Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / IPsec VPN
- - Od Pospa Dne 2014-05-04 07:37
Ahoj.
Už nějaký ten pátek se snažím rozject VPN pomocí IPsec. Zkusil jem to přes strongSwan, OpenSwan i Racoon, ale nějak bez úspěchu. Jako duhou stranu jsem měl Windows, Linux, MikroTik, ... Nebyl by nějaký návod prosím? Díky

Pospa

ps.: Zkusil jsem to i pes IPv6 ke by to mělo ject nativně, ale asi není podpora IPv6 ještě tak daleko.
Nadřazený - Od jakub.rybar Dne 2014-05-05 15:41
Ahoj,

z VPN řešení preferuji Strongswan, který je k dispozici v repozitáři Turrisu ve formě balíčku a pro jeho instalaci by mělo stačit spustit příkaz "opkg install strongswan". Bohužel průběh instalace není bez problému, v rychlosti jsem to otestovat a instalace sice proběhne OK, ale inicializace některých modulů selže viz níže.

Configuring kmod-crypto-authenc.
kmod: failed to insert /lib/modules/3.10.18-b09ae823eeafb345725b393bc5efbba7/authenc.ko
Configuring kmod-ipsec4.
kmod: failed to insert /lib/modules/3.10.18-b09ae823eeafb345725b393bc5efbba7/esp4.ko
Configuring kmod-ipsec6.
kmod: failed to insert /lib/modules/3.10.18-b09ae823eeafb345725b393bc5efbba7/esp6.ko
Configuring strongswan.


Mrknu se na ještě večer, protože mám sám v plánu vytvořit site-to-site VPN tunel mezi Turrisem a Debian VM.

Každopádně jsem Strongswan již několikrát úspěšně nakonfiguroval, tj. můžu poradit s nějakou specifickou konfigurací. Pro začátek bych doporučil projít Wiki projektu zde: http://wiki.strongswan.org/projects/strongswan, konkrétně je nejdříve potřeba definovat si metodu authentizace klienta proti serveru (RSA certifikát, PSK s předefinovaným "heslem", popř. spousta možností EAP autentizace) a dále je třeba si říct, jací klienti se budou k VPN gateway připojovat, tj. jestli pouze roadwarrior Windows klienti, nebo Linux klienti anebo dokonce Android klienti. Samozřejmě je možné server nakonfigurovat pro všechny výše uvedené typy klientů.

Pro volbu konfigurace server-klient bych odkázal na vzorové UML konfigurace Strongswanu, které jsou docela přehledné a srozumitelné vč. konfigurace dílčích souborů na straně serveru i klienta (pouze UNIX / Linux) (ipsec.conf, strongswan.conf a ipsec.secrets).

IKEv2 Configuration Examples: http://wiki.strongswan.org/projects/strongswan/wiki/IKEv2Examples
Windows 7 VPN client configuration: http://wiki.strongswan.org/projects/strongswan/wiki/Windows7

S pozdravem
Nadřazený - Od jakub.rybar Dne 2014-05-05 16:06 Upraveno 2014-05-05 17:15
Tak to vypadá mnohem zapeklitěji než jsem čekal, protože jsme nikde neobjevil strongswan.conf, ipsec.conf, ani ipsec.conf. Stejně jako nikde není init soubor ipsec anebo strongswan. Nikde jsem příipadně nenasel, jak strongswan inicializovat... Vypadá to na nutnost přečíst si dokumentaci k OpenWRT, s ash jsem se setkal až u Turrisu / OpenWRT, Busybox už byl naštěstí v routrech ASUS WL-500x. :)

@ALL: Zprovoznil jste někdo StrongSwan 5.x na Turrisu? Pokud ano, any hints?

To be continued... :razz:
- Od martin131 Dne 2014-06-03 01:14
Přidávám se k dotazu - rozjel někdo strongswan?
- - Od Rypi Dne 2014-07-18 14:31 Upraveno 2014-07-18 14:41
Ahoj,

podařilo se to někomu? Zjistil jsem, že opkg install strongswan-full vytvoří i potřebné konfiguráky, které sháněl jakub.rybar. Bohužel nevím, jak dále s konfigurací v prostředí Turrise

Díky
Nadřazený - Od ZdVtt Dne 2014-10-05 13:03
Mě ne. Skončilo to kupou chyb.

Collected errors:
* pkg_run_script: package "kmod-crypto-authenc" postinst script returned status 255.
* opkg_configure: kmod-crypto-authenc.postinst returned 255.
* pkg_run_script: package "kmod-crypto-rng" postinst script returned status 255.
* opkg_configure: kmod-crypto-rng.postinst returned 255.
* pkg_run_script: package "kmod-crypto-wq" postinst script returned status 255.
* opkg_configure: kmod-crypto-wq.postinst returned 255.
* pkg_run_script: package "kmod-crypto-iv" postinst script returned status 255.
* opkg_configure: kmod-crypto-iv.postinst returned 255.
* pkg_run_script: package "kmod-crypto-sha1" postinst script returned status 255.
* opkg_configure: kmod-crypto-sha1.postinst returned 255.
* pkg_run_script: package "kmod-crypto-deflate" postinst script returned status 255.
* opkg_configure: kmod-crypto-deflate.postinst returned 255.
* pkg_run_script: package "kmod-crypto-cbc" postinst script returned status 255.
* opkg_configure: kmod-crypto-cbc.postinst returned 255.
* pkg_run_script: package "kmod-ipsec" postinst script returned status 255.
* opkg_configure: kmod-ipsec.postinst returned 255.
* pkg_run_script: package "kmod-ipsec4" postinst script returned status 255.
* opkg_configure: kmod-ipsec4.postinst returned 255.
* pkg_run_script: package "kmod-ipsec6" postinst script returned status 255.
* opkg_configure: kmod-ipsec6.postinst returned 255.
* pkg_run_script: package "kmod-crypto-user" postinst script returned status 255.
* opkg_configure: kmod-crypto-user.postinst returned 255.
- Od jakubskrz Dne 2014-12-02 19:25 Hlasů 1
Poslušně hlásím, že jsem si konečně našel čas a na svém Turrisu rozjel IPsec přes Strongswan. Měl jsem s tím trochu trable, ale nakonec mi to zabralo jen dvě odpoledne, což beru jako obrovský úspěch :grin:

Nainstaloval jsem balík strongswan-full, opkg mi sice vrátilo hromadu chyb, stejně jako píše ZdVtt, které jsem se ale nakonec rozhodl hrdinně ignorovat a pokračovat (rozuměj, nevěděl jsem co s tím dělat)..

Postupoval jsem podle tohoto návodu, který mi přišel nejpřehlednější, i když jsem si musel význam některých nastavení, hlavně v /etc/ipsec.conf, vyhledat. Jiné návody byly na můj vkus moc ukecané a/nebo překombinované.

Použitím uvedené konfigurace dostaneme VPN server používající protokol IKEv1 pro výměnu klíčů, který dovoluje připojení komukoliv s platným klientským certifikátem a jménem a heslem uvedeným v /etc/ipsec.secrets. Přičemž IP adresu bude přidělovat DHCP na routeru.

K návodu bych ještě dodal (neboť to v něm není moc zvýrazněno a lze to snadno přehlédnout), že je nutné po vytvoření init scriptu zadat příkaz /etc/init.d/ipsec enable, jinak se vám VPN server nenastartuje po rebootu, a při generování certifikátů se řídít raději odkazovanou wiki stránkou Strongswanu.

Zde je důležité při generování serverového certifikátu do položek CN a --san="" uvést vaši vnější IP adresu, případně doménu, pokud nějakou máte. Pokud to neuděláte, VPN připojení nebude fungovat. Pro ty méně šťastné, co nemají "statickou" IP, tak přichází chvíle, kdy se budou muset zaregistrovat na duckdns.org, nebo podobné službě :P (ok, zde bych měl zaklepat na dřevo, ať mi UPC najednou nezmění IP, protože spoléhám pouze na to, co spousta jejich uživatelů v posledních letech vypozorovala - tedy že moc IP adresy svým klientům nemění..)

Poslední krok je už jen stažení vytvořeného klientského certifikátu clientCert.p12, na *nixu např. pomocí scp root@192.168.1.1:/cesta/k/certifikatu ~/clientCert.p12 a jeho importování do systému a označení jako důvěryhodného (njn, holt je to certifikát podepsaný vaším Turrisem, takže vám počítač bude tvrdit, že není úplně košer).

Zde jsem na OSX narazil na problém - certifikát jsem sice importoval do Keychain.app do správné sekce (System), označil certifikační autoritu jako důvěryhodnou, ale VPN spojení se mi nedařilo vytvořit. Musel jsem v Keychainu poklikat na svůj klientský certifikát a na záložce Řízení přístupu změnit nastavení na Přístup k této položce povolit všem aplikacím. Poté se mi již VPN úspěšně vytvořilo.

A nebojte se, že je v obou návodech psáno, že jsou pro iPhone nebo Apple obecně. Připojení by mělo fungovat i na Win7/8 a Androidu, stačí při nastavování zvolit jako typ IPsec, nebo někdy označené jako Cisco IPsec ;) Bohužel to nemůžu potvrdit, ale na internetu píšou, že by to fakt mělo fungovat, takže to bude pravda :lol:
Nahoru Téma Majitelé routerů / Technická podpora / IPsec VPN

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill