Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Uživatelská vylepšení / Návod na zprovoznění IPsec IKEv2 VPN (uzamčeno)
- - Od jakubskrz Dne 2016-05-05 19:13
Před dávnými časy jsem si nějak zprovoznil IPsec VPN, ale pak jednoho dne přišel okamžik, kdy jsem provedl reset do továrního nastavení. Od té doby již uběhlo času, ale nějak jsem si pořád nemohl vzpomenout jak jsem to tehdy vlastně rozchodil..

Proto jsem si tentokráte raději rovnou sepsal návod, abych příště věděl jak na to. A aby se neřeklo, tak se s ním tady i podělím. Možná jsem něco zapomněl, píšu to zpětně s odstupem několika týdnů, takže pokud někdo budete zkoušet a narazíte na nějaký problém, dejte vědět ;)

Gist - Turris nastavení IKEv2 VPN
Nadřazený - - Od Broody Dne 2016-06-20 20:43
Zdravím, díky za návod. Zkusil jsem podle něj (a dalších) postupovat, ale narazil jsem na problém:

Klient (mobilní telefon) se k Turrisu připojí a autentizuje v pořádku, dokonce dostane od LANkového DHCP přidělenu adresu. Jenže pak už přes VPN netečou žádná data. Zajímavé je, že když pingnu z Turrisu nebo obecně odkudkoliv z LAN tuto přidělenou IP, tak odpovídá (dokonce se zpožděním typickým pro mobilní sítě), ale naopak (z mobilu) se nedostanu nikam, ani do LAN, ani do internetu.

Můj cíl je zařídit, aby se připojené zařízení stalo součástí domácí sítě (tj. jak jsem pochopil s využitím modulů dhcp a farp).

Hlavně: V návodu figuruje zóna vpn, síťové rozhraní vpn a fyzické rozhraní ipsec0. Kde se vzaly? Jakým způsobem je vytvořit, nakonfigurovat a hlavně provázat s IPsec?

Budu velmi vděčný za jakoukoliv radu.

P.S.: Mám nainstalován strongswan-full.
Nadřazený - - Od jakubskrz Dne 2016-06-22 14:49
Koukám, že jsem do toho návodu napsal špatnou konfiguraci firewall zóny, chybí mi tam nastavení forwadingu mezi VPN a LAN. Proto se nemůžete z VPN klienta dostat do vnitřní sítě. Aktualizováno ;)

Ad rozhraní: fyzické rozhraní ipsec0 vytváří sám strongswan při spuštění, síťové rozhraní vpn a zónu pro firewall je nutné vytvořit ručně. Síťové rozhraní vpn je vytvořeno právě nad tím fyzickým rozhraním (podobně funguje síťové rozhraní pro lan, které vytváří bridge mezi fyzickými rozhraními pro ethernet a wifi), a firewall zóny pak slouží pro snazší správu pravidel pro firewall. Tyhle informace jsem také do doplnil do návodu, jen doufám že jsem to popsal srozumitelně a zbytečně to nezamotal ještě více.

Zkuste to teď, takhle by to již mělo fungovat.
Nadřazený - - Od Broody Dne 2016-06-22 21:27
Díky za upřesnění. Bohužel rozhraní ipsec0 se neobjeví, ani když se na VPN připojím.

Nicméně věnoval jsem tomu další večer a podařilo se mi to nějak rozchodit. Myslím, že pomohly tyto řádky v souboru ipsec.conf:

    lefthostaccess=yes      # (aby měl klient přístup na router)
    leftfirewall=yes        # (přidá nějaká potřebná pravidla do iptables po připojení klienta)

    rightsourceip=%dhcp     # (klient dostane IP od LANkového DHCP)
    rightdns=217.31.204.130 # (DNS od CZ.NIC)


Bohužel z nějakého důvodu (opravdu by mě zajímalo proč) nefunguje uvést jako DNS vnitřní IP Turrisu, tedy 192.168.1.1. Netuším, v čem je chyba. Z klienta se na Turris připojím. Ale venkovní DNS servery naštěstí fungují.

Soubor strongswan.conf (kdyby se to někomu hodilo):

charon {
        load_modular = yes
        plugins {
                dhcp {
                        force_server_address = yes
                        server = 192.168.1.1
                        identity_lease = yes
                }
        }
}
Nadřazený - Od jakubskrz Dne 2016-06-23 10:50
Hm, to je tak, když člověk píše návody s odstupem času, koukám že jsem taky upravoval i strongswan.conf, mám tám tohle:

charon {
  dns1 = 192.168.0.1
  threads = 16
 
  plugins {
    include strongswan.d/charon/*.conf

    dhcp {
      server = 192.168.250.1
    }
  }
}
Nadřazený - - Od Ruda004 Dne 2016-07-10 13:07
Nevíte prosím jak vytvořit rozhraní ipsec0, samo se neobjeví.
Nadřazený - - Od jakubskrz Dne 2016-07-11 16:44
Hm, že bych to rozhraní přece jen nějak vytvořil sám a pak na to úspěšně zapomenul?

A IPsec vám jde spustit? Pokud ne, co je v logu?
Nadřazený - - Od Ruda004 Dne 2016-07-11 18:23
IPsec je spuštěn, funguje dokonce komunikace tunelem. Jen nefunguje komunikace z klienta přes VPN do internetu, do vnitřní sítě ano. Firewall bez IPsec0 nemůžu vlastně nastavit.
Konfiguraci mám doplněnou jako Broody. Bez tohoto nastavení se tunel nespustí vůbec.
Nadřazený - Od jakubskrz Dne 2016-07-12 16:49
Co se stane, když to rozhraní zkusíte vytvořit při tvorbě síťového rozhraní? Na obrazovce Interfaces, záložka Physical Settings je možné zadat custom interface, tak to tam zkuste vepsat, schválně co to udělá.

Nebo ještě můžete zkusit příkazy (s patřičně upravenou adresou ip subnetu, samozřejmě):
iptables -t nat -A POSTROUTING -s 10.99.1.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -s 10.99.1.0/24 -j ACCEPT


To by mělo povolit komunikaci z vpn subnetu ven do internetu bez ohledu na firewall zónu, ale pokud se nepletu, tahle pravidla pro iptables nevydrží restart a je nutné je dát do nějaké startup skriptu.
Nahoru Téma Majitelé routerů / Uživatelská vylepšení / Návod na zprovoznění IPsec IKEv2 VPN (uzamčeno)

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill