_wlnetb24'
* Zone 'iptv'
* Zone 'z_wlnetb5'
* Zone 'zoneif1'
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
* Zone 'vpn'
* Populating IPv6 mangle table
* Zone 'loopback'
* Zone 'lan'
* Zone 'wan'
* Zone 'public_lan'
* Zone 'z_wlnetb24'
* Zone 'iptv'
* Zone 'z_wlnetb5'
* Zone 'zoneif1'
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
* Zone 'vpn'
* Populating IPv6 raw table
* Zone 'loopback'
* Zone 'lan'
* Zone 'wan'
* Zone 'public_lan'
* Zone 'z_wlnetb24'
* Zone 'iptv'
* Zone 'z_wlnetb5'
* Zone 'zoneif1'
* Zone 'vpn'
* Set tcp_ecn to off
* Set tcp_syncookies to on
! Unable to write value: No such file or directory
* Set tcp_window_scaling to on
* Running script '/etc/firewall.user'
* Running script '/lib/functions/firewall-restart-ext-tch.sh'
* Running script '/lib/functions/firewall-ext-tch.sh'
* Running script '/lib/functions/tod.sh'
* Running script '/usr/lib/intercept/firewall.sh'
* Running script '/lib/functions/firewall-dhcpsnooper.sh'
* Running script '/usr/share/miniupnpd-tch/firewall.include'
* Running script '/lib/functions/firewall-mmpbx.sh'
* Running script '/lib/functions/firewall-dropbear.sh'
* Running script '/lib/functions/firewall-l2tp-ipsec-server.sh'
sh: local: line 6: not in a function
! Failed with exit code 2
Ora non so come muovermi sinceramente. Qualcuno potrebbe darmi una mano e dirmi dove sbaglio?
Altre domanda: nel caso volessi disattivare/disinstallare la VPN in futuro, che comando dovrei dare?
Grazie!
-
Ciao Satigno, prima cosa lo script andrebbe modificato prima di essere runnato, devi configurare il tuo DDNS, i nomi dei tuoi client ecc, ti consiglierei di installare la TAB VPN se vuoi qualcosa di più configurabile da GUI facilmente (https://www.ilpuntotecnico.com/forum/index.php/topic,81299.0.html).
Secondo dall'errore
* Running script '/lib/functions/firewall-l2tp-ipsec-server.sh'
sh: local: line 6: not in a function
! Failed with exit code 2Immagino che tu sia in un firmware 2.3.X, in questo caso devi modificare manualmente il file /lib/functions/firewall-l2tp-ipsec-server.sh togliendo le stringe local nelle prima righe da così
. $IPKG_INSTROOT/lib/functions.sh
local chain="l2tp_ipsec"
local targetchain="zone_wan_input"
# Helper function which deletes and flushes all of our chains a così:
. $IPKG_INSTROOT/lib/functions.sh
chain="l2tp_ipsec"
targetchain="zone_wan_input"
# Helper function which deletes and flushes all of our chains
Se decidi di installare la CARD VPN passiamo nell'altro Thread, ciao
-
Grazie della risposta!
Si fino a poco fa utilizzavo l'altro metodo con GUI, ma ormai non riesco più a connettermici ne da pc con hotspot ne da telefono Android, in quanto IKEV1 non è più supportato se non ho capito male.
Si sono su FW 2.3.3 se non sbaglio.
Ho già un DDNS configurato sul modem.
Precisamente quindi dovrei fare la modifica del "local", prendere lo script, salvarlo come file sh, modificarlo e runnarlo? Fatto ciò dovrei ottenere il file .p12 da importare sul telefono Android ad esempio.
#!/bin/sh
echo "Installing strongswan..."
opkg install strongswan-default strongswan-pki strongswan-mod-dhcp strongswan-mod-farp
opkg list | grep strongswan-mod-eap- | awk '{print $1}' | xargs opkg install
COUNTRYNAME="US"
CANAME="CATechnicolor"
ORGNAME="Technicolor"
CACERTPASSWORD="" #if set will be asked when installing cert on clients or generating new clientCert
SERVERDOMAINNAME=$(uci get ddns.myddns_ipv4.domain) #"myvpnserver.dyndns.org"
CLIENTNAMES="myvpnclient1" # or more " … myvpnclient2 muvpnclient3"
SHAREDSAN="myVpnClients" # iOS clients need to match a common SAN
dhcp_broadcast=$(ifconfig br-lan | awk '/inet / {print $3}' | cut -d: -f2)
echo "Generating/Placing conf files..."
echo "config setup
conn %default
keyexchange=ikev2
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
left=%any
leftauth=pubkey
leftcert=serverCert_$SERVERDOMAINNAME.pem
leftid=$SERVERDOMAINNAME
leftsubnet=0.0.0.0/0;::/0
right=%any
rightsourceip=%dhcp
eap_identity=%identity
auto=add
conn rwEAPMSCHAPV2
leftsendcert=always
rightauth=eap-mschapv2
rightsendcert=never
conn rwPUBKEYIOS
leftsendcert=always
rightid=$SHAREDSAN
rightauth=pubkey
rightca=caCert.pem
#rightauth2=eap-mschapv2
conn rwEAPTLSIOS
leftsendcert=always
rightid=$SHAREDSAN
rightauth=eap-tls
rightcert=caCert.pem
#rightauth2=eap-mschapv2
conn rwPUBKEY
rightauth=pubkey
rightcert=caCert.pem
#rightauth2=eap-mschapv2
conn rwEAPTLS
rightauth=eap-tls
rightcert=caCert.pem" > /etc/ipsec.conf
echo "dhcp {
identity_lease = yes
force_server_address = yes
load = yes
server = $dhcp_broadcast
}" > /etc/strongswan.d/charon/dhcp.conf
echo ": RSA serverKey_$SERVERDOMAINNAME.pem
remoteusername : EAP \"secretpassword\"" > /etc/ipsec.secrets
if [ ! "$(uci get -q firewall.ipsec_esp)" ]; then
uci set firewall.ipsec_esp=rule
uci set firewall.ipsec_esp.src='wan'
uci set firewall.ipsec_esp.name='IPSec ESP'
uci set firewall.ipsec_esp.proto='esp'
uci set firewall.ipsec_esp.target='ACCEPT'
fi
if [ ! "$(uci get -q firewall.ipsec_ike)" ]; then
uci set firewall.ipsec_ike=rule
uci set firewall.ipsec_ike.src='wan'
uci set firewall.ipsec_ike.name='IPSec IKE'
uci set firewall.ipsec_ike.proto='udp'
uci set firewall.ipsec_ike.dest_port='500'
uci set firewall.ipsec_ike.target='ACCEPT'
fi
if [ ! "$(uci get -q firewall.ipsec_nat_traversal)" ]; then
uci set firewall.ipsec_nat_traversal=rule
uci set firewall.ipsec_nat_traversal.src='wan'
uci set firewall.ipsec_nat_traversal.name='IPSec NAT-T'
uci set firewall.ipsec_nat_traversal.proto='udp'
uci set firewall.ipsec_nat_traversal.dest_port='4500'
uci set firewall.ipsec_nat_traversal.target='ACCEPT'
fi
if [ ! "$(uci get -q firewall.ipsec_auth_header)" ]; then
uci set firewall.ipsec_auth_header=rule
uci set firewall.ipsec_auth_header.src='wan'
uci set firewall.ipsec_auth_header.name='Auth Header'
uci set firewall.ipsec_auth_header.proto='ah'
uci set firewall.ipsec_auth_header.target='ACCEPT'
fi
uci commit firewall
if ! < /etc/firewall.user grep -q 'strongswan ipsec' ; then
cat << EOF >> /etc/firewall.user
#strongswan ipsec
iptables -I INPUT -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I OUTPUT -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -t nat -I POSTROUTING -m policy --pol ipsec --dir out -j ACCEPT
EOF
fi
cd /tmp
echo "Building certificates for [ $SERVERDOMAINNAME ] and client [ $CLIENTNAME (aka $SHAREDSAN) ] "
[ -f "/etc/ipsec.d/private/ca.p12" ] && ln -s /etc/ipsec.d/private/ca.p12 ca.p12
if [ -f "caKey.pem" ] ; then
echo "caKey exists, using existing caKey for signing serverCert and clientCert...."
elif [ -f "ca.p12" ] ; then
echo "CA keys bundle exists, accessing existing protected caKey for signing serverCert and clientCert...."
openssl pkcs12 -in ca.p12 -nocerts -out caKey.pem
else
echo "generating a new cakey for [ $CANAME ]"
ipsec pki --gen --outform pem > caKey.pem
fi
echo "generating caCert for [ $CANAME ]..."
ipsec pki --self --lifetime 3652 --in caKey.pem --dn "C=$COUNTRYNAME, O=$ORGNAME, CN=$CANAME" --ca --outform pem > caCert.pem
openssl x509 -inform PEM -outform DER -in caCert.pem -out caCert.crt
echo "Now building CA keys bundle"
openssl pkcs12 -export -inkey caKey.pem -in caCert.pem -name "$CANAME" -certfile caCert.pem -caname "$CANAME" -out ca.p12 -password "pass:$CACERTPASSWORD"
echo "generating server certificates for [ $SERVERDOMAINNAME ]... "
ipsec pki --gen --outform pem > serverKey_$SERVERDOMAINNAME.pem
ipsec pki --pub --in serverKey_$SERVERDOMAINNAME.pem | ipsec pki --issue --lifetime 3652 --cacert caCert.pem --cakey caKey.pem --dn "C=$COUNTRYNAME, O=$ORGNAME, CN=$SERVERDOMAINNAME" --san="$SERVERDOMAINNAME" --flag serverAuth --flag ikeIntermediate --outform pem > serverCert_$SERVERDOMAINNAME.pem
#openssl x509 -inform PEM -outform DER -in serverCert_$SERVERDOMAINNAME.pem -out serverCert_$SERVERDOMAINNAME.crt
for CLIENTNAME in $CLIENTNAMES; do
if [ -f "clientCert_$CLIENTNAME.pem" ] ; then
echo "clientCert for [ $CLIENTNAME ] exists, not generating new clientCert."
continue
fi
echo "generating clientCert for [ $CLIENTNAME (aka $SHAREDSAN) ]..."
ipsec pki --gen --outform pem > clientKey_$CLIENTNAME.pem
ipsec pki --pub --in clientKey_$CLIENTNAME.pem | ipsec pki --issue --lifetime 3652 --cacert caCert.pem --cakey caKey.pem --dn "C=$COUNTRYNAME, O=$ORGNAME, CN=$CLIENTNAME" --san="$CLIENTNAME" --san="$SHAREDSAN" --outform pem > clientCert_$CLIENTNAME.pem
openssl x509 -inform PEM -outform DER -in clientCert_$CLIENTNAME.pem -out clientCert_$CLIENTNAME.crt
echo "Now building Client keys bundle for [ $CLIENTNAME ]"
openssl pkcs12 -export -inkey clientKey_$CLIENTNAME.pem -in clientCert_$CLIENTNAME.pem -name "$CLIENTNAME" -certfile caCert.pem -caname "$CANAME" -out client_$CLIENTNAME.p12 -password "pass:$CACERTPASSWORD"
rm clientKey_$CLIENTNAME.pem
openssl x509 -inform PEM -outform DER -in clientCert_$CLIENTNAME.pem -out clientCert_$CLIENTNAME.crt
done
# where to put them...
mv caCert.pem /etc/ipsec.d/cacerts/
ln -s ../cacerts/caCert.pem /etc/ipsec.d/certs/caCert.pem
mv serverCert*.pem /etc/ipsec.d/certs/
mv serverKey*.pem /etc/ipsec.d/private/
mv clientCert*.pem /etc/ipsec.d/certs/
#These file are not needed on the server
[ ! -f "/etc/ipsec.d/private/ca.p12" ] && mv ca.p12 /etc/ipsec.d/private/ #needed to generate new clients
mv client_*.p12 /etc/ipsec.d/private/
mv clientCert_*.crt /etc/ipsec.d/private/
/etc/init.d/firewall restart
/etc/init.d/ipsec enable
/etc/init.d/ipsec start
Dovrei modificare solo "CLIENTNAMES"? Grazie mille!
-
Si, esatto, se non ricordo mai poi io ho sempre avuto problemi lasciando la CACERTPASSWORD vuota però magari non è più necessario
-
@lorenzocanalelc
Grazie dell'aiuto. Purtroppo ho fatto tutto quello che ho scritto sopra e comunque non trovo il file .p12 e comprare qualche errore durante l'esecuzione dello script.
Ho modificato il file rimuovendo le stringhe "local" e, prima di far partire lo script, ho modificato la stringa:
CLIENTNAMES="ANDREAVPN" #or more " … myvpnclient2 muvpnclient3"
Quello che ottengo è:
root@modemtim:~# /etc/setup.sh
Installing strongswan...
Package strongswan-default (5.6.3-3) installed in root is up to date.
Package strongswan-pki (5.6.3-3) installed in root is up to date.
Package strongswan-mod-dhcp (5.6.3-3) installed in root is up to date.
Package strongswan-mod-farp (5.6.3-3) installed in root is up to date.
Package strongswan-mod-eap-identity (5.6.3-3) installed in root is up to date.
Package strongswan-mod-eap-md5 (5.6.3-3) installed in root is up to date.
Package strongswan-mod-eap-mschapv2 (5.6.3-3) installed in root is up to date.
Package strongswan-mod-eap-radius (5.6.3-3) installed in root is up to date.
Package strongswan-mod-eap-tls (5.6.3-3) installed in root is up to date.
Generating/Placing conf files...
Building certificates for [ yourhost.example.com ] and client [ (aka myVpnClients) ]
caKey exists, using existing caKey for signing serverCert and clientCert....
generating caCert for [ CATechnicolor ]...
openssl: symbol lookup error: openssl: undefined symbol: BIO_f_zlib
Now building CA keys bundle
openssl: symbol lookup error: openssl: undefined symbol: BIO_f_zlib
generating server certificates for [ yourhost.example.com ]...
generating clientCert for [ ANDREAVPN (aka myVpnClients) ]...
openssl: symbol lookup error: openssl: undefined symbol: BIO_f_zlib
Now building Client keys bundle for [ ANDREAVPN ]
openssl: symbol lookup error: openssl: undefined symbol: BIO_f_zlib
openssl: symbol lookup error: openssl: undefined symbol: BIO_f_zlib
ln: /etc/ipsec.d/certs/caCert.pem: File exists
mv: can't rename 'ca.p12': No such file or directory
mv: can't rename 'client_*.p12': No such file or directory
mv: can't rename 'clientCert_*.crt': No such file or directory
Warning: Option 'lan'.wan is unknown
Warning: Option 'wan'.conntrack is unknown
Warning: Option 'wan'.wan is unknown
Warning: Section 'wan' cannot resolve device of network 'wwan'
Warning: Option 'public_lan'.wan is unknown
Warning: Option 'z_wlnetb24'.wan is unknown
Warning: Option 'iptv'.wan is unknown
Warning: Option 'z_wlnetb5'.wan is unknown
Warning: Option 'z_if1'.wan is unknown
Warning: Option 'vpn'.wan is unknown
Warning: Option 'defaultipv6incoming'._key is unknown
Warning: Option 'defaultipv6outgoing'._key is unknown
Warning: Option 'defaultoutgoing'._key is unknown
Warning: Option 'defaultoutgoing_guest24'._key is unknown
Warning: Option 'defaultoutgoing_guest5'._key is unknown
* Flushing IPv4 filter table
* Flushing IPv4 nat table
* Flushing IPv4 mangle table
* Flushing IPv4 raw table
* Flushing IPv6 filter table
* Flushing IPv6 mangle table
* Flushing IPv6 raw table
* Flushing conntrack table ...
* Populating IPv4 filter table
* Rule 'ubus:cwmpd[cwmpd] rule 1'
! Skipping due to different family of ip address
* Rule 'ubus:cwmpd[cwmpd] rule 2'
* Rule 'ubus:cwmpd[cwmpd] rule 3'
* Rule 'ubus:igmpproxy[instance1] rule 0'
* Rule 'ubus:igmpproxy[instance1] rule 1'
* Rule 'ubus:nqe[instance1] rule 0'
* Rule 'Drop_non_TCP_SYN'
* Rule 'drop_lan_2_z_wlnetb24'
* Rule 'Deny_CWMP_Conn_Reqs_from_LAN'
* Rule 'drop_z_wlnetb24_2_lan'
* Rule 'drop-lan_2_z_wlnetb24_GW'
* Rule 'Allow_z_wlnetb24_ICMP'
* Rule 'Allow_z_wlnetb24_DHCP'
* Rule 'Allow_z_wlnetb24_DNS'
* Rule 'drop_lan_2_z_wlnetb5'
* Rule 'drop_z_wlnetb5_2_lan'
* Rule 'drop-lan_2_z_wlnetb5_GW'
* Rule 'Allow_z_wlnetb5_ICMP'
* Rule 'Allow_z_wlnetb5_DHCP'
* Rule 'Allow_z_wlnetb5_DNS'
* Rule 'Allow-DHCP-Renew'
* Rule 'Allow-Ping'
* Rule 'access_2_LAN_IP'
* Rule 'close_port_139'
* Rule 'close_port_445'
* Rule 'Deny-CUPS-wan'
* Rule 'SSH-wan'
* Rule 'Restrict-TCP-LAN-Input'
* Rule 'IPSec ESP'
* Rule 'IPSec IKE'
* Rule 'IPSec NAT-T'
* Rule 'Auth Header'
* Rule 'Default action for outgoing NAT'
* Rule 'Default action for outgoing NAT'
* Rule 'Default action for outgoing NAT'
* Redirect 'ubus:cwmpd[cwmpd] redirect 0'
* Forward 'lan' -> 'wan'
* Forward 'z_wlnetb24' -> 'wan'
* Forward 'lan' -> 'iptv'
* Forward 'z_wlnetb5' -> 'wan'
* Forward 'lan' -> 'zoneif1'
* Forward 'lan' -> 'vpn'
* Forward 'vpn' -> 'lan'
* Forward 'vpn' -> 'wan'
* Zone 'loopback'
* Zone 'lan'
* Zone 'wan'
* Zone 'public_lan'
* Zone 'z_wlnetb24'
* Zone 'iptv'
* Zone 'z_wlnetb5'
* Zone 'zoneif1'
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
* Zone 'vpn'
* Populating IPv4 nat table
* Redirect 'ubus:cwmpd[cwmpd] redirect 0'
* Zone 'loopback'
* Zone 'lan'
* Zone 'wan'
* Zone 'public_lan'
* Zone 'z_wlnetb24'
* Zone 'iptv'
* Zone 'z_wlnetb5'
* Zone 'zoneif1'
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
* Zone 'vpn'
* Populating IPv4 mangle table
* Zone 'loopback'
* Zone 'lan'
* Zone 'wan'
* Zone 'public_lan'
* Zone 'z_wlnetb24'
* Zone 'iptv'
* Zone 'z_wlnetb5'
* Zone 'zoneif1'
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
* Zone 'vpn'
* Populating IPv4 raw table
* Zone 'loopback'
* Zone 'lan'
* Zone 'wan'
* Zone 'public_lan'
* Zone 'z_wlnetb24'
* Zone 'iptv'
* Zone 'z_wlnetb5'
* Zone 'zoneif1'
* Zone 'vpn'
* Populating IPv6 filter table
* Rule 'ubus:cwmpd[cwmpd] rule 1'
! Skipping due to different family of ip address
* Rule 'ubus:cwmpd[cwmpd] rule 2'
* Rule 'ubus:cwmpd[cwmpd] rule 3'
* Rule 'ubus:igmpproxy[instance1] rule 0'
* Rule 'ubus:nqe[instance1] rule 0'
* Rule 'Drop_non_TCP_SYN'
* Rule 'drop_lan_2_z_wlnetb24'
* Rule 'Deny_CWMP_Conn_Reqs_from_LAN'
* Rule 'drop_z_wlnetb24_2_lan'
* Rule 'Allow-z_wlnetb24_ICMPv6'
* Rule 'drop_lan_2_z_wlnetb5'
* Rule 'drop_z_wlnetb5_2_lan'
* Rule 'Allow-z_wlnetb5_ICMPv6'
* Rule 'Allow-Ping6'
* Rule 'Allow-DHCPv6'
* Rule 'Allow-ICMPv6-Input'
* Rule 'Allow-ICMPv6-Forward'
* Rule 'Deny-CUPS-wan-v6'
* Rule 'IPSec ESP'
* Rule 'IPSec IKE'
* Rule 'IPSec NAT-T'
* Rule 'Auth Header'
* Rule 'Default action for outgoing NAT'
* Rule 'Default action for outgoing NAT'
* Rule 'Default action for outgoing NAT'
* Forward 'lan' -> 'wan'
* Forward 'z_wlnetb24' -> 'wan'
* Forward 'lan' -> 'iptv'
* Forward 'z_wlnetb5' -> 'wan'
* Forward 'lan' -> 'zoneif1'
* Forward 'lan' -> 'vpn'
* Forward 'vpn' -> 'lan'
* Forward 'vpn' -> 'wan'
* Zone 'loopback'
* Zone 'lan'
* Zone 'wan'
* Zone 'public_lan'
* Zone 'z_wlnetb24'
* Zone 'iptv'
* Zone 'z_wlnetb5'
* Zone 'zoneif1'
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
* Zone 'vpn'
* Populating IPv6 mangle table
* Zone 'loopback'
* Zone 'lan'
* Zone 'wan'
* Zone 'public_lan'
* Zone 'z_wlnetb24'
* Zone 'iptv'
* Zone 'z_wlnetb5'
* Zone 'zoneif1'
Warning: weird character in interface `<set by script>' ('/' and ' ' are not allowed by the kernel).
* Zone 'vpn'
* Populating IPv6 raw table
* Zone 'loopback'
* Zone 'lan'
* Zone 'wan'
* Zone 'public_lan'
* Zone 'z_wlnetb24'
* Zone 'iptv'
* Zone 'z_wlnetb5'
* Zone 'zoneif1'
* Zone 'vpn'
* Set tcp_ecn to off
* Set tcp_syncookies to on
! Unable to write value: No such file or directory
* Set tcp_window_scaling to on
* Running script '/etc/firewall.user'
* Running script '/lib/functions/firewall-restart-ext-tch.sh'
* Running script '/lib/functions/firewall-ext-tch.sh'
* Running script '/lib/functions/tod.sh'
* Running script '/usr/lib/intercept/firewall.sh'
* Running script '/lib/functions/firewall-dhcpsnooper.sh'
* Running script '/usr/share/miniupnpd-tch/firewall.include'
* Running script '/lib/functions/firewall-mmpbx.sh'
* Running script '/lib/functions/firewall-dropbear.sh'
* Running script '/lib/functions/firewall-l2tp-ipsec-server.sh'
Grazie ancora!
-
Dagli errori sembra che non funzioni questa versione di OpenSSL, purtroppo sugli ultimi firmware non ho provato. Una cosa che potresti provare è il comando “opkg update && opkg install openssl” per aggiornare la versione di openssl ma questo potrebbe incasinare altro, se vuoi prova, ma a tuo rischio e pericolo
-
Fatto e ottengo
Unknown package 'openssl'.
Collected errors:
* opkg_install_cmd: Cannot install package openssl.
:(
-
Esistono dei feed parziali per la versione homeware 19 tra cui le librerie libopenssl 1.1.1k .
Io le ho installate e ho provato ora la generazione dei certificati e funziona.
Ti metto direttamente il link che spiega tutto
https://www.macoers.com/blog/antonio-macolino/feeds_openwrt_homeware_19_brcm6xxx_tch
-
Con quei feed mi compaiono finalmente i file p12!
Grazie mille!
Ho provato a installare il file "client_ANDREAVPN.p12" sul telefono ma non si connette alla VPN. Ho un dubbio: nella cartella /etc/ipsec.d/private mi compare un file che si chiama "serverKey_yourhost.example.com.pem". Possibile che il file si chiama con "yourhost.example.com" piuttosto che con il mio DDNS? Grazie tante ancora, prima o poi riuscirò a farla funzionare la benedetta VPN :D
EDIT
Anche modificando l'indirizzo (quindi ottenendo nel nome del file .pem il mio DDNS) e facendo ripartire il setup, non riesco a connettermi in alcun modo.
Dando un logread -f in fase di connessione non mi sembra di trovare alcun errore inerente alla connessione quindi ho l'impressione che non sia proprio partita la VPN o stia sbagliando qualcosa di grosso.
root@modemtim:~# logread -f
Sun Feb 6 12:42:06 2022 daemon.info nanocdn-rr[9558]: INFO 9652 mdnsP label:_companion-link._tcp.local type:12 class:1 response waited in multicast
Sun Feb 6 12:42:06 2022 daemon.info nanocdn-rr[9558]: INFO 9652 mdnsP label:_homekit._tcp.local type:12 class:1 response waited in multicast
Sun Feb 6 12:42:06 2022 daemon.err nanocdn-rr[9558]: INFO 9652 548.633 mdnsP: label:_companion-link._tcp.local type:12 class:1 response waited in multicast
Sun Feb 6 12:42:06 2022 daemon.info nanocdn-rr[9558]: INFO 9652 mdnsP label:_raop._tcp.local type:12 class:1 response waited in multicast
Sun Feb 6 12:42:06 2022 daemon.err nanocdn-rr[9558]: INFO 9652 548.634 mdnsP: label:_homekit._tcp.local type:12 class:1 response waited in multicast
Sun Feb 6 12:42:06 2022 daemon.info nanocdn-rr[9558]: INFO 9652 mdnsP label:_airplay._tcp.local type:12 class:1 response waited in multicast
Sun Feb 6 12:42:06 2022 daemon.err nanocdn-rr[9558]: INFO 9652 548.634 mdnsP: label:_raop._tcp.local type:12 class:1 response waited in multicast
Sun Feb 6 12:42:06 2022 daemon.err nanocdn-rr[9558]: INFO 9652 548.634 mdnsP: label:_airplay._tcp.local type:12 class:1 response waited in multicast
Sun Feb 6 12:42:13 2022 daemon.info nanocdn-rr[9558]: INFO 9652 mdnsP label:BRW8CC84B9961E7.local type:1 class:1 response waited in multicast
Sun Feb 6 12:42:13 2022 daemon.err nanocdn-rr[9558]: INFO 9652 555.888 mdnsP: label:BRW8CC84B9961E7.local type:1 class:1 response waited in multicast
Sun Feb 6 12:42:14 2022 daemon.info nanocdn-rr[9558]: INFO 9652 mdnsP label:BRW8CC84B9961E7.local type:1 class:1 response waited in multicast
Sun Feb 6 12:42:14 2022 daemon.err nanocdn-rr[9558]: INFO 9652 556.143 mdnsP: label:BRW8CC84B9961E7.local type:1 class:1 response waited in multicast
Sun Feb 6 12:42:14 2022 daemon.info nanocdn-rr[9558]: INFO 9652 mdnsP label:BRW8CC84B9961E7.local type:1 class:1 response waited in multicast
Sun Feb 6 12:42:14 2022 daemon.err nanocdn-rr[9558]: INFO 9652 556.307 mdnsP: label:BRW8CC84B9961E7.local type:1 class:1 response waited in multicast
EDIT 2
Ho dovuto avviare ipsec che non era attivo. Come posso impostare l'autorun al riavvio del modem?
Ora ottengo:
root@modemtim:~# logread -f
Sun Feb 6 13:08:35 2022 authpriv.info ipsec: 12[NET] received packet: from IPTELEFONO[33278] to IPMODEM[500] (660 bytes)
Sun Feb 6 13:08:35 2022 daemon.info ipsec: 12[NET] received packet: from IPTELEFONO[33278] to IPMODEM[500] (660 bytes)
Sun Feb 6 13:08:35 2022 authpriv.info ipsec: 12[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Feb 6 13:08:35 2022 daemon.info ipsec: 12[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Feb 6 13:08:35 2022 authpriv.info ipsec: 12[IKE] IPTELEFONO is initiating an IKE_SA
Sun Feb 6 13:08:35 2022 daemon.info ipsec: 12[IKE] IPTELEFONO is initiating an IKE_SA
Sun Feb 6 13:08:35 2022 authpriv.info ipsec: 12[IKE] remote host is behind NAT
Sun Feb 6 13:08:35 2022 daemon.info ipsec: 12[IKE] remote host is behind NAT
Sun Feb 6 13:08:35 2022 authpriv.info ipsec: 12[IKE] DH group MODP_2048_256 inacceptable, requesting MODP_2048
Sun Feb 6 13:08:35 2022 daemon.info ipsec: 12[IKE] DH group MODP_2048_256 inacceptable, requesting MODP_2048
Sun Feb 6 13:08:35 2022 authpriv.info ipsec: 12[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Sun Feb 6 13:08:35 2022 daemon.info ipsec: 12[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Sun Feb 6 13:08:35 2022 authpriv.info ipsec: 12[NET] sending packet: from IPMODEM[500] to IPTELEFONO[33278] (38 bytes)
Sun Feb 6 13:08:35 2022 daemon.info ipsec: 12[NET] sending packet: from IPMODEM[500] to IPTELEFONO[33278] (38 bytes)
Sun Feb 6 13:08:35 2022 authpriv.info ipsec: 02[NET] received packet: from IPTELEFONO[33278] to IPMODEM[500] (660 bytes)
Sun Feb 6 13:08:35 2022 daemon.info ipsec: 02[NET] received packet: from IPTELEFONO[33278] to IPMODEM[500] (660 bytes)
Sun Feb 6 13:08:35 2022 authpriv.info ipsec: 02[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Feb 6 13:08:35 2022 daemon.info ipsec: 02[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Feb 6 13:08:35 2022 authpriv.info ipsec: 02[IKE] IPTELEFONO is initiating an IKE_SA
Sun Feb 6 13:08:35 2022 daemon.info ipsec: 02[IKE] IPTELEFONO is initiating an IKE_SA
Sun Feb 6 13:08:36 2022 authpriv.info ipsec: 02[IKE] remote host is behind NAT
Sun Feb 6 13:08:36 2022 daemon.info ipsec: 02[IKE] remote host is behind NAT
Sun Feb 6 13:08:36 2022 authpriv.info ipsec: 02[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Sun Feb 6 13:08:36 2022 daemon.info ipsec: 02[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Sun Feb 6 13:08:36 2022 authpriv.info ipsec: 02[NET] sending packet: from IPMODEM[500] to IPTELEFONO[33278] (462 bytes)
Sun Feb 6 13:08:36 2022 daemon.info ipsec: 02[NET] sending packet: from IPMODEM[500] to IPTELEFONO[33278] (462 bytes)
Sun Feb 6 13:08:36 2022 authpriv.info ipsec: 03[NET] received packet: from IPTELEFONO[32454] to IPMODEM[4500] (624 bytes)
Sun Feb 6 13:08:36 2022 daemon.info ipsec: 03[NET] received packet: from IPTELEFONO[32454] to IPMODEM[4500] (624 bytes)
Sun Feb 6 13:08:36 2022 authpriv.info ipsec: 03[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ AUTH CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Sun Feb 6 13:08:36 2022 daemon.info ipsec: 03[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ AUTH CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Sun Feb 6 13:08:36 2022 authpriv.info ipsec: 03[IKE] received 1 cert requests for an unknown ca
Sun Feb 6 13:08:36 2022 daemon.info ipsec: 03[IKE] received 1 cert requests for an unknown ca
Sun Feb 6 13:08:36 2022 authpriv.info ipsec: 03[CFG] looking for peer configs matching IPMODEM[%any]...IPTELEFONO[ANDREAVPN]
Sun Feb 6 13:08:36 2022 daemon.info ipsec: 03[CFG] looking for peer configs matching IPMODEM[%any]...IPTELEFONO[ANDREAVPN]
Sun Feb 6 13:08:36 2022 authpriv.info ipsec: 03[CFG] selected peer config 'rwEAPMSCHAPV2'
Sun Feb 6 13:08:36 2022 daemon.info ipsec: 03[CFG] selected peer config 'rwEAPMSCHAPV2'
Sun Feb 6 13:08:36 2022 authpriv.info ipsec: 03[IKE] no trusted RSA public key found for 'ANDREAVPN'
Sun Feb 6 13:08:36 2022 daemon.info ipsec: 03[IKE] no trusted RSA public key found for 'ANDREAVPN'
Sun Feb 6 13:08:36 2022 authpriv.info ipsec: 03[IKE] peer supports MOBIKE
Sun Feb 6 13:08:36 2022 daemon.info ipsec: 03[IKE] peer supports MOBIKE
Sun Feb 6 13:08:36 2022 authpriv.info ipsec: 03[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sun Feb 6 13:08:36 2022 daemon.info ipsec: 03[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sun Feb 6 13:08:36 2022 authpriv.info ipsec: 03[NET] sending packet: from IPMODEM[4500] to IPTELEFONO[32454] (80 bytes)
Sun Feb 6 13:08:36 2022 daemon.info ipsec: 03[NET] sending packet: from IPMODEM[4500] to IPTELEFONO[32454] (80 bytes)
Sun Feb 6 13:08:45 2022 daemon.info nanocdn-rr[9558]: INFO 9652 mdnsP label:BRW8CC84B9961E7.local type:1 class:1 response waited in multicast
Sun Feb 6 13:08:45 2022 daemon.err nanocdn-rr[9558]: INFO 9652 2147.682 mdnsP: label:BRW8CC84B9961E7.local type:1 class:1 response waited in multicast
Sun Feb 6 13:08:45 2022 daemon.info nanocdn-rr[9558]: INFO 9652 mdnsP label:BRW8CC84B9961E7.local type:1 class:1 response waited in multicast
Sun Feb 6 13:08:45 2022 daemon.err nanocdn-rr[9558]: INFO 9652 2147.690 mdnsP: label:BRW8CC84B9961E7.local type:1 class:1 response waited in multicast
Sun Feb 6 13:08:48 2022 daemon.info nanocdn-rr[9558]: INFO 9652 mdnsP label:BRW8CC84B9961E7.local type:1 class:1 response waited in multicast
Sun Feb 6 13:08:48 2022 daemon.err nanocdn-rr[9558]: INFO 9652 2150.150 mdnsP: label:BRW8CC84B9961E7.local type:1 class:1 response waited in multicast
-
I comandi sono in fondo a setup.sh
/etc/init.d/ipsec enable
/etc/init.d/ipsec start
-
@larsen64it
Grazia ma purtroppo non funzionano quei comandi in quanto non ho in /etc/init.d un file chiamato ipsec. C'è modo per risolvere?
Comunque continuo a ottenere questo log...
root@modemtim:~# logread -f
Sun Feb 6 13:38:12 2022 daemon.notice pppd[1447]: Connection state changed to disconnecting (phase 10)
Sun Feb 6 13:38:12 2022 daemon.notice pppd[1447]: Connection terminated.
Sun Feb 6 13:38:12 2022 daemon.info charon: 05[KNL] interface pppoe-wan_voip deleted
Sun Feb 6 13:38:12 2022 daemon.info pppd[1447]: Sent PADT
Sun Feb 6 13:38:12 2022 daemon.notice pppd[1447]: Connection state changed to disconnected (phase 0)
Sun Feb 6 13:38:12 2022 daemon.notice pppd[1447]: Modem hangup
Sun Feb 6 13:38:12 2022 daemon.info pppd[1447]: Exit.
Sun Feb 6 13:38:12 2022 daemon.notice netifd: Interface 'wan_voip' is now down
Sun Feb 6 13:38:12 2022 daemon.notice netifd: Interface 'wan_voip' is setting up now
Sun Feb 6 13:38:12 2022 daemon.info charon: 03[NET] received packet: from IPTELEFONO[33098] to IPMODEM[500] (660 bytes)
Sun Feb 6 13:38:12 2022 daemon.info charon: 03[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Feb 6 13:38:12 2022 daemon.info charon: 03[IKE] IPTELEFONO is initiating an IKE_SA
Sun Feb 6 13:38:12 2022 authpriv.info charon: 03[IKE] IPTELEFONO is initiating an IKE_SA
Sun Feb 6 13:38:12 2022 daemon.info charon: 03[IKE] remote host is behind NAT
Sun Feb 6 13:38:12 2022 daemon.info charon: 03[IKE] DH group MODP_2048_256 inacceptable, requesting MODP_2048
Sun Feb 6 13:38:12 2022 daemon.info charon: 03[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Sun Feb 6 13:38:12 2022 daemon.info charon: 03[NET] sending packet: from IPMODEM[500] to IPTELEFONO[33098] (38 bytes)
Sun Feb 6 13:38:12 2022 daemon.info charon: 04[NET] received packet: from IPTELEFONO[33098] to IPMODEM[500] (660 bytes)
Sun Feb 6 13:38:12 2022 daemon.info charon: 04[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sun Feb 6 13:38:12 2022 daemon.info charon: 04[IKE] IPTELEFONO is initiating an IKE_SA
Sun Feb 6 13:38:12 2022 authpriv.info charon: 04[IKE] IPTELEFONO is initiating an IKE_SA
Sun Feb 6 13:38:12 2022 daemon.info pppd[1695]: Plugin connstate.so loaded.
Sun Feb 6 13:38:12 2022 daemon.info pppd[1695]: Plugin rp-pppoe.so loaded.
Sun Feb 6 13:38:12 2022 daemon.info pppd[1695]: RP-PPPoE plugin version 3.8p compiled against pppd 2.4.7
Sun Feb 6 13:38:12 2022 daemon.notice pppd[1695]: pppd 2.4.7 started by root, uid 0
Sun Feb 6 13:38:12 2022 daemon.notice pppd[1695]: Connection state changed to connecting (phase 2)
Sun Feb 6 13:38:12 2022 daemon.info pppd[1695]: PPP session is 15467
Sun Feb 6 13:38:12 2022 daemon.warn pppd[1695]: Connected to 84:c1:c1:1e:36:48 via interface wanptm0
Sun Feb 6 13:38:12 2022 kern.warn kernel: [ 422.971661] netdev path : ppp1 -> wanptm0 -> ptm0
Sun Feb 6 13:38:12 2022 kern.info kernel: [ 422.971723] pppoe-wan_voip: renamed from ppp1
Sun Feb 6 13:38:12 2022 daemon.info pppd[1695]: Renamed interface ppp1 to pppoe-wan_voip
Sun Feb 6 13:38:12 2022 daemon.info pppd[1695]: Using interface pppoe-wan_voip
Sun Feb 6 13:38:12 2022 daemon.notice pppd[1695]: Connect: pppoe-wan_voip <--> wanptm0
Sun Feb 6 13:38:12 2022 daemon.notice pppd[1695]: Connection state changed to authenticating (phase 5)
Sun Feb 6 13:38:12 2022 daemon.notice pppd[1695]: peer from calling number 84:C1:C1:1E:36:48 authorized
Sun Feb 6 13:38:12 2022 daemon.notice pppd[1695]: Connection state changed to networking (phase 7)
Sun Feb 6 13:38:12 2022 daemon.info charon: 04[IKE] remote host is behind NAT
Sun Feb 6 13:38:12 2022 daemon.info charon: 04[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Sun Feb 6 13:38:12 2022 daemon.info charon: 04[NET] sending packet: from IPMODEM[500] to IPTELEFONO[33098] (462 bytes)
Sun Feb 6 13:38:12 2022 daemon.info pppd[1695]: LCP terminated by peer
Sun Feb 6 13:38:12 2022 daemon.notice pppd[1695]: Connection state changed to connecting (phase 4)
Sun Feb 6 13:38:13 2022 daemon.info charon: 07[NET] received packet: from IPTELEFONO[32696] to IPMODEM[4500] (624 bytes)
Sun Feb 6 13:38:13 2022 daemon.info charon: 07[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ AUTH CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Sun Feb 6 13:38:13 2022 daemon.info charon: 07[IKE] received 1 cert requests for an unknown ca
Sun Feb 6 13:38:13 2022 daemon.info charon: 07[CFG] looking for peer configs matching IPMODEM[%any]...IPTELEFONO[ANDREAVPN]
Sun Feb 6 13:38:13 2022 daemon.info charon: 07[CFG] selected peer config 'rwEAPMSCHAPV2'
Sun Feb 6 13:38:13 2022 daemon.info charon: 07[IKE] no trusted RSA public key found for 'ANDREAVPN'
Sun Feb 6 13:38:13 2022 daemon.info charon: 07[IKE] peer supports MOBIKE
Sun Feb 6 13:38:13 2022 daemon.info charon: 07[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sun Feb 6 13:38:13 2022 daemon.info charon: 07[NET] sending packet: from IPMODEM[4500] to IPTELEFONO[32696] (80 bytes)
Sun Feb 6 13:38:15 2022 daemon.notice pppd[1695]: Connection state changed to disconnecting (phase 10)
Sun Feb 6 13:38:15 2022 daemon.notice pppd[1695]: Connection terminated.
Sun Feb 6 13:38:16 2022 daemon.info charon: 05[KNL] interface pppoe-wan_voip deleted
Sun Feb 6 13:38:16 2022 daemon.info pppd[1695]: Sent PADT
Sun Feb 6 13:38:16 2022 daemon.notice pppd[1695]: Connection state changed to disconnected (phase 0)
Sun Feb 6 13:38:16 2022 daemon.notice pppd[1695]: Modem hangup
Sun Feb 6 13:38:16 2022 daemon.info pppd[1695]: Exit.
Sun Feb 6 13:38:16 2022 daemon.notice netifd: Interface 'wan_voip' is now down
Sun Feb 6 13:38:16 2022 daemon.notice netifd: Interface 'wan_voip' is setting up now
Sun Feb 6 13:38:16 2022 daemon.info pppd[1947]: Plugin connstate.so loaded.
Sun Feb 6 13:38:16 2022 daemon.info pppd[1947]: Plugin rp-pppoe.so loaded.
Sun Feb 6 13:38:16 2022 daemon.info pppd[1947]: RP-PPPoE plugin version 3.8p compiled against pppd 2.4.7
Sun Feb 6 13:38:16 2022 daemon.notice pppd[1947]: pppd 2.4.7 started by root, uid 0
Sun Feb 6 13:38:16 2022 daemon.notice pppd[1947]: Connection state changed to connecting (phase 2)
Sun Feb 6 13:38:16 2022 daemon.info pppd[1947]: PPP session is 5160
Sun Feb 6 13:38:16 2022 daemon.warn pppd[1947]: Connected to 84:c1:c1:1e:36:48 via interface wanptm0
Sun Feb 6 13:38:16 2022 kern.warn kernel: [ 426.678582] netdev path : ppp1 -> wanptm0 -> ptm0
Sun Feb 6 13:38:16 2022 kern.info kernel: [ 426.678636] pppoe-wan_voip: renamed from ppp1
Sun Feb 6 13:38:16 2022 daemon.info pppd[1947]: Renamed interface ppp1 to pppoe-wan_voip
Sun Feb 6 13:38:16 2022 daemon.info pppd[1947]: Using interface pppoe-wan_voip
Sun Feb 6 13:38:16 2022 daemon.notice pppd[1947]: Connect: pppoe-wan_voip <--> wanptm0
Sun Feb 6 13:38:16 2022 daemon.notice pppd[1947]: Connection state changed to authenticating (phase 5)
Sun Feb 6 13:38:16 2022 daemon.notice pppd[1947]: peer from calling number 84:C1:C1:1E:36:48 authorized
Sun Feb 6 13:38:16 2022 daemon.notice pppd[1947]: Connection state changed to networking (phase 7)
Sun Feb 6 13:38:16 2022 daemon.info pppd[1947]: LCP terminated by peer
Sun Feb 6 13:38:16 2022 daemon.notice pppd[1947]: Connection state changed to connecting (phase 4)
Sun Feb 6 13:38:17 2022 daemon.info nanocdn-rr[10357]: INFO 10487 mdnsP label:wpad.local type:1 class:1 response waited in multicast
Sun Feb 6 13:38:17 2022 daemon.err nanocdn-rr[10357]: INFO 10487 327.305 mdnsP: label:wpad.local type:1 class:1 response waited in multicast
Sun Feb 6 13:38:18 2022 daemon.info nanocdn-rr[10357]: INFO 10487 mdnsP label:wpad.local type:1 class:1 response waited in multicast
Sun Feb 6 13:38:18 2022 daemon.err nanocdn-rr[10357]: INFO 10487 328.310 mdnsP: label:wpad.local type:1 class:1 response waited in multicast
Sun Feb 6 13:38:19 2022 daemon.info nanocdn-rr[10357]: INFO 10487 mdnsP label:wpad.local type:1 class:1 response waited in multicast
Sun Feb 6 13:38:19 2022 daemon.err nanocdn-rr[10357]: INFO 10487 329.589 mdnsP: label:wpad.local type:1 class:1 response waited in multicast
Sun Feb 6 13:38:19 2022 daemon.info nanocdn-rr[10357]: INFO 10487 mdnsP label:wpad.local type:28 class:1 response waited in multicast
Sun Feb 6 13:38:19 2022 daemon.err nanocdn-rr[10357]: INFO 10487 329.590 mdnsP: label:wpad.local type:28 class:1 response waited in multicast
Sun Feb 6 13:38:19 2022 daemon.notice pppd[1947]: Connection state changed to disconnecting (phase 10)
Sun Feb 6 13:38:19 2022 daemon.notice pppd[1947]: Connection terminated.
Sun Feb 6 13:38:19 2022 daemon.info charon: 11[KNL] interface pppoe-wan_voip deleted
Sun Feb 6 13:38:19 2022 daemon.info pppd[1947]: Sent PADT
Sun Feb 6 13:38:19 2022 daemon.notice pppd[1947]: Connection state changed to disconnected (phase 0)
Sun Feb 6 13:38:19 2022 daemon.notice pppd[1947]: Modem hangup
Sun Feb 6 13:38:19 2022 daemon.info pppd[1947]: Exit.
Sun Feb 6 13:38:19 2022 daemon.notice netifd: Interface 'wan_voip' is now down
Sun Feb 6 13:38:19 2022 daemon.notice netifd: Interface 'wan_voip' is setting up now
Sun Feb 6 13:38:19 2022 kern.warn kernel: [ 430.013139] dosprotect rpfilter drop IN=br-lan OUT= MAC= SRC=fe80:0000:0000:0000:a691:b1ff:fec2:f2c8 DST=ff02:0000:0000:0000:0000:0000:0000:0016 LEN=96 TC=0 HOPLIMIT=1 FLOWLBL=0 PROTO=ICMPv6 TYPE=143 CODE=0
Sun Feb 6 13:38:20 2022 kern.warn kernel: [ 430.246001] dosprotect rpfilter drop IN=iptvptm0 OUT= MAC=01:00:5e:48:00:00:08:96:ad:29:65:0b:08:00:45:60:01:6c SRC=81.74.224.78 DST=239.200.0.0 LEN=364 TOS=0x00 PREC=0x60 TTL=121 ID=36180 DF PROTO=UDP SPT=59486 DPT=5004 LEN=344 MARK=0x8000000
Sun Feb 6 13:38:20 2022 daemon.info pppd[2202]: Plugin connstate.so loaded.
Sun Feb 6 13:38:20 2022 daemon.info pppd[2202]: Plugin rp-pppoe.so loaded.
Sun Feb 6 13:38:20 2022 daemon.info pppd[2202]: RP-PPPoE plugin version 3.8p compiled against pppd 2.4.7
Sun Feb 6 13:38:20 2022 daemon.notice pppd[2202]: pppd 2.4.7 started by root, uid 0
Sun Feb 6 13:38:20 2022 daemon.notice pppd[2202]: Connection state changed to connecting (phase 2)
Sun Feb 6 13:38:20 2022 daemon.info pppd[2202]: PPP session is 15467
Sun Feb 6 13:38:20 2022 daemon.warn pppd[2202]: Connected to 84:c1:c1:1e:36:48 via interface wanptm0
Sun Feb 6 13:38:20 2022 kern.warn kernel: [ 430.345762] netdev path : ppp1 -> wanptm0 -> ptm0
Sun Feb 6 13:38:20 2022 kern.info kernel: [ 430.345813] pppoe-wan_voip: renamed from ppp1
Sun Feb 6 13:38:20 2022 daemon.info pppd[2202]: Renamed interface ppp1 to pppoe-wan_voip
Sun Feb 6 13:38:20 2022 daemon.info pppd[2202]: Using interface pppoe-wan_voip
Sun Feb 6 13:38:20 2022 daemon.notice pppd[2202]: Connect: pppoe-wan_voip <--> wanptm0
Sun Feb 6 13:38:20 2022 daemon.notice pppd[2202]: Connection state changed to authenticating (phase 5)
Sun Feb 6 13:38:20 2022 daemon.notice pppd[2202]: peer from calling number 84:C1:C1:1E:36:48 authorized
Sun Feb 6 13:38:20 2022 daemon.notice pppd[2202]: Connection state changed to networking (phase 7)
Sun Feb 6 13:38:20 2022 daemon.info pppd[2202]: LCP terminated by peer
Sun Feb 6 13:38:20 2022 daemon.notice pppd[2202]: Connection state changed to connecting (phase 4)
Sun Feb 6 13:38:20 2022 daemon.info nanocdn-rr[10357]: INFO 10487 mdnsP label:wpad.local type:1 class:1 response waited in multicast
Sun Feb 6 13:38:20 2022 daemon.info nanocdn-rr[10357]: INFO 10487 mdnsP label:wpad.local type:28 class:1 response waited in multicast
Sun Feb 6 13:38:20 2022 daemon.err nanocdn-rr[10357]: INFO 10487 330.600 mdnsP: label:wpad.local type:1 class:1 response waited in multicast
Sun Feb 6 13:38:20 2022 daemon.err nanocdn-rr[10357]: INFO 10487 330.600 mdnsP: label:wpad.local type:28 class:1 response waited in multicast
Sun Feb 6 13:38:22 2022 daemon.info nanocdn-rr[10357]: INFO 10487 mdnsP label:BRW8CC84B9961E7.local type:1 class:1 response waited in multicast
Sun Feb 6 13:38:22 2022 daemon.err nanocdn-rr[10357]: INFO 10487 332.646 mdnsP: label:BRW8CC84B9961E7.local type:1 class:1 response waited in multicast
Sun Feb 6 13:38:23 2022 daemon.notice pppd[2202]: Connection state changed to disconnecting (phase 10)
Sun Feb 6 13:38:23 2022 daemon.notice pppd[2202]: Connection terminated.
Sun Feb 6 13:38:23 2022 daemon.info charon: 15[KNL] interface pppoe-wan_voip deleted
Sun Feb 6 13:38:23 2022 daemon.info pppd[2202]: Sent PADT
Sun Feb 6 13:38:23 2022 daemon.notice pppd[2202]: Connection state changed to disconnected (phase 0)
Sun Feb 6 13:38:23 2022 daemon.notice pppd[2202]: Modem hangup
Sun Feb 6 13:38:23 2022 daemon.info pppd[2202]: Exit.
Sun Feb 6 13:38:23 2022 daemon.notice netifd: Interface 'wan_voip' is now down
Sun Feb 6 13:38:23 2022 daemon.notice netifd: Interface 'wan_voip' is setting up now
Sun Feb 6 13:38:23 2022 daemon.info pppd[2444]: Plugin connstate.so loaded.
Sun Feb 6 13:38:23 2022 daemon.info pppd[2444]: Plugin rp-pppoe.so loaded.
Sun Feb 6 13:38:23 2022 daemon.info pppd[2444]: RP-PPPoE plugin version 3.8p compiled against pppd 2.4.7
Sun Feb 6 13:38:23 2022 daemon.notice pppd[2444]: pppd 2.4.7 started by root, uid 0
Sun Feb 6 13:38:23 2022 daemon.notice pppd[2444]: Connection state changed to connecting (phase 2)
Sun Feb 6 13:38:23 2022 daemon.info pppd[2444]: PPP session is 21882
Sun Feb 6 13:38:23 2022 daemon.warn pppd[2444]: Connected to 84:c1:c1:1e:36:48 via interface wanptm0
Sun Feb 6 13:38:23 2022 kern.warn kernel: [ 434.009423] netdev path : ppp1 -> wanptm0 -> ptm0
Sun Feb 6 13:38:23 2022 kern.info kernel: [ 434.009475] pppoe-wan_voip: renamed from ppp1
Sun Feb 6 13:38:23 2022 daemon.info pppd[2444]: Renamed interface ppp1 to pppoe-wan_voip
Sun Feb 6 13:38:23 2022 daemon.info pppd[2444]: Using interface pppoe-wan_voip
Sun Feb 6 13:38:23 2022 daemon.notice pppd[2444]: Connect: pppoe-wan_voip <--> wanptm0
Sun Feb 6 13:38:23 2022 daemon.notice pppd[2444]: Connection state changed to authenticating (phase 5)
Sun Feb 6 13:38:23 2022 daemon.notice pppd[2444]: peer from calling number 84:C1:C1:1E:36:48 authorized
Sun Feb 6 13:38:23 2022 daemon.notice pppd[2444]: Connection state changed to networking (phase 7)
Sun Feb 6 13:38:23 2022 daemon.info pppd[2444]: LCP terminated by peer
Sun Feb 6 13:38:23 2022 daemon.notice pppd[2444]: Connection state changed to connecting (phase 4)
-
Diciamo che ci sei quasi vicino.
In /etc/init.d/ il file ipsec deve esserci per forza altrimenti il servizio non si sarebbe attivato.
daemon.info charon: 03[IKE] DH group MODP_2048_256 inacceptable, requesting MODP_2048
il server ti sta dicendo che MODP_2048_256 non e' la sintassi giusta per questa cifratura ma bensi' MODP_2048 quindi dovresti controllare in /etc/ipsec.conf e correggerlo. ogni volta che modifichi qualcosa dovrai ridare il comando /etc/init.d/ipsec restart
daemon.info charon: 07[IKE] no trusted RSA public key found for 'ANDREAVPN'
Non riesce a trovare la chiave rsa , qui dovresti controllare il file /etc/ipsec.secret il nome del certificato dopo i due punti e la dicitura RSA , lo stesso nome deve essere quello della chiave del certificato del server, che si trova nella cartella /etc/ipsec.d/private
Edit
mi era sfuggito
Ho provato a installare il file "client_ANDREAVPN.p12" sul telefono ma non si connette alla VPN. Ho un dubbio: nella cartella /etc/ipsec.d/private mi compare un file che si chiama "serverKey_yourhost.example.com.pem"
Sicuramente e' sbagliato! prova a rivedere la sintassi del setup.
-
E' probabile che avendo lui eseguito lo script quando ancora non aveva openssl funzionate gli abbia lasciato in giro qualcosa di sporco.
-
lo script dice
caKey exists, using existing caKey for signing serverCert and clientCert.... quindi che i file ci siano è certo, che siano validi, ho qualche dubbio: controlla che non siano vuoti, nel caso eliminali e rifai partire lo script.
-
Secondo me lo script e' andato a leggere il servizio ddns, ma non era configurato.
-
Scusate, eccomi qua. Purtroppo posso solo provare a fare cose durante il weekend non essendo a casa durante la settimana.
Avevo provato a fare qualcosa che non mi ricordo e sostanzialmente ho dovuto riflashare il firmware da zero, fare root, ecc.
Ora sono su 2.2.1 con GUI Ansuel.
Ho reinstallato tutto e ho rifatto partire lo script (nello script ho cambiato solo il SERVERDOMAINNAME, inserendo il mio DDNS (configurato precedentemente), e il CLIENTNAMES, inserendo un nome a mio piacimento.
Ora con un logread -f ottengo:
Sat Feb 12 11:09:20 2022 daemon.info charon: 14[NET] received packet: from MIOTELEFONO[16523] to MIOMODEM[500] (660 bytes)
Sat Feb 12 11:09:20 2022 daemon.info charon: 14[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sat Feb 12 11:09:20 2022 daemon.info charon: 14[IKE] MIOTELEFONO is initiating an IKE_SA
Sat Feb 12 11:09:20 2022 authpriv.info charon: 14[IKE] MIOTELEFONO is initiating an IKE_SA
Sat Feb 12 11:09:20 2022 daemon.info charon: 14[IKE] remote host is behind NAT
Sat Feb 12 11:09:20 2022 daemon.info charon: 14[IKE] DH group MODP_2048_256 inacceptable, requesting MODP_2048
Sat Feb 12 11:09:20 2022 daemon.info charon: 14[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Sat Feb 12 11:09:20 2022 daemon.info charon: 14[NET] sending packet: from MIOMODEM[500] to MIOTELEFONO[16523] (38 bytes)
Sat Feb 12 11:09:20 2022 daemon.info charon: 05[NET] received packet: from MIOTELEFONO[16523] to MIOMODEM[500] (660 bytes)
Sat Feb 12 11:09:20 2022 daemon.info charon: 05[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Sat Feb 12 11:09:20 2022 daemon.info charon: 05[IKE] MIOTELEFONO is initiating an IKE_SA
Sat Feb 12 11:09:20 2022 authpriv.info charon: 05[IKE] MIOTELEFONO is initiating an IKE_SA
Sat Feb 12 11:09:21 2022 daemon.info charon: 05[IKE] remote host is behind NAT
Sat Feb 12 11:09:21 2022 daemon.info charon: 05[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Sat Feb 12 11:09:21 2022 daemon.info charon: 05[NET] sending packet: from MIOMODEM[500] to MIOTELEFONO[16523] (462 bytes)
Sat Feb 12 11:09:21 2022 daemon.info charon: 07[NET] received packet: from MIOTELEFONO[17072] to MIOMODEM[4500] (624 bytes)
Sat Feb 12 11:09:21 2022 daemon.info charon: 07[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ AUTH CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Sat Feb 12 11:09:21 2022 daemon.info charon: 07[IKE] received cert request for "C=US, O=Technicolor, CN=CATechnicolor"
Sat Feb 12 11:09:21 2022 daemon.info charon: 07[CFG] looking for peer configs matching MIOMODEM[%any]...MIOTELEFONO[AndreaBerna]
Sat Feb 12 11:09:21 2022 daemon.info charon: 07[CFG] selected peer config 'rwEAPMSCHAPV2'
Sat Feb 12 11:09:21 2022 daemon.info charon: 07[IKE] no trusted RSA public key found for 'AndreaBerna'
Sat Feb 12 11:09:21 2022 daemon.info charon: 07[IKE] peer supports MOBIKE
Sat Feb 12 11:09:21 2022 daemon.info charon: 07[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sat Feb 12 11:09:21 2022 daemon.info charon: 07[NET] sending packet: from MIOMODEM[4500] to MIOTELEFONO[17072] (80 bytes)
Sostanzialmente quello che ottenevo prima di incasinare tutto e partire da zero.
In /etc/init.d/ il file ipsec deve esserci per forza altrimenti il servizio non si sarebbe attivato
Ora c'è!
il server ti sta dicendo che MODP_2048_256 non e' la sintassi giusta per questa cifratura ma bensi' MODP_2048 quindi dovresti controllare in /etc/ipsec.conf e correggerlo. ogni volta che modifichi qualcosa dovrai ridare il comando /etc/init.d/ipsec restart
Come faccio a modificarlo? Al momento in ipsec.conf ho questo:
conn %default
keyexchange=ikev2
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
Non riesce a trovare la chiave rsa , qui dovresti controllare il file /etc/ipsec.secret il nome del certificato dopo i due punti e la dicitura RSA , lo stesso nome deve essere quello della chiave del certificato del server, che si trova nella cartella /etc/ipsec.d/private
Hanno lo stesso identico nome.
E' possibile che debba fare qualcosa alla password e all'username in ipsecrets.conf? Ho provato ad eliminare la riga ma mi sembra che gli errori che ottengo siano gli stessi, nonostante abbia ricaricato la config e restartato ipsec.
Grazie mille, ce la farò prima o poi :'(
EDIT
Mi sembrava non caricasse i certificati quindi ho pensato che mancasse un pacchetto strongswan. Ho dato i seguenti comandi:
opkg list | grep strongswan | awk '{print $1}' | xargs opkg install
opkg install strongswan-default strongswan-pki strongswan-mod-dhcp
opkg list | grep strongswan-mod-eap- | awk '{print $1}' | xargs opkg install
E ora connettendomi ottengo:
root@modemtim:~# logread -f
Sat Feb 12 12:40:11 2022 daemon.info charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.6.3, Linux 4.1.38, armv7l)
Sat Feb 12 12:40:11 2022 daemon.info charon: 00[CFG] PKCS11 module '<name>' lacks library path
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] disabling load-tester plugin, not configured
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[LIB] plugin 'load-tester': failed to load - load_tester_plugin_create returned NULL
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[LIB] failed to open /dev/net/tun: No such file or directory
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[KNL] failed to create TUN device
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[LIB] plugin 'kernel-libipsec': failed to load - kernel_libipsec_plugin_create returned NULL
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[LIB] plugin 'uci' failed to load: /usr/lib/ipsec/plugins/libstrongswan-uci.so: undefined symbol: uci_lookup
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] attr-sql plugin: database URI not set
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[NET] using forecast interface eth4
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] joining forecast multicast groups: 224.0.0.1,224.0.0.22,224.0.0.251,224.0.0.252,239.255.255.250
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] loaded ca certificate "C=US, O=Technicolor, CN=CATechnicolor" from '/etc/ipsec.d/cacerts/caCert.pem'
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] loaded RSA private key from '/etc/ipsec.d/private/serverKey_MIODDNS.pem'
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] sql plugin: database URI not set
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] loaded 0 RADIUS server configurations
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] HA config misses local/remote address
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[CFG] coupling file path unspecified
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[LIB] loaded plugins: charon test-vectors ldap pkcs11 aes des rc2 sha2 sha1 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp gmpdh curve25519 agent xcbc cmac hmac ccm gcm curl mysql sqlite attr kernel-netlink resolve socket-default socket-dynamic connmark forecast farp stroke vici smp updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic xauth-eap dhcp whitelist led duplicheck addrblock unity
Sat Feb 12 12:40:14 2022 daemon.info charon: 00[JOB] spawning 16 worker threads
Sat Feb 12 12:40:14 2022 daemon.info charon: 06[DMN] thread 6 received 11
Sat Feb 12 12:40:14 2022 daemon.info charon: 06[LIB] dumping 0 stack frame addresses:
Sat Feb 12 12:40:14 2022 authpriv.info ipsec_starter[15317]: charon (15817) started after 2820 ms
Sat Feb 12 12:40:14 2022 daemon.info charon: 06[DMN] killing ourself, received critical signal
Sat Feb 12 12:40:14 2022 daemon.info charon: 05[DMN] thread 5 received 11
Sat Feb 12 12:40:14 2022 daemon.info charon: 05[LIB] dumping 0 stack frame addresses:
Sat Feb 12 12:40:14 2022 daemon.info charon: 07[DMN] thread 7 received 11
Sat Feb 12 12:40:14 2022 daemon.info charon: 07[LIB] dumping 0 stack frame addresses:
Sat Feb 12 12:40:14 2022 user.notice postmortem: core dump for pid 15817 file charon.15817.6.1644666014.core ignored due to system.[member=77439]coredump[/member][0].action=ignore setting
Sat Feb 12 12:40:14 2022 authpriv.info ipsec_starter[15317]: charon has died -- restart scheduled (5sec)
Almeno adesso sembra carichi i certificati ma comunque non va...
-
Ciao, per un telefono android i settaggi sono questi:
1)server: il tuo ddns
2)vpn type IKEv2 Certificate oppure IKEv2 EAP-TLS(devi aver installato i certificati generati insieme a quelli del server, ovvero se li avevi installati da una precedente installazione devi rimuoverli e installare i nuovi)
poi scorri in basso
3)show advance settings
4)IKEv2 Algoritms sha1-aes128-modp2048
5)IPsec/ESP Algoritms sha1-aes128
Per quanto riguarda 4 e 5 gli algoritmi che puoi usare sono quelli che hai sul file ipsec.conf, ovviamente se supportati es : sha256 aes256 modp3072
Per i-phone consulta la guida ufficiale:
https://openwrt.org/docs/guide-user/services/vpn/strongswan/roadwarrior
-
Non trovo quelle impostazioni... su Android sto utilizzando: Tipo: IKEV2/IPSEC RSA, server: mio ddns, certificato utente e certificato CA quello importato (file .p12), identificatore IPSEC: quello inserito in CLIENTNAMES.
EDIT
Ho dovuto utilizzare il client STRONGSWAN per inserire le impostazioni a cui ti riferivi e finalmente è andata! Grazie!
Ora ho un problema:
- il telefono non naviga su internet, è come se gli mancasse la connessione.
Altra cosa: cosa è possibile fare per rendere più sicuro il tutto? è possibile cancellare il certificato dal modem? Grazie!
Consigli? Grazie :)
-
Stai utilizzando l'app strongswan?
Stai utilizzando android 11-12?
Starting with Android 11 a native IKEv2 implementation is available. For some reasons, it didn't work until Android 12.
Android 12 IKEv2 works just fine but it doesn't allow using HMAC-SHA1 for the CHILD_SA. This wouldn't be an issue unless you explicitly excluded - for whatever reasons - greater integrity algorithms.
Io sto utilizzando android9 e i seguenti algoritmi su ipsec.conf, pero' ho un raspberry 4, la configurazione e' identica:
ike = chacha20poly1305-prfsha256-x25519,chacha20poly1305-sha384-ecp384,chacha20poly1305-prfsha256-newhope128,chacha20poly1305-prfsha256-ecp256,aes128gcm16-prfsha256-ecp256,aes256-sha256-modp2048,aes256-sha256-modp1024,chacha20poly1305-sha1-ecp256,chacha20poly1305-prfsha512-curve25519,chacha20poly1305-sha1-modp1024,chacha20poly1305-sha512-curve25519,aes128-sha1-modp1024,aes256-aes128-sha256-sha512-sha1-modp3072-modp2048-modp1024-modp4096-modp8192-modp6144-curve25519-ecp256-ecp384-ecp521,aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha1-modp1024,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024,chacha20poly1305-sha256-curve25519,chacha20poly1305-prfsha256-newhope128,chacha20poly1305-prfsha256-ecp256,aes128gcm16-prfsha256-ecp256,aes256-sha256-modp2048,aes256-sha256-modp1024,chacha20poly1305-sha2_512-curve25519,chacha20poly1305-sha2_512-curve448,chacha20poly1305-sha2_512-modp4096,chacha20poly1305-sha2_512-modp3072,chacha20poly1305-sha2_512-modp2048,chacha20poly1305-sha2_256-curve25519,chacha20poly1305-sha2_256-curve448,chacha20poly1305-sha2_256-modp4096,chacha20poly1305-sha2_256-modp3072,chacha20poly1305-sha2_256-modp2048,aes256gcm128-sha2_512-curve25519,aes256gcm128-sha2_512-curve448,aes256gcm128-sha2_512-modp4096,aes256gcm128-sha2_512-modp3072,aes256gcm128-sha2_512-modp2048,aes256gcm128-sha2_256-curve25519,aes256gcm128-sha2_256-curve448,aes256gcm128-sha2_256-modp4096,aes256gcm128-sha2_256-modp3072,aes256gcm128-sha2_256-modp2048,aes256gcm96-sha2_512-curve25519,aes256gcm96-sha2_512-curve448,aes256gcm96-sha2_512-modp4096,aes256gcm96-sha2_512-modp3072,aes256gcm96-sha2_512-modp2048,aes256gcm96-sha2_256-curve25519,aes256gcm96-sha2_256-curve448,aes256gcm96-sha2_256-modp4096,aes256gcm96-sha2_256-modp3072,aes256gcm96-sha2_256-modp2048,aes256gcm64-sha2_512-curve25519,aes256gcm64-sha2_512-curve448,aes256gcm64-sha2_512-modp4096,aes256gcm64-sha2_512-modp3072,aes256gcm64-sha2_512-modp2048,aes256gcm64-sha2_256-curve25519,aes256gcm64-sha2_256-curve448,aes256gcm64-sha2_256-modp4096,aes256gcm64-sha2_256-modp3072,aes256gcm64-sha2_256-modp2048,aes256-sha2_512-curve25519,aes256-sha2_512-curve448,aes256-sha2_512-modp4096,aes256-sha2_512-modp3072,aes256-sha2_512-modp2048,aes256-sha2_256-curve25519,aes256-sha2_256-curve448,aes256-sha2_256-modp4096,aes256-sha2_256-modp3072,aes256-sha2_256-modp2048,aes192gcm128-sha2_512-curve25519,aes192gcm128-sha2_512-curve448,aes192gcm128-sha2_512-modp4096,aes192gcm128-sha2_512-modp3072,aes192gcm128-sha2_512-modp2048,aes192gcm128-sha2_256-curve25519,aes192gcm128-sha2_256-curve448,aes192gcm128-sha2_256-modp4096,aes192gcm128-sha2_256-modp3072,aes192gcm128-sha2_256-modp2048,aes192gcm96-sha2_512-curve25519,aes192gcm96-sha2_512-curve448,aes192gcm96-sha2_512-modp4096,aes192gcm96-sha2_512-modp3072,aes192gcm96-sha2_512-modp2048,aes192gcm96-sha2_256-curve25519,aes192gcm96-sha2_256-curve448,aes192gcm96-sha2_256-modp4096,aes192gcm96-sha2_256-modp3072,aes192gcm96-sha2_256-modp2048,aes192gcm64-sha2_512-curve25519,aes192gcm64-sha2_512-curve448,aes192gcm64-sha2_512-modp4096,aes192gcm64-sha2_512-modp3072,aes192gcm64-sha2_512-modp2048,aes192gcm64-sha2_256-curve25519,aes192gcm64-sha2_256-curve448,aes192gcm64-sha2_256-modp4096,aes192gcm64-sha2_256-modp3072,aes192gcm64-sha2_256-modp2048,aes192-sha2_512-curve25519,aes192-sha2_512-curve448,aes192-sha2_512-modp4096,aes192-sha2_512-modp3072,aes192-sha2_512-modp2048,aes192-sha2_256-curve25519,aes192-sha2_256-curve448,aes192-sha2_256-modp4096,aes192-sha2_256-modp3072,aes192-sha2_256-modp2048,aes128gcm128-sha2_512-curve25519,aes128gcm128-sha2_512-curve448,aes128gcm128-sha2_512-modp4096,aes128gcm128-sha2_512-modp3072,aes128gcm128-sha2_512-modp2048,aes128gcm128-sha2_256-curve25519,aes128gcm128-sha2_256-curve448,aes128gcm128-sha2_256-modp4096,aes128gcm128-sha2_256-modp3072,aes128gcm128-sha2_256-modp2048,aes128gcm96-sha2_512-curve25519,aes128gcm96-sha2_512-curve448,aes128gcm96-sha2_512-modp4096,aes128gcm96-sha2_512-modp3072,aes128gcm96-sha2_512-modp2048,aes128gcm96-sha2_256-curve25519,aes128gcm96-sha2_256-curve448,aes128gcm96-sha2_256-modp4096,aes128gcm96-sha2_256-modp3072,aes128gcm96-sha2_256-modp2048,aes128gcm64-sha2_512-curve25519,aes128gcm64-sha2_512-curve448,aes128gcm64-sha2_512-modp4096,aes128gcm64-sha2_512-modp3072,aes128gcm64-sha2_512-modp2048,aes128gcm64-sha2_256-curve25519,aes128gcm64-sha2_256-curve448,aes128gcm64-sha2_256-modp4096,aes128gcm64-sha2_256-modp3072,aes128gcm64-sha2_256-modp2048,aes128-sha2_512-curve25519,aes128-sha2_512-curve448,aes128-sha2_512-modp4096,aes128-sha2_512-modp3072,aes128-sha2_512-modp2048,aes128-sha2_256-curve25519,aes128-sha2_256-curve448,aes128-sha2_256-modp4096,aes128-sha2_256-modp3072,aes128-sha2_256-modp2048
esp = chacha20poly1305-x25519,chacha20poly1305-curve25519,chacha20poly1305-prfsha256-newhope128,chacha20poly1305-prfsha256-ecp256,aes128gcm16-prfsha256-ecp256,aes256-sha256-modp2048,aes256-sha256-modp1024,chacha20poly1305,chacha20poly1305-ecp256,chacha20poly1305-sha1-ecp256,chacha20poly1305-sha1-modp1024,chacha20poly1305-curve25519,chacha20poly1305-sha512-curve25519,aes128-sha1-modp1024,aes256-aes128-sha256-sha512-sha1-modp3072-modp2048-modp1024-modp4096-modp8192-modp6144-curve25519-ecp256-ecp384-ecp521,aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha1-modp1024,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024,chacha20poly1305-sha256-curve25519,chacha20poly1305-prfsha256-newhope128,chacha20poly1305-prfsha256-ecp256,aes128gcm16-prfsha256-ecp256,aes256-sha256-modp2048,aes256-sha256-modp1024,chacha20poly1305,chacha20poly1305-sha2_512-curve25519,chacha20poly1305-sha2_512-curve448,chacha20poly1305-sha2_512-modp4096,chacha20poly1305-sha2_512-modp3072,chacha20poly1305-sha2_512-modp2048,chacha20poly1305-sha2_256-curve25519,chacha20poly1305-sha2_256-curve448,chacha20poly1305-sha2_256-modp4096,chacha20poly1305-sha2_256-modp3072,chacha20poly1305-sha2_256-modp2048,aes256gcm128-curve25519,aes256gcm128-curve448,aes256gcm128-modp4096,aes256gcm128-modp3072,aes256gcm128-modp2048,aes256gcm96-curve25519,aes256gcm96-curve448,aes256gcm96-modp4096,aes256gcm96-modp3072,aes256gcm96-modp2048,aes256gcm64-curve25519,aes256gcm64-curve448,aes256gcm64-modp4096,aes256gcm64-modp3072,aes256gcm64-modp2048,aes256-sha2_512-curve25519,aes256-sha2_512-curve448,aes256-sha2_512-modp4096,aes256-sha2_512-modp3072,aes256-sha2_512-modp2048,aes256-sha2_256-curve25519,aes256-sha2_256-curve448,aes256-sha2_256-modp4096,aes256-sha2_256-modp3072,aes256-sha2_256-modp2048,aes192gcm128-curve25519,aes192gcm128-curve448,aes192gcm128-modp4096,aes192gcm128-modp3072,aes192gcm128-modp2048,aes192gcm96-curve25519,aes192gcm96-curve448,aes192gcm96-modp4096,aes192gcm96-modp3072,aes192gcm96-modp2048,aes192gcm64-curve25519,aes192gcm64-curve448,aes192gcm64-modp4096,aes192gcm64-modp3072,aes192gcm64-modp2048,aes192-sha2_512-curve25519,aes192-sha2_512-curve448,aes192-sha2_512-modp4096,aes192-sha2_512-modp3072,aes192-sha2_512-modp2048,aes192-sha2_256-curve25519,aes192-sha2_256-curve448,aes192-sha2_256-modp4096,aes192-sha2_256-modp3072,aes192-sha2_256-modp2048,aes128gcm128-curve25519,aes128gcm128-curve448,aes128gcm128-modp4096,aes128gcm128-modp3072,aes128gcm128-modp2048,aes128gcm96-curve25519,aes128gcm96-curve448,aes128gcm96-modp4096,aes128gcm96-modp3072,aes128gcm96-modp2048,aes128gcm64-curve25519,aes128gcm64-curve448,aes128gcm64-modp4096,aes128gcm64-modp3072,aes128gcm64-modp2048,aes128-sha2_512-curve25519,aes128-sha2_512-curve448,aes128-sha2_512-modp4096,aes128-sha2_512-modp3072,aes128-sha2_512-modp2048,aes128-sha2_256-curve25519,aes128-sha2_256-curve448,aes128-sha2_256-modp4096,aes128-sha2_256-modp3072,aes128-sha2_256-modp2048
Puoi inserirli anche tu' , e provare a sostituire sullo smartphone sha1 con sha512 sempre se sia possibile
-
Devi controllare le regole sul firewall:
config rule 'ipsec_esp'
option src 'wan'
option name 'IPSec ESP'
option proto 'esp'
option target 'ACCEPT'
config rule 'ipsec_ike'
option src 'wan'
option name 'IPSec IKE'
option proto 'udp'
option dest_port '500'
option target 'ACCEPT'
config rule 'ipsec_nat_traversal'
option src 'wan'
option name 'IPSec NAT-T'
option proto 'udp'
option dest_port '4500'
option target 'ACCEPT'
config rule 'ipsec_auth_header'
option src 'wan'
option name 'Auth Header'
option proto 'ah'
option target 'ACCEPT'
e su firewall user:
#strongswan
iptables -I INPUT -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I OUTPUT -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -t nat -I POSTROUTING -m policy --pol ipsec --dir out -j ACCEPT
provare ad aggiungere i dns su ipsec.conf
rightdns = 192.168.1.1 #ip del tuo gateway oppure i dns 1.1.1.1 o 8.8.8.8
ed infine controllare il file strongswan.conf
charon {
load_modular=yes
dns1 = 192.168.1.1 #ip del tuo gateway
nbns1 = 192.168.1.1 #ip del tuo gateway
plugins {
include strongswan.d/charon/*.conf
}
}
include strongswan.d/*.conf
-
Stai utilizzando l'app strongswan?
Stai utilizzando android 11-12?
Con l'app strongswan funziona, con il client nativo invece no. Sono su Android 12.
EDIT: con il client nativo ho dovuto inserire nome utente e password presenti in ipsecrets.conf e impostare il tipo "IKEV2/IPSEC MSCHAPv2". ma non funziona internet.
A livello di sicurezza cambia qualcosa rispetto all'utilizzo di strongswan "IKEv2 Certificate"?
Puoi inserirli anche tu' , e provare a sostituire sullo smartphone sha1 con sha512 sempre se sia possibile
Su client VPN di Android non posso modificare praticamente nulla, ergo dovrei provare a modificare ipsec.conf e connettermi sostanzialmente.
Ora internet funziona, dopo aver modificato ipsec.conf e strongswan.conf! Unica cosa: senza VPN ho un download di circa 40 Mbps, con VPN di 14 Mbps. Si può considerare un buon risultato o ci sono margini di miglioramento?
Ti ringrazio davvero tanto :)
-
Io arrivo a toccare in wifi 40Mb (strongswan sul router), in 4g dipende dalla rete 10/20/30 comunque 14 e' come se fosse una adsl, direi ottima con openvpn spesso si viaggia attorno 1 mb.
Invece col raspy ho anche wireguard(secondo me la migliore vpn) praticamente navigo a tutta banda vdsl 200/20.
-
Me la tengo tranquillamente cosi che va già benone!
Sto avendo problemi a settare la VPN su windows. Ho installato il file Client con estensione .p12 e settato una VPN con il mio DDNS e come autenticazione ho spuntato certificati. Purtroppo faccio connetti e non me li chiede i certificati da usare e mi dice "Credenziali di autenticazione ike inaccettabili".
-
Su windows anche io su un pc ho avuto problemi, e ho fatto tante di quelle modifiche sia sui registri che tramite powershell, che non saprei indicarti una soluzione precisa, so' solo che di default non usa quelle cypher.
Puoi prendere spunto da qui':
https://docs.microsoft.com/en-us/powershell/module/vpnclient/set-vpnconnectionipsecconfiguration?view=win10-ps
Per quanto riguarda i certificati windows, ne manda una serie al server,che seleziona quelli che corrispondono ai criteri dei suoi, e questo lo puoi verificare solo con il log sul server.
-
Per carità tanto il pc quando sto fuori lo uso sempre con il mio telefono su cui ho messo la VPN, quindi non morirò se non riesco a impostarla anche su W10.
root@modemtim:~# logread -f
Sun Feb 13 10:43:36 2022 daemon.info charon: 13[NET] received packet: from IPCOMPUTER[500] to IPMODEM[500] (624 bytes)
Sun Feb 13 10:43:36 2022 daemon.info charon: 13[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
Sun Feb 13 10:43:36 2022 daemon.info charon: 13[IKE] received MS NT5 ISAKMPOAKLEY v9 vendor ID
Sun Feb 13 10:43:36 2022 daemon.info charon: 13[IKE] received MS-Negotiation Discovery Capable vendor ID
Sun Feb 13 10:43:36 2022 daemon.info charon: 13[IKE] received Vid-Initial-Contact vendor ID
Sun Feb 13 10:43:36 2022 daemon.info charon: 13[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
Sun Feb 13 10:43:36 2022 daemon.info charon: 13[IKE] IPCOMPUTER is initiating an IKE_SA
Sun Feb 13 10:43:36 2022 authpriv.info charon: 13[IKE] IPCOMPUTER is initiating an IKE_SA
Sun Feb 13 10:43:36 2022 daemon.info charon: 13[IKE] remote host is behind NAT
Sun Feb 13 10:43:36 2022 daemon.info charon: 13[IKE] sending cert request for "C=US, O=Technicolor, CN=CATechnicolor"
Sun Feb 13 10:43:36 2022 daemon.info charon: 13[IKE] sending cert request for "C=US, O=Technicolor, CN=CATechnicolor"
Sun Feb 13 10:43:36 2022 daemon.info charon: 13[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sun Feb 13 10:43:36 2022 daemon.info charon: 13[NET] sending packet: from IPMODEM[500] to IPCOMPUTER[500] (365 bytes)
Sun Feb 13 10:43:36 2022 daemon.info charon: 14[NET] received packet: from IPCOMPUTER[4500] to IPMODEM[4500] (576 bytes)
Sun Feb 13 10:43:36 2022 daemon.info charon: 14[ENC] parsed IKE_AUTH request 1 [ EF(1/6) ]
Sun Feb 13 10:43:36 2022 daemon.info charon: 14[ENC] received fragment #1 of 6, waiting for complete IKE message
Sun Feb 13 10:43:36 2022 daemon.info charon: 05[NET] received packet: from IPCOMPUTER[4500] to IPMODEM[4500] (576 bytes)
Sun Feb 13 10:43:36 2022 daemon.info charon: 05[ENC] parsed IKE_AUTH request 1 [ EF(3/6) ]
Sun Feb 13 10:43:36 2022 daemon.info charon: 05[ENC] received fragment #3 of 6, waiting for complete IKE message
Sun Feb 13 10:43:36 2022 daemon.info charon: 12[NET] received packet: from IPCOMPUTER[4500] to IPMODEM[4500] (576 bytes)
Sun Feb 13 10:43:36 2022 daemon.info charon: 12[ENC] parsed IKE_AUTH request 1 [ EF(2/6) ]
Sun Feb 13 10:43:36 2022 daemon.info charon: 12[ENC] received fragment #2 of 6, waiting for complete IKE message
Sun Feb 13 10:43:36 2022 daemon.info charon: 09[NET] received packet: from IPCOMPUTER[4500] to IPMODEM[4500] (576 bytes)
Sun Feb 13 10:43:36 2022 daemon.info charon: 09[ENC] parsed IKE_AUTH request 1 [ EF(4/6) ]
Sun Feb 13 10:43:36 2022 daemon.info charon: 09[ENC] received fragment #4 of 6, waiting for complete IKE message
Sun Feb 13 10:43:36 2022 daemon.info charon: 07[NET] received packet: from IPCOMPUTER[4500] to IPMODEM[4500] (576 bytes)
Sun Feb 13 10:43:36 2022 daemon.info charon: 07[ENC] parsed IKE_AUTH request 1 [ EF(5/6) ]
Sun Feb 13 10:43:36 2022 daemon.info charon: 07[ENC] received fragment #5 of 6, waiting for complete IKE message
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[NET] received packet: from IPCOMPUTER[4500] to IPMODEM[4500] (144 bytes)
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[ENC] parsed IKE_AUTH request 1 [ EF(6/6) ]
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[ENC] received fragment #6 of 6, reassembling fragmented IKE message
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[IKE] received cert request for "C=US, O=Technicolor, CN=CATechnicolor"
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[IKE] received 55 cert requests for an unknown ca
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[IKE] received end entity cert "C=US, O=Technicolor, CN=AndreaBerna"
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[CFG] looking for peer configs matching IPMODEM[%any]...IPCOMPUTER[C=US, O=Technicolor, CN=AndreaBerna]
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[CFG] no matching peer config found
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[IKE] peer supports MOBIKE
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[NET] sending packet: from IPMODEM[4500] to IPCOMPUTER[4500] (76 bytes)
EDIT
Dando il comando PS C:\> Add-VpnConnection -Name "Contoso" -ServerAddress MIODDNS -TunnelType "Ikev2" e inserendo quando richiesto username e password sono entrato.
EDIT 2
Dato che non voglio che si possa entrare nella rete solo tramite username e password ho eliminato in ipsec.conf le seguenti righe:
conn rwEAPMSCHAPV2
leftsendcert=always
rightauth=eap-mschapv2
rightsendcert=never
e in effetti ora il pc per fortuna non si connette più.
Basta eliminare questo per evitare che bastino user e pass per entrare nella rete?
-
Mi pare di capire che i certificati il server li accetta, ma non trova una configurazione valida sul server, non usare gli stessi che usi sullo smartphone, nella riga del setup dell'installazione puoi aggiungere piu' nomi(CLIENTNAMES="myvpnclient myvpnclient2 muvpnclient3"):
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[IKE] received end entity cert "C=US, O=Technicolor, CN=AndreaBerna"
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[CFG] looking for peer configs matching IPMODEM[%any]...IPCOMPUTER[C=US, O=Technicolor, CN=AndreaBerna]
Sun Feb 13 10:43:36 2022 daemon.info charon: 11[CFG] no matching peer config found
In teoria se puoi entrare con user e pass puoi entrare anche con i certificati
Edit2
prova ad aggiungere su ipsec.conf:
conn rwPUBKEYtest
rightauth=pubkey
rightca="C=xx, O=xx, CN=xx" #la ca che ha generato i certificati credo questi C=US, O=Technicolor, CN=CATechnicolor
-
Non vorrei far partire di nuovo l'installazione sinceramente (anche perchè dovrei risostituire i certificati e riapplicare le modifiche sui vari file).
Nada:
Sun Feb 13 13:49:24 2022 daemon.info charon: 15[NET] received packet: from IPCOMPUTER[500] to IPMODEM[500] (624 bytes)
Sun Feb 13 13:49:24 2022 daemon.info charon: 15[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(FRAG_SUP) N(NATD_S_IP) N(NATD_D_IP) V V V V ]
Sun Feb 13 13:49:24 2022 daemon.info charon: 15[IKE] received MS NT5 ISAKMPOAKLEY v9 vendor ID
Sun Feb 13 13:49:24 2022 daemon.info charon: 15[IKE] received MS-Negotiation Discovery Capable vendor ID
Sun Feb 13 13:49:24 2022 daemon.info charon: 15[IKE] received Vid-Initial-Contact vendor ID
Sun Feb 13 13:49:24 2022 daemon.info charon: 15[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
Sun Feb 13 13:49:24 2022 daemon.info charon: 15[IKE] IPCOMPUTER is initiating an IKE_SA
Sun Feb 13 13:49:24 2022 authpriv.info charon: 15[IKE] IPCOMPUTER is initiating an IKE_SA
Sun Feb 13 13:49:24 2022 daemon.info charon: 15[IKE] remote host is behind NAT
Sun Feb 13 13:49:24 2022 daemon.info charon: 15[IKE] sending cert request for "C=US, O=Technicolor, CN=CATechnicolor"
Sun Feb 13 13:49:24 2022 daemon.info charon: 15[IKE] sending cert request for "C=US, O=Technicolor, CN=CATechnicolor"
Sun Feb 13 13:49:24 2022 daemon.info charon: 15[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]
Sun Feb 13 13:49:24 2022 daemon.info charon: 15[NET] sending packet: from IPMODEM[500] to IPCOMPUTER[500] (365 bytes)
Sun Feb 13 13:49:24 2022 daemon.info charon: 06[NET] received packet: from IPCOMPUTER[4500] to IPMODEM[4500] (576 bytes)
Sun Feb 13 13:49:24 2022 daemon.info charon: 06[ENC] parsed IKE_AUTH request 1 [ EF(1/6) ]
Sun Feb 13 13:49:24 2022 daemon.info charon: 06[ENC] received fragment #1 of 6, waiting for complete IKE message
Sun Feb 13 13:49:24 2022 daemon.info charon: 08[NET] received packet: from IPCOMPUTER[4500] to IPMODEM[4500] (576 bytes)
Sun Feb 13 13:49:24 2022 daemon.info charon: 08[ENC] parsed IKE_AUTH request 1 [ EF(2/6) ]
Sun Feb 13 13:49:24 2022 daemon.info charon: 08[ENC] received fragment #2 of 6, waiting for complete IKE message
Sun Feb 13 13:49:24 2022 daemon.info charon: 13[NET] received packet: from IPCOMPUTER[4500] to IPMODEM[4500] (576 bytes)
Sun Feb 13 13:49:24 2022 daemon.info charon: 13[ENC] parsed IKE_AUTH request 1 [ EF(4/6) ]
Sun Feb 13 13:49:24 2022 daemon.info charon: 13[ENC] received fragment #4 of 6, waiting for complete IKE message
Sun Feb 13 13:49:24 2022 daemon.info charon: 16[NET] received packet: from IPCOMPUTER[4500] to IPMODEM[4500] (144 bytes)
Sun Feb 13 13:49:24 2022 daemon.info charon: 16[ENC] parsed IKE_AUTH request 1 [ EF(6/6) ]
Sun Feb 13 13:49:24 2022 daemon.info charon: 16[ENC] received fragment #6 of 6, waiting for complete IKE message
Sun Feb 13 13:49:24 2022 daemon.info charon: 05[NET] received packet: from IPCOMPUTER[4500] to IPMODEM[4500] (576 bytes)
Sun Feb 13 13:49:24 2022 daemon.info charon: 05[ENC] parsed IKE_AUTH request 1 [ EF(3/6) ]
Sun Feb 13 13:49:24 2022 daemon.info charon: 05[ENC] received fragment #3 of 6, waiting for complete IKE message
Sun Feb 13 13:49:24 2022 daemon.info charon: 11[NET] received packet: from IPCOMPUTER[4500] to IPMODEM[4500] (576 bytes)
Sun Feb 13 13:49:24 2022 daemon.info charon: 11[ENC] parsed IKE_AUTH request 1 [ EF(5/6) ]
Sun Feb 13 13:49:24 2022 daemon.info charon: 11[ENC] received fragment #5 of 6, reassembling fragmented IKE message
Sun Feb 13 13:49:24 2022 daemon.info charon: 11[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
Sun Feb 13 13:49:24 2022 daemon.info charon: 11[IKE] received cert request for "C=US, O=Technicolor, CN=CATechnicolor"
Sun Feb 13 13:49:24 2022 daemon.info charon: 11[IKE] received 55 cert requests for an unknown ca
Sun Feb 13 13:49:24 2022 daemon.info charon: 11[IKE] received end entity cert "C=US, O=Technicolor, CN=AndreaBerna"
Sun Feb 13 13:49:24 2022 daemon.info charon: 11[CFG] looking for peer configs matching IPMODEM[%any]...IPCOMPUTER[C=US, O=Technicolor, CN=AndreaBerna]
Sun Feb 13 13:49:24 2022 daemon.info charon: 11[CFG] no matching peer config found
Sun Feb 13 13:49:24 2022 daemon.info charon: 11[IKE] peer supports MOBIKE
Sun Feb 13 13:49:24 2022 daemon.info charon: 11[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Sun Feb 13 13:49:24 2022 daemon.info charon: 11[NET] sending packet: from IPMODEM[4500] to IPCOMPUTER[4500] (76 bytes)
-
Ora non mi viene in mente altro, fatti un backup dei seguenti file e conservali in luogo sicuro :
/etc/config/firewall
/etc/firewall.user
/etc/ipsec.conf
/etc/ipsec.secrets
/etc/strongswan.conf
/etc/strongswan.d/charon/dhcp.conf
/etc/ipsec.d/tutte le cartelle(ci sono i certificati del server e dalla ca)
-
Ha qualche problema nel file di conf. Di nuovo, se lo script era stato eseguito con pacchetti mancanti non mi aspetto che funzioni.
-
Dovrebbe esserci un problema nello script di @FrancYescO .
Nelle configurazioni del file ipsec.conf ci deve essere rightca e non rightcert se si utilizza il certificato caCert.pem
-
Se qualcuno mi conferma modifico lo script, non vorrei che si comporta diversamente in base alla versione di IPSec/strongswan
-
se lo scopo è autenticare tutti i certificati emessi da una CA allora ci va rightca e non rightcert. Se invece si vuole autenticare solo uno specifico certificato allora ci va rightcert.
Non c'entra con la domanda ma aggiungo, essendomi tornato utile di recente, che nel campo del rightid ci si possono mettere delle wildcard che matchano su parti del soggetto del certificato e così facendo è possibile dirottare soggetti specifici con certificati dalla stessa CA su conn distinte.
-
Esatto, ma per come è scritto adesso fa un ibrido tra i due e, almeno a me, non funzionava
-
Ciao a tutti ho un DGA4132 con la 2.3.3.
Sto provando ad installare strongswan con lo script ma mi vengono restituiti questi errori:
Building certificates for [ mioddns.duckdns.org ] and client [ (aka myVpnClients) ]
generating a new cakey for [ CATechnicolor ]
instantiation of DRBG_HMAC_SHA512 failed
building CRED_PRIVATE_KEY - RSA failed, tried 4 builders
private key generation failed
generating caCert for [ CATechnicolor ]...
file coded in unknown format, discarded
building CRED_PRIVATE_KEY - ANY failed, tried 2 builders
loading private key failed
unable to load certificate
3065327632:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
Now building CA keys bundle
unable to load private key
3065171984:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: ANY PRIVATE KEY
generating server certificates for [ ghomenvr.duckdns.org ]...
instantiation of DRBG_HMAC_SHA512 failed
building CRED_PRIVATE_KEY - RSA failed, tried 4 builders
private key generation failed
file coded in unknown format, discarded
building CRED_PRIVATE_KEY - ANY failed, tried 2 builders
parsing private key failed
file coded in unknown format, discarded
building CRED_CERTIFICATE - X509 failed, tried 3 builders
parsing CA certificate failed
generating clientCert for [ myvpnclient1 (aka myVpnClients) ]...
instantiation of DRBG_HMAC_SHA512 failed
building CRED_PRIVATE_KEY - RSA failed, tried 4 builders
private key generation failed
file coded in unknown format, discarded
building CRED_PRIVATE_KEY - ANY failed, tried 2 builders
parsing private key failed
file coded in unknown format, discarded
building CRED_CERTIFICATE - X509 failed, tried 3 builders
parsing CA certificate failed
unable to load certificate
3065872400:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
Now building Client keys bundle for [ myvpnclient1 ]
unable to load private key
3065708560:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: ANY PRIVATE KEY
unable to load certificate
3065368592:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
generating clientCert for [ myvpnclient2 (aka myVpnClients) ]...
instantiation of DRBG_HMAC_SHA512 failed
building CRED_PRIVATE_KEY - RSA failed, tried 4 builders
private key generation failed
file coded in unknown format, discarded
building CRED_PRIVATE_KEY - ANY failed, tried 2 builders
parsing private key failed
file coded in unknown format, discarded
building CRED_CERTIFICATE - X509 failed, tried 3 builders
parsing CA certificate failed
unable to load certificate
3065249808:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
Now building Client keys bundle for [ myvpnclient2 ]
unable to load private key
3065770000:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: ANY PRIVATE KEY
unable to load certificate
3065450512:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
generating clientCert for [ myvpnclient3 (aka myVpnClients) ]...
instantiation of DRBG_HMAC_SHA512 failed
building CRED_PRIVATE_KEY - RSA failed, tried 4 builders
private key generation failed
file coded in unknown format, discarded
building CRED_CERTIFICATE - X509 failed, tried 3 builders
parsing CA certificate failed
file coded in unknown format, discarded
building CRED_PRIVATE_KEY - ANY failed, tried 2 builders
parsing private key failed
unable to load certificate
3065389072:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
Now building Client keys bundle for [ myvpnclient3 ]
unable to load private key
3065479184:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: ANY PRIVATE KEY
unable to load certificate
3065069584:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
generating clientCert for [ myvpnclient4 (aka myVpnClients) ]...
instantiation of DRBG_HMAC_SHA512 failed
building CRED_PRIVATE_KEY - RSA failed, tried 4 builders
private key generation failed
file coded in unknown format, discarded
building CRED_PRIVATE_KEY - ANY failed, tried 2 builders
parsing private key failed
file coded in unknown format, discarded
building CRED_CERTIFICATE - X509 failed, tried 3 builders
parsing CA certificate failed
unable to load certificate
3065880592:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
Now building Client keys bundle for [ myvpnclient4 ]
unable to load private key
3065200656:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: ANY PRIVATE KEY
unable to load certificate
3065495568:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
mv: can't rename 'ca.p12': No such file or directory
mv: can't rename 'client_*.p12': No such file or directory
mv: can't rename 'clientCert_*.crt': No such file or directory
**** THE END ****
Potete gentilmente darmi una mano a capire dov'è il problema? A quanto ho capito non riesce a generare i certificati per file in formato errato.
Grazie mille
-
Ciao a tutti ho un DGA4132 con la 2.3.3.
Sto provando ad installare strongswan con lo script ma mi vengono restituiti questi errori:
Building certificates for [ mioddns.duckdns.org ] and client [ (aka myVpnClients) ]
generating a new cakey for [ CATechnicolor ]
instantiation of DRBG_HMAC_SHA512 failed
building CRED_PRIVATE_KEY - RSA failed, tried 4 builders
private key generation failed
generating caCert for [ CATechnicolor ]...
file coded in unknown format, discarded
building CRED_PRIVATE_KEY - ANY failed, tried 2 builders
loading private key failed
unable to load certificate
3065327632:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
Now building CA keys bundle
unable to load private key
3065171984:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: ANY PRIVATE KEY
generating server certificates for [ ghomenvr.duckdns.org ]...
instantiation of DRBG_HMAC_SHA512 failed
building CRED_PRIVATE_KEY - RSA failed, tried 4 builders
private key generation failed
file coded in unknown format, discarded
building CRED_PRIVATE_KEY - ANY failed, tried 2 builders
parsing private key failed
file coded in unknown format, discarded
building CRED_CERTIFICATE - X509 failed, tried 3 builders
parsing CA certificate failed
generating clientCert for [ myvpnclient1 (aka myVpnClients) ]...
instantiation of DRBG_HMAC_SHA512 failed
building CRED_PRIVATE_KEY - RSA failed, tried 4 builders
private key generation failed
file coded in unknown format, discarded
building CRED_PRIVATE_KEY - ANY failed, tried 2 builders
parsing private key failed
file coded in unknown format, discarded
building CRED_CERTIFICATE - X509 failed, tried 3 builders
parsing CA certificate failed
unable to load certificate
3065872400:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
Now building Client keys bundle for [ myvpnclient1 ]
unable to load private key
3065708560:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: ANY PRIVATE KEY
unable to load certificate
3065368592:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
generating clientCert for [ myvpnclient2 (aka myVpnClients) ]...
instantiation of DRBG_HMAC_SHA512 failed
building CRED_PRIVATE_KEY - RSA failed, tried 4 builders
private key generation failed
file coded in unknown format, discarded
building CRED_PRIVATE_KEY - ANY failed, tried 2 builders
parsing private key failed
file coded in unknown format, discarded
building CRED_CERTIFICATE - X509 failed, tried 3 builders
parsing CA certificate failed
unable to load certificate
3065249808:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
Now building Client keys bundle for [ myvpnclient2 ]
unable to load private key
3065770000:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: ANY PRIVATE KEY
unable to load certificate
3065450512:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
generating clientCert for [ myvpnclient3 (aka myVpnClients) ]...
instantiation of DRBG_HMAC_SHA512 failed
building CRED_PRIVATE_KEY - RSA failed, tried 4 builders
private key generation failed
file coded in unknown format, discarded
building CRED_CERTIFICATE - X509 failed, tried 3 builders
parsing CA certificate failed
file coded in unknown format, discarded
building CRED_PRIVATE_KEY - ANY failed, tried 2 builders
parsing private key failed
unable to load certificate
3065389072:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
Now building Client keys bundle for [ myvpnclient3 ]
unable to load private key
3065479184:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: ANY PRIVATE KEY
unable to load certificate
3065069584:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
generating clientCert for [ myvpnclient4 (aka myVpnClients) ]...
instantiation of DRBG_HMAC_SHA512 failed
building CRED_PRIVATE_KEY - RSA failed, tried 4 builders
private key generation failed
file coded in unknown format, discarded
building CRED_PRIVATE_KEY - ANY failed, tried 2 builders
parsing private key failed
file coded in unknown format, discarded
building CRED_CERTIFICATE - X509 failed, tried 3 builders
parsing CA certificate failed
unable to load certificate
3065880592:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
Now building Client keys bundle for [ myvpnclient4 ]
unable to load private key
3065200656:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: ANY PRIVATE KEY
unable to load certificate
3065495568:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE
mv: can't rename 'ca.p12': No such file or directory
mv: can't rename 'client_*.p12': No such file or directory
mv: can't rename 'clientCert_*.crt': No such file or directory
**** THE END ****
Potete gentilmente darmi una mano a capire dov'è il problema? A quanto ho capito non riesce a generare i certificati per file in formato errato.
Grazie mille
Ciao amico, sono giorni che leggo questo thread e al momento sto testando la procedura su un DGA4131 (con scarsi risultati ahimè :headbang: ), ma da quel poco che ho capito, il tuo problema nella generazione dei certificati risiede in alcune dipendenze (libcurl, curl e altre - i più esperti mi correggeranno).
Anch'io ho avuto il tuo stesso problema inizialmente e l'ho risolto resettando il router, lasciando SOLO i feeds delle repo ANSUEL (quindi no macoers) e lanciando lo script del buon @FrancYescO (modificando servername e client).
Così facendo l'installazione termina creando correttamente i certificati.
Purtroppo nonostante ciò non riesco a connettermi :doh:
Se uno degli esperti potesse venirci incontro, riesumando questa ormai antica conversazione, magari riusciremo nei nostri intenti.
Continuo a studiarci, non si sa mai che con un po' di fortuna riesca a trovare la soluzione.
-
@racosirif se lo script termina correttamente quasi sicuramente il problema è a livello network, servono i log durante la connessione di un client.
-
@racosirif se lo script termina correttamente quasi sicuramente il problema è a livello network, servono i log durante la connessione di un client.
Grazie FrancYescO, probabilmente è come dici tu, il problema sarà nella configurazione della mia rete. Però sto guardando anche i log sia lato server che lato client (app Strongswan su Android 14). Una cosa che mi salta all'occhio guardandolo a prima vista, è che dal log del DGA4131 sembra che non riconosca l'autenticazione tramite certificato. Sul client ho importato il "certificato_client".p12 preso dalla /etc/ipsec.d/private del DGA4131.
log server:
root@FGAP:~# logread -f
Wed Nov 20 15:54:31 2024 daemon.info charon: 05[NET] received packet: from "ipClientAndroid"[34167] to "ipDGA4131"[500] (948 bytes)
Wed Nov 20 15:54:31 2024 daemon.info charon: 05[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Wed Nov 20 15:54:31 2024 daemon.info charon: 05[IKE] "ipClientAndroid" is initiating an IKE_SA
Wed Nov 20 15:54:31 2024 authpriv.info charon: 05[IKE] "ipClientAndroid" is initiating an IKE_SA
Wed Nov 20 15:54:31 2024 daemon.info charon: 05[IKE] local host is behind NAT, sending keep alives
Wed Nov 20 15:54:31 2024 daemon.info charon: 05[IKE] remote host is behind NAT
Wed Nov 20 15:54:31 2024 daemon.info charon: 05[IKE] DH group ECP_256 inacceptable, requesting MODP_3072
Wed Nov 20 15:54:31 2024 daemon.info charon: 05[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Wed Nov 20 15:54:31 2024 daemon.info charon: 05[NET] sending packet: from "ipDGA4131"[500] to "ipClientAndroid"[34167] (38 bytes)
Wed Nov 20 15:54:31 2024 daemon.info charon: 15[NET] received packet: from "ipClientAndroid"[34167] to "ipDGA4131"[500] (1268 bytes)
Wed Nov 20 15:54:31 2024 daemon.info charon: 15[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Wed Nov 20 15:54:31 2024 daemon.info charon: 15[IKE] "ipClientAndroid" is initiating an IKE_SA
Wed Nov 20 15:54:31 2024 authpriv.info charon: 15[IKE] "ipClientAndroid" is initiating an IKE_SA
Wed Nov 20 15:54:31 2024 daemon.info charon: 15[IKE] local host is behind NAT, sending keep alives
Wed Nov 20 15:54:31 2024 daemon.info charon: 15[IKE] remote host is behind NAT
Wed Nov 20 15:54:31 2024 daemon.info charon: 15[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Wed Nov 20 15:54:31 2024 daemon.info charon: 15[NET] sending packet: from "ipDGA4131"[500] to "ipClientAndroid"[34167] (590 bytes)
Wed Nov 20 15:54:32 2024 daemon.info charon: 12[NET] received packet: from "ipClientAndroid"[34168] to "ipDGA4131"[4500] (1364 bytes)
Wed Nov 20 15:54:32 2024 daemon.info charon: 12[ENC] parsed IKE_AUTH request 1 [ EF(1/4) ]
Wed Nov 20 15:54:32 2024 daemon.info charon: 12[ENC] received fragment #1 of 4, waiting for complete IKE message
Wed Nov 20 15:54:32 2024 daemon.info charon: 13[NET] received packet: from "ipClientAndroid"[34168] to "ipDGA4131"[4500] (1364 bytes)
Wed Nov 20 15:54:32 2024 daemon.info charon: 13[ENC] parsed IKE_AUTH request 1 [ EF(2/4) ]
Wed Nov 20 15:54:32 2024 daemon.info charon: 13[ENC] received fragment #2 of 4, waiting for complete IKE message
Wed Nov 20 15:54:32 2024 daemon.info charon: 14[NET] received packet: from "ipClientAndroid"[34168] to "ipDGA4131"[4500] (1364 bytes)
Wed Nov 20 15:54:32 2024 daemon.info charon: 14[ENC] parsed IKE_AUTH request 1 [ EF(3/4) ]
Wed Nov 20 15:54:32 2024 daemon.info charon: 14[ENC] received fragment #3 of 4, waiting for complete IKE message
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[NET] received packet: from "ipClientAndroid"[34168] to "ipDGA4131"[4500] (644 bytes)
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[ENC] parsed IKE_AUTH request 1 [ EF(4/4) ]
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[ENC] received fragment #4 of 4, reassembling fragmented IKE message
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[IKE] received cert request for "C=US, O=Technicolor, CN=CATechnicolor"
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[IKE] received 145 cert requests for an unknown ca
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[IKE] received end entity cert "C=US, O=Technicolor, CN=clientvpn1"
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[CFG] looking for peer configs matching "ipDGA4131"[%any]..."ipClientAndroid"[C=US, O=Technicolor, CN=clientvpn1]
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[CFG] selected peer config 'rwEAPMSCHAPV2'
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[CFG] using certificate "C=US, O=Technicolor, CN=clientvpn1"
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[CFG] using trusted ca certificate "C=US, O=Technicolor, CN=CATechnicolor"
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[CFG] checking certificate status of "C=US, O=Technicolor, CN=clientvpn1"
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[CFG] certificate status is not available
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[CFG] reached self-signed root ca with a path length of 0
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[IKE] authentication of 'C=US, O=Technicolor, CN=clientvpn1' with RSA_EMSA_PKCS1_SHA2_256 successful
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[CFG] constraint check failed: EAP identity '%any' required
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[CFG] selected peer config 'rwEAPMSCHAPV2' inacceptable: non-matching authentication done
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[CFG] no alternative config found
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[IKE] peer supports MOBIKE
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Wed Nov 20 15:54:32 2024 daemon.info charon: 11[NET] sending packet: from "ipDGA4131"[4500] to "ipClientAndroid"[34168] (80 bytes)
log client:
Nov 20 15:54:29 00[DMN] +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Nov 20 15:54:29 00[DMN] Starting IKE service (strongSwan 5.9.14, Android 14 - RMX3311_14.0.0.1100(EX01)/2024-09-05, RMX3311 - realme/RMX3311EEA/realme, Linux 5.4.254-qgki-ga74746b20243, aarch64, org.strongswan.android)
Nov 20 15:54:29 00[LIB] providers loaded by OpenSSL: default legacy
Nov 20 15:54:29 00[LIB] loaded plugins: androidbridge charon android-log socket-default openssl nonce pkcs1 pem x509 xcbc kdf revocation eap-identity eap-mschapv2 eap-md5 eap-gtc eap-tls
Nov 20 15:54:29 00[JOB] spawning 16 worker threads
Nov 20 15:54:30 07[CFG] loaded user certificate 'C=US, O=Technicolor, CN=clientvpn1' and private key
Nov 20 15:54:30 07[CFG] loaded CA certificate 'C=US, O=Technicolor, CN=CATechnicolor'
Nov 20 15:54:30 07[IKE] initiating IKE_SA android[7] to "ipDGA4131"
Nov 20 15:54:30 07[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Nov 20 15:54:30 07[NET] sending packet: from "ipClientAndroid"[39687] to "ipDGA4131"[500] (948 bytes)
Nov 20 15:54:30 10[NET] received packet: from "ipDGA4131"[500] to "ipClientAndroid"[39687] (38 bytes)
Nov 20 15:54:30 10[ENC] parsed IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Nov 20 15:54:30 10[IKE] peer didn't accept DH group ECP_256, it requested MODP_3072
Nov 20 15:54:30 10[IKE] initiating IKE_SA android[7] to "ipDGA4131"
Nov 20 15:54:30 10[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Nov 20 15:54:30 10[NET] sending packet: from "ipClientAndroid"[39687] to "ipDGA4131"[500] (1268 bytes)
Nov 20 15:54:31 11[NET] received packet: from "ipDGA4131"[500] to "ipClientAndroid"[39687] (590 bytes)
Nov 20 15:54:31 11[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
Nov 20 15:54:31 11[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_3072
Nov 20 15:54:31 11[IKE] local host is behind NAT, sending keep alives
Nov 20 15:54:31 11[IKE] remote host is behind NAT
Nov 20 15:54:31 11[IKE] sending cert request for "C=US, O=Certainly, CN=Certainly Root R1"
Nov 20 15:54:31 11[IKE] sending cert request for "C=US, O=Internet Security Research Group, CN=ISRG Root X1"
Nov 20 15:54:31 11[IKE] sending cert request for "C=US, O=Internet Security Research Group, CN=ISRG Root X2"
Nov 20 15:54:31 11[IKE] sending cert request for "C=US, O=IdenTrust, CN=IdenTrust Public Sector Root CA 1"
Nov 20 15:54:31 11[IKE] sending cert request for "C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root CA"
Nov 20 15:54:31 11[IKE] sending cert request for "OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign"
Nov 20 15:54:31 11[IKE] sending cert request for "C=US, O=DigiCert, Inc., CN=DigiCert TLS ECC P384 Root G5"
.......tanti altri certificati presenti..........
Nov 20 15:54:31 11[IKE] sending cert request for "C=US, O=Technicolor, CN=CATechnicolor"
Nov 20 15:54:31 11[IKE] authentication of 'C=US, O=Technicolor, CN=clientvpn1' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful
Nov 20 15:54:31 11[IKE] sending end entity cert "C=US, O=Technicolor, CN=clientvpn1"
Nov 20 15:54:31 11[IKE] establishing CHILD_SA android{4}
Nov 20 15:54:31 11[ENC] generating IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Nov 20 15:54:31 11[ENC] splitting IKE message (4528 bytes) into 4 fragments
Nov 20 15:54:31 11[ENC] generating IKE_AUTH request 1 [ EF(1/4) ]
Nov 20 15:54:31 11[ENC] generating IKE_AUTH request 1 [ EF(2/4) ]
Nov 20 15:54:31 11[ENC] generating IKE_AUTH request 1 [ EF(3/4) ]
Nov 20 15:54:31 11[ENC] generating IKE_AUTH request 1 [ EF(4/4) ]
Nov 20 15:54:31 11[NET] sending packet: from "ipClientAndroid"[42422] to "ipDGA4131"[4500] (1364 bytes)
Nov 20 15:54:31 11[NET] sending packet: from "ipClientAndroid"[42422] to "ipDGA4131"[4500] (1364 bytes)
Nov 20 15:54:31 11[NET] sending packet: from "ipClientAndroid"[42422] to "ipDGA4131"[4500] (1364 bytes)
Nov 20 15:54:31 11[NET] sending packet: from "ipClientAndroid"[42422] to "ipDGA4131"[4500] (644 bytes)
Nov 20 15:54:31 12[NET] received packet: from "ipDGA4131"[4500] to "ipClientAndroid"[42422] (80 bytes)
Nov 20 15:54:31 12[ENC] parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Nov 20 15:54:31 12[IKE] received AUTHENTICATION_FAILED notify error
Non capisco se sbaglio a importare il certificato :help:
Update:
riesco a connettermi solo tramite app Strongswan di Android (client nativo non riesco), impostando IKEv2 EAPTLS, utilizzando il giusto certificato (presente nel file ipsec.conf). Via client nativo Win10 le sto provando un po' tutte.. :headbang: e finalmente dopo non so quanti tentativi, mi connetto ..ma tramite username e password. -_-