Re: [Techinfo] ipsec server linuxon
A hétvégén kicsit többet foglalkoztam e témával és valóban az van, hogy
nem láttam a "fától az erdőt".
A hibaüzenet normális, nem is kell felhúzni a kapcsolatot a
strongswannál a ipsec up paranccsal.
Ezt automatikusan teszi a program, ha "auto=add" beleteszted a
konfigurációs rész conn metódus alá.
auto=start esetén is jó, így is csatlakozik a kliens/kliensek.
Amiatt kalapáltam össze ezt a vpn megoldást, mert:
- tartoztam magamnak ezzel már elég régről
- site-to site és rw kapcsolatot is ki lehet építeni vele és ez jól jön
az asterisk telefonközpontomhoz
A slussz poén:
A telefonszerver továbbra sem működik úgy, ahogyan szeretném:
2x cisco spa3102 >>> mikrotik gw
>>INTERNET>>>vpsszerver-debian8-freepbx
manual telepítés,asterisk 13.10
192.168.10.33>>> 192.168.10.254publikus ip cím/pppoe(94.21.x.x)
>> publikus-ip(76.x.x.x/24)
I
I
192.168.10.40 stb
A két hálózat strongswan ikev2 road warrior módban van
A 192.168.10.33 tudja pingelni:
192.168.10.40/32
192.168.10.0/24
INTERNET
vps ip címét
traceroute esetén is látom, hogy a vpn-be kerülnek a csomagok. (mindkét
irányból jó)
A két spa3102-nek a sip proxy címe a vps külső címe.
Ha ftp-t indítok ( egy belső géptől) a vps-re vagy figyelem a sip
regisztrációt, minden esetben ESP forgalmat látok és a VPN tunnelben
mennek az adatok EZ OK
Vissza irányban ugyanez van Ez is OK
De ha, felhívja a két telefon egymást, akkor a hívás felépülés a vpn-ben
lesz, míg a tényleges beszédkommunikáció titkosítatlanul megy keresztül
és natolódik a mikrotiken. (rtp: udp/1-2 között)
tcpdumpnál ezt van:
192.168.10.33:1000X udp vps címe
vps címe>192.168.10.33:1000X udp
192.168.10.40:1000X udp vps címe
vps címe>192.168.10.40:1000X udp
Nem értem miért nem megy a vpn-be az rtp forgalom is,hiszen jól működik
a vpn.
Openvpn esetében is ez volt a gond.
A transport mód lehet még érdekes, de nem igazán szeretném áthozni a
"szemetet" holmi bridgeléssel
Új próba:
Kértem egy új interfészt a vps-re ami nem kapcsolódik a netre, és
megpróbálom a tényleges site-to site konfigot.
A bindet átállítom a belső címre és akkor, már tényleg oda kell
csatlakoznia, amit nem tud elérni a netről. >>> bízom benne ez lesz a
megoldása a dolognak
Sejtésem szerint a mikrotik trükközik és az irányítja tévesen a net felé
ezeket az udp csomagokat.
Az eddigieket köszönöm!
2017. 08. 25. 14:43 keltezéssel, k...@mayten.sch.bme.hu írta:
Szerintem felre lettel vezetve. Kifejtem.
On 2017-08-25 12:58, Sándor Fehér wrote:
NO NE :), akkor egy kérdés:
Tegyük fel, hogy újraindítom a szervert és lecsatlakoznak a kliensek
és valami oknál fogva ( pl watchdog) újraindulnak a kliensek is.
Eredmény: egy szerver restart hazavágja a vpn-t
Tök logikus amit írsz, de a való életben igen is lehet olyan eset,
hogy csak a szerver "él" a kliensek később csatlakoznak.
A valo eletben minden helyzet pont ilyen.
Az előbbi miatt nem értem, hogy miért így működik a program: elszáll,
ha fel húzod up-al az rw kapcsolatot.
szoval az elmeletem (ami nem biztos, hogy helyes, de jelenleg akkor is
ezt gondolom) az, hogy egy dolog a vpn-t elinditani (felepiteni a
tuloldallal) es elinditani ugy, hogy keszen legyen bejovo kapcsolatok
fogadasara.
szerintem a problemad tok egyszeru, ugyanis reprodukaltam. nalad
auto=add van, ami azt jelenti, hogy kezzel kell up-ot adni neki. nalam
auto=start van, mert ha a szerver rebootol, en nem ohajtok kezzel
inditgatni dolgokat.
Most csak a vicc kedveert ujrainditottam ipsec restart-tal az egesz
szolgaltatast, es nezd mi van a logomban:
Aug 25 13:24:10 cube2 charon: 05[CFG] received stroke: add connection
'mom3g-oob_cube'
Aug 25 13:24:10 cube2 charon: 05[CFG] added configuration
'mom3g-oob_cube'
Aug 25 13:24:10 cube2 charon: 09[CFG] received stroke: initiate
'mom3g-oob_cube'
Aug 25 13:24:10 cube2 charon: 09[IKE] unable to resolve %any, initiate
aborted
^^
Ez viszont nem hiba. Az, hogy initiate nem tortenik az tok normalis -
nincs kihez. De ettol fuggetlenul a kapcsolat mukodni fog, amint a
kliens kezdemenyezte a vpn-t es bejutott.
A fenti amugy egy OOB menedzsment kapcsolat edesanyam otthoni
routerehez, hogy akkor is tudjam mi van a routerrel ha nincs net, mert
nyilvan engem hiv fel, hogy fiam, miert nem megy a net.
Szoval a kliens oldalrol elinditom a kapcsolat felepiteset:
c1921.bud-mom#ping vrf oob 10.7.20.13 source loopback 1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.7.20.13, timeout is 2 seconds:
Packet sent with a source address of 10.7.20.14
!
es a logban kozben:
Aug 25 13:25:40 cube2 charon: 10[IKE] CHILD_SA mom3g-oob_cube{1}
established with SPIs XX and TS 10.7.20.13/32 === 10.7.20.14/32
Azaz szerintem a megoldas annyi, hogy ne dolj be a hibauzenetnek. Nem
hazudik, tenyleg nem tud kapcsolatot kezdemenyezni, de ez nem baj,
mivel csak
Re: [Techinfo] ipsec server linuxon
Szerintem felre lettel vezetve. Kifejtem.
On 2017-08-25 12:58, Sándor Fehér wrote:
NO NE :), akkor egy kérdés:
Tegyük fel, hogy újraindítom a szervert és lecsatlakoznak a kliensek
és valami oknál fogva ( pl watchdog) újraindulnak a kliensek is.
Eredmény: egy szerver restart hazavágja a vpn-t
Tök logikus amit írsz, de a való életben igen is lehet olyan eset,
hogy csak a szerver "él" a kliensek később csatlakoznak.
A valo eletben minden helyzet pont ilyen.
Az előbbi miatt nem értem, hogy miért így működik a program: elszáll,
ha fel húzod up-al az rw kapcsolatot.
szoval az elmeletem (ami nem biztos, hogy helyes, de jelenleg akkor is
ezt gondolom) az, hogy egy dolog a vpn-t elinditani (felepiteni a
tuloldallal) es elinditani ugy, hogy keszen legyen bejovo kapcsolatok
fogadasara.
szerintem a problemad tok egyszeru, ugyanis reprodukaltam. nalad
auto=add van, ami azt jelenti, hogy kezzel kell up-ot adni neki. nalam
auto=start van, mert ha a szerver rebootol, en nem ohajtok kezzel
inditgatni dolgokat.
Most csak a vicc kedveert ujrainditottam ipsec restart-tal az egesz
szolgaltatast, es nezd mi van a logomban:
Aug 25 13:24:10 cube2 charon: 05[CFG] received stroke: add connection
'mom3g-oob_cube'
Aug 25 13:24:10 cube2 charon: 05[CFG] added configuration
'mom3g-oob_cube'
Aug 25 13:24:10 cube2 charon: 09[CFG] received stroke: initiate
'mom3g-oob_cube'
Aug 25 13:24:10 cube2 charon: 09[IKE] unable to resolve %any, initiate
aborted
^^
Ez viszont nem hiba. Az, hogy initiate nem tortenik az tok normalis -
nincs kihez. De ettol fuggetlenul a kapcsolat mukodni fog, amint a
kliens kezdemenyezte a vpn-t es bejutott.
A fenti amugy egy OOB menedzsment kapcsolat edesanyam otthoni
routerehez, hogy akkor is tudjam mi van a routerrel ha nincs net, mert
nyilvan engem hiv fel, hogy fiam, miert nem megy a net.
Szoval a kliens oldalrol elinditom a kapcsolat felepiteset:
c1921.bud-mom#ping vrf oob 10.7.20.13 source loopback 1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.7.20.13, timeout is 2 seconds:
Packet sent with a source address of 10.7.20.14
!
es a logban kozben:
Aug 25 13:25:40 cube2 charon: 10[IKE] CHILD_SA mom3g-oob_cube{1}
established with SPIs XX and TS 10.7.20.13/32 === 10.7.20.14/32
Azaz szerintem a megoldas annyi, hogy ne dolj be a hibauzenetnek. Nem
hazudik, tenyleg nem tud kapcsolatot kezdemenyezni, de ez nem baj, mivel
csak fogadnia kell.
Lehet, hogy nem tunik logikusnak a fenti, nekem se ez jutott elsore
eszembe, de szerintem a fentiekkel reprodukaltam a te helyzetedben levo
hibat es latszik, hogy ennek ellenere mukodik, ahogy kell neki. Mivel
en auto=start -ot szoktam hasznalni, logot meg csak akkor nezek ha hiba
van, igy a hibauzenet eddig nekem fel se tunt.
udv
adam
___
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] ipsec server linuxon
>ez azt jelenti, hogy a forditas maga nem sikerult, vagy a kapcsolat vele? Nem, írtam a levélben lejjebb, csak a "%any" paraméter nem tetszik neki. SITE-SITE konfigban ip címekkel működik az újonnan fordított is. Nem fordítási hiba van. >./configure --prefix=/usr/local/strongswan-5.4.0 --mandir=/usr/share/man --enable-openssl --enable-sha3 --enable-curl --enable-dhcp --enable-libipsec Ettől is puritánabban csináltam: ./configure --enable-eap-mschap-v2 (eap csak a későbbiek miatt) >1) a szerver konfiguralod, tehat hozza fognak csatlakozni 2) tehat beleteszed az %any-t 3) majd utana up-pal fel akarod huzni a kapcsolatot Pontosan! NO NE :), akkor egy kérdés: Tegyük fel, hogy újraindítom a szervert és lecsatlakoznak a kliensek és valami oknál fogva ( pl watchdog) újraindulnak a kliensek is. Eredmény: egy szerver restart hazavágja a vpn-t Tök logikus amit írsz, de a való életben igen is lehet olyan eset, hogy csak a szerver "él" a kliensek később csatlakoznak. Az előbbi miatt nem értem, hogy miért így működik a program: elszáll, ha fel húzod up-al az rw kapcsolatot. Amúgy próbáltam rácsatlakozni és nem lehet, ha nem húzom fel "ipsec up " >>> ez a parancs viszont hibával fut le. Most site to site ban van és működik a fordított verzióm már a mikrotikkel is, de ez nekem így nem ok. A mikrotik amúgy azért nem működött, mert a csomag repo-s változatában nincs benne az openssl támogatás és ezáltal a dh group: modp1024 modp2048 stb opciók. Ezek kellenek a mikrotiknek. >peldaul %any egyutt ikev2 -vel nem megy. Ez tényleg nem működik?? Probáltam ikev1 -et is és nem vezetett pozitív eredményre. Lehet bepöccintek egy teszt környezetet kvm virtuális gépekkel és azon fogok kísérletezni, de szinte mindent megpróbáltam eddig. Egyedül a v.4.x verziókat nem néztem, de nem is akarok visszamenni az őskorba. 2017. 08. 25. 13:10 keltezéssel, k...@mayten.sch.bme.hu írta: On 2017-08-25 11:24, Sándor Fehér wrote: Üdv! Nem bírok ezzel strongswannak nevezett sz*rr*l és agyvérzés szélén állok. Új fordítás - sikertelen ez azt jelenti, hogy a forditas maga nem sikerult, vagy a kapcsolat vele? en igyekeztem minimalisan forditani: $ ./configure --prefix=/usr/local/strongswan-5.4.0 --mandir=/usr/share/man --enable-openssl --enable-sha3 --enable-curl --enable-dhcp --enable-libipsec es csak azokat beletenni amikre szuksegem van. lenyeges kerdes lehet az openssl verzioja es helye, ha nem csomagbol van, en openssl-1.0.1u -vel forgattam es symlinkelnem kellett a megfelelo helyekre. A fenti nem ugyanaz a verzio, mint ahonnan a minta konfigot szedtem, de ebben is van any es mukodik. Probaltad konkretan ezen verziok valamelyikevel? A masik ket otletembol az elso, hogy az egesz uzenet felrevezeto. Miert? unable to resolve %any, initiate aborted ez itt a kulcs. 1) a szerver konfiguralod, tehat hozza fognak csatlakozni 2) tehat beleteszed az %any-t 3) majd utana up-pal fel akarod huzni a kapcsolatot na de hova huzza fel a kapcsolatot, ha %any van benne? Fogalma sincs rola, hogy kihez kene csatlakoznia. Ez egy logikai bukfenc lehet nalad. A szervernek valaszolnia kell a beerkezo ipsec keresekre, nem pedig inditani a kapcsolatot - ez lehet oka a hibadnak. Igy aztan szerintem amikor az up paranccsal inditani akarod akkor valojaban a vpn-t probalod felhuzni de %any-val nem fog menni. A harmadik otletem, hogy a konfiguracio kulonbozo komponensei egyutt esetleg nem mukodnek - peldaul %any egyutt ikev2 -vel nem megy. Ha tippelnem kellene, akkor eloszor a kozepso iranyba indulnek el es nem a szerveren akarnam felhuzni a kapcsolatot, hanem a kliensen. Ha igy sem megy, akkor utana tennek egy probat ikev1 -gyel is. udv adam ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] ipsec server linuxon
Van még az Asterisk amit az Openwrt is támogat: https://wiki.openwrt.org/doc/howto/voip.asterisk 2017.08.25. 13:41 keltezéssel, Sándor Fehér írta: Szia Péter! Nekem egy debian distrom van freepbx-el . Emiatt nem jó az openwrt. Gondoltam amúgy arra is. Köszi! 2017. 08. 25. 13:27 keltezéssel, Horváth Péter írta: Openwrt szerintem a legjobb linux distro. https://wiki.openwrt.org/inbox/openswanxl2tpvpn Szerintem ebben van minden, amit linuxra kitaláltak, és nincs elbonyolítva. 2017.08.25. 12:24 keltezéssel, Sándor Fehér írta: Üdv! Nem bírok ezzel strongswannak nevezett sz*rr*l és agyvérzés szélén állok. Új fordítás - sikertelen Másik disztró - sikertelen ( ubuntu szerver 1604LTS) Másik disztró saját fordítással - sikertelen Korábbi verzió 5.1 saját fordítással - sikertelen hiba minden esetben: unable to resolve %any, initiate aborted tried to checkin and delete nonexisting IKE_SA establishing connection 'nat-t' failed SEHOGY nem eszi meg a right=%any FELADOM ezt a bughalmazt el is felejtem örökre. A gyári oldalon lévő rw konfigok sem működnek (%any miatt) és nem linkel mikrotikkel sem. Ezeréves verziókkal meg nem szórakozok. Keresek alternatívát, több időt nem szánok erre. Ha valami javaslatod volna meghallgatom. Köszönöm az eddigi segítséged! 2017. 08. 23. 23:10 keltezéssel, k...@mayten.sch.bme.hu írta: On 08/23/2017 20:42, Sándor Fehér wrote: /ipsec up ikev2-vpn/ unable to resolve %any, initiate aborted tried to check-in and delete nonexisting IKE_SA establishing connection 'ikev2-vpn' failed en forrasbol raktam, igy nem tudok nyilatkozni a debian repoban levorol. eppen azert raktam fel forrasbol, mert nekem rendkivul ellenszenves, ahogy peldaul a konfigokat kezelik, szemben a standard csomagbol forditottal. ha bugos a repoban levo, arra tehat nem en fogok rajonni, en is csak elhinnem amit az internet ir. oreg vagyok en mar ahhoz, hogy egy szimpla apache konfigot is symlinkelgessek szanaszet es 20 file-ban kelljen turkalni - en a forrasbol forditott dolgokban hiszek. a hibauzenet annyibol erdekes, hogy nem derul ki melyik oldalrol szarmazik. a szerverrol, onnan ahonnan a konfigot is masoltad? akkor nem trivialis, hogy a left vagy right oldalra panaszkodott. Nyilvan a leftnek nem kotelezo any-nek lennie, azt kicserelhetned az ismert cimre, akkor legalabb egyertelmu lenne, melyik oldallal van baja. de egyetertek abban, hogy az uzenet nem normalis, mivel nevfeloldasi hibanak tunik, noha ezt a specialis nevet eppen, hogy nem kellene nevfeloldania. Nem ismeri a konfigban a %any pedig ez kell az RW-hez. ertem en, hogy valtozik a cimed ahonnan a kapcsolatot teszteled, de csak a proba kedveert megcsinalnam a konfigot az aktualis ip cimre es megneznem, hogy amugy egyebkent mukodne-e, vagy az any-n kivul van-e meg mas baja is. vegigneztem a konfigot amit bemasoltal, par gondolat: latom, aes256-ot hasznalsz. ezt olvastad? https://www.schneier.com/blog/archives/2009/07/another_new_aes.html nem tudom milyen vegpontokra szamitasz, de ha esetleg mobil eszkozokkel hasznalod, en megfontolnam az aes128-at, sot, akar a 3des -t is - kevesse cpu intenziv, jot tesz az aksinak. ezzel parhuzamosan valoszinuleg az 1024-es kulcshosszt megemelnem 1536-ra - mivel ez csak phase 1-ben kerul hasznalatra, ritkabban terheli a cpu-t, de ugy tudom az 1024 bites kulcsok ma mar nem szamitanak kulonosebben biztonsagosnak. nalam auto=start van, azaz indulaskor betolti a konfigot es el is inditja, nalad csak betolti, de lehet, hogy van valami okod, hogy szandekosan kezzel akarod inditani - de ez csak kozmetikai kulonbseg. nem teljesen ertem, hogy a rekey miert no. rejtelyes hibak forrasa lehet, ami ilyen konfig mellett a tuloldaltol fugg, hogy elojon-e vagy sem. ha a tuloldalon is no van, akkor a lejaro kapcsolat parameterei nem lesznek ujraegyeztetve. de megint csak: nem tudok a hattersztorirol, lehet valami okod van ezt hasznalni. az sem teljesen vilagos, mi ertelme van left any-t allitani, majd leftid -t megadni, elegendo lenne left=ip cim is szerintem. mivel a rightid alapertelmezetten a right erteket veszi fel, ezt sem ertem miert duplaztad, es mivel pont az %any-rol szol a hibauzeneted, ezt a konfigban atirnam, mielott nekiesek forditani egyet forrasbol. egy minta tolem, ami mukodik egy cisco 877 routerrel, ami csak kvazi-roadwarrior, mivel a maga mogotti halozatot is lathatova teszi: conn %default ikelifetime = 1d keylife = 8h keyingtries = 20 keyexchange = ikev1 authby = secret ike = aes128-sha1-modp2048! esp = aes128-sha256! type = tunnel conn mjv-mira_to_core left = a.b.c.d leftfirewall = no leftsubnet = e.f.g.h/26 right = %any rightsubnet = i.j.k.l/26 ike = aes128-sha1-modp1536! esp = aes128-sha! auto = start mivel az elejen onnan indult a sztori, ha jol emlekszem, hogy a voip rtp nem megy, gondolom
Re: [Techinfo] ipsec server linuxon
Szia Péter! Nekem egy debian distrom van freepbx-el . Emiatt nem jó az openwrt. Gondoltam amúgy arra is. Köszi! 2017. 08. 25. 13:27 keltezéssel, Horváth Péter írta: Openwrt szerintem a legjobb linux distro. https://wiki.openwrt.org/inbox/openswanxl2tpvpn Szerintem ebben van minden, amit linuxra kitaláltak, és nincs elbonyolítva. 2017.08.25. 12:24 keltezéssel, Sándor Fehér írta: Üdv! Nem bírok ezzel strongswannak nevezett sz*rr*l és agyvérzés szélén állok. Új fordítás - sikertelen Másik disztró - sikertelen ( ubuntu szerver 1604LTS) Másik disztró saját fordítással - sikertelen Korábbi verzió 5.1 saját fordítással - sikertelen hiba minden esetben: unable to resolve %any, initiate aborted tried to checkin and delete nonexisting IKE_SA establishing connection 'nat-t' failed SEHOGY nem eszi meg a right=%any FELADOM ezt a bughalmazt el is felejtem örökre. A gyári oldalon lévő rw konfigok sem működnek (%any miatt) és nem linkel mikrotikkel sem. Ezeréves verziókkal meg nem szórakozok. Keresek alternatívát, több időt nem szánok erre. Ha valami javaslatod volna meghallgatom. Köszönöm az eddigi segítséged! 2017. 08. 23. 23:10 keltezéssel, k...@mayten.sch.bme.hu írta: On 08/23/2017 20:42, Sándor Fehér wrote: /ipsec up ikev2-vpn/ unable to resolve %any, initiate aborted tried to check-in and delete nonexisting IKE_SA establishing connection 'ikev2-vpn' failed en forrasbol raktam, igy nem tudok nyilatkozni a debian repoban levorol. eppen azert raktam fel forrasbol, mert nekem rendkivul ellenszenves, ahogy peldaul a konfigokat kezelik, szemben a standard csomagbol forditottal. ha bugos a repoban levo, arra tehat nem en fogok rajonni, en is csak elhinnem amit az internet ir. oreg vagyok en mar ahhoz, hogy egy szimpla apache konfigot is symlinkelgessek szanaszet es 20 file-ban kelljen turkalni - en a forrasbol forditott dolgokban hiszek. a hibauzenet annyibol erdekes, hogy nem derul ki melyik oldalrol szarmazik. a szerverrol, onnan ahonnan a konfigot is masoltad? akkor nem trivialis, hogy a left vagy right oldalra panaszkodott. Nyilvan a leftnek nem kotelezo any-nek lennie, azt kicserelhetned az ismert cimre, akkor legalabb egyertelmu lenne, melyik oldallal van baja. de egyetertek abban, hogy az uzenet nem normalis, mivel nevfeloldasi hibanak tunik, noha ezt a specialis nevet eppen, hogy nem kellene nevfeloldania. Nem ismeri a konfigban a %any pedig ez kell az RW-hez. ertem en, hogy valtozik a cimed ahonnan a kapcsolatot teszteled, de csak a proba kedveert megcsinalnam a konfigot az aktualis ip cimre es megneznem, hogy amugy egyebkent mukodne-e, vagy az any-n kivul van-e meg mas baja is. vegigneztem a konfigot amit bemasoltal, par gondolat: latom, aes256-ot hasznalsz. ezt olvastad? https://www.schneier.com/blog/archives/2009/07/another_new_aes.html nem tudom milyen vegpontokra szamitasz, de ha esetleg mobil eszkozokkel hasznalod, en megfontolnam az aes128-at, sot, akar a 3des -t is - kevesse cpu intenziv, jot tesz az aksinak. ezzel parhuzamosan valoszinuleg az 1024-es kulcshosszt megemelnem 1536-ra - mivel ez csak phase 1-ben kerul hasznalatra, ritkabban terheli a cpu-t, de ugy tudom az 1024 bites kulcsok ma mar nem szamitanak kulonosebben biztonsagosnak. nalam auto=start van, azaz indulaskor betolti a konfigot es el is inditja, nalad csak betolti, de lehet, hogy van valami okod, hogy szandekosan kezzel akarod inditani - de ez csak kozmetikai kulonbseg. nem teljesen ertem, hogy a rekey miert no. rejtelyes hibak forrasa lehet, ami ilyen konfig mellett a tuloldaltol fugg, hogy elojon-e vagy sem. ha a tuloldalon is no van, akkor a lejaro kapcsolat parameterei nem lesznek ujraegyeztetve. de megint csak: nem tudok a hattersztorirol, lehet valami okod van ezt hasznalni. az sem teljesen vilagos, mi ertelme van left any-t allitani, majd leftid -t megadni, elegendo lenne left=ip cim is szerintem. mivel a rightid alapertelmezetten a right erteket veszi fel, ezt sem ertem miert duplaztad, es mivel pont az %any-rol szol a hibauzeneted, ezt a konfigban atirnam, mielott nekiesek forditani egyet forrasbol. egy minta tolem, ami mukodik egy cisco 877 routerrel, ami csak kvazi-roadwarrior, mivel a maga mogotti halozatot is lathatova teszi: conn %default ikelifetime = 1d keylife = 8h keyingtries = 20 keyexchange = ikev1 authby = secret ike = aes128-sha1-modp2048! esp = aes128-sha256! type = tunnel conn mjv-mira_to_core left = a.b.c.d leftfirewall = no leftsubnet = e.f.g.h/26 right = %any rightsubnet = i.j.k.l/26 ike = aes128-sha1-modp1536! esp = aes128-sha! auto = start mivel az elejen onnan indult a sztori, ha jol emlekszem, hogy a voip rtp nem megy, gondolom ahhoz reszeled a vpn-t, en egy fenti konfiggal probalkoznek, ahol left nyilvan az ipsec szervered publikus ip-je, leftsubnet az a privat (akar loopback)
Re: [Techinfo] ipsec server linuxon
Openwrt szerintem a legjobb linux distro. https://wiki.openwrt.org/inbox/openswanxl2tpvpn Szerintem ebben van minden, amit linuxra kitaláltak, és nincs elbonyolítva. 2017.08.25. 12:24 keltezéssel, Sándor Fehér írta: Üdv! Nem bírok ezzel strongswannak nevezett sz*rr*l és agyvérzés szélén állok. Új fordítás - sikertelen Másik disztró - sikertelen ( ubuntu szerver 1604LTS) Másik disztró saját fordítással - sikertelen Korábbi verzió 5.1 saját fordítással - sikertelen hiba minden esetben: unable to resolve %any, initiate aborted tried to checkin and delete nonexisting IKE_SA establishing connection 'nat-t' failed SEHOGY nem eszi meg a right=%any FELADOM ezt a bughalmazt el is felejtem örökre. A gyári oldalon lévő rw konfigok sem működnek (%any miatt) és nem linkel mikrotikkel sem. Ezeréves verziókkal meg nem szórakozok. Keresek alternatívát, több időt nem szánok erre. Ha valami javaslatod volna meghallgatom. Köszönöm az eddigi segítséged! 2017. 08. 23. 23:10 keltezéssel, k...@mayten.sch.bme.hu írta: On 08/23/2017 20:42, Sándor Fehér wrote: /ipsec up ikev2-vpn/ unable to resolve %any, initiate aborted tried to check-in and delete nonexisting IKE_SA establishing connection 'ikev2-vpn' failed en forrasbol raktam, igy nem tudok nyilatkozni a debian repoban levorol. eppen azert raktam fel forrasbol, mert nekem rendkivul ellenszenves, ahogy peldaul a konfigokat kezelik, szemben a standard csomagbol forditottal. ha bugos a repoban levo, arra tehat nem en fogok rajonni, en is csak elhinnem amit az internet ir. oreg vagyok en mar ahhoz, hogy egy szimpla apache konfigot is symlinkelgessek szanaszet es 20 file-ban kelljen turkalni - en a forrasbol forditott dolgokban hiszek. a hibauzenet annyibol erdekes, hogy nem derul ki melyik oldalrol szarmazik. a szerverrol, onnan ahonnan a konfigot is masoltad? akkor nem trivialis, hogy a left vagy right oldalra panaszkodott. Nyilvan a leftnek nem kotelezo any-nek lennie, azt kicserelhetned az ismert cimre, akkor legalabb egyertelmu lenne, melyik oldallal van baja. de egyetertek abban, hogy az uzenet nem normalis, mivel nevfeloldasi hibanak tunik, noha ezt a specialis nevet eppen, hogy nem kellene nevfeloldania. Nem ismeri a konfigban a %any pedig ez kell az RW-hez. ertem en, hogy valtozik a cimed ahonnan a kapcsolatot teszteled, de csak a proba kedveert megcsinalnam a konfigot az aktualis ip cimre es megneznem, hogy amugy egyebkent mukodne-e, vagy az any-n kivul van-e meg mas baja is. vegigneztem a konfigot amit bemasoltal, par gondolat: latom, aes256-ot hasznalsz. ezt olvastad? https://www.schneier.com/blog/archives/2009/07/another_new_aes.html nem tudom milyen vegpontokra szamitasz, de ha esetleg mobil eszkozokkel hasznalod, en megfontolnam az aes128-at, sot, akar a 3des -t is - kevesse cpu intenziv, jot tesz az aksinak. ezzel parhuzamosan valoszinuleg az 1024-es kulcshosszt megemelnem 1536-ra - mivel ez csak phase 1-ben kerul hasznalatra, ritkabban terheli a cpu-t, de ugy tudom az 1024 bites kulcsok ma mar nem szamitanak kulonosebben biztonsagosnak. nalam auto=start van, azaz indulaskor betolti a konfigot es el is inditja, nalad csak betolti, de lehet, hogy van valami okod, hogy szandekosan kezzel akarod inditani - de ez csak kozmetikai kulonbseg. nem teljesen ertem, hogy a rekey miert no. rejtelyes hibak forrasa lehet, ami ilyen konfig mellett a tuloldaltol fugg, hogy elojon-e vagy sem. ha a tuloldalon is no van, akkor a lejaro kapcsolat parameterei nem lesznek ujraegyeztetve. de megint csak: nem tudok a hattersztorirol, lehet valami okod van ezt hasznalni. az sem teljesen vilagos, mi ertelme van left any-t allitani, majd leftid -t megadni, elegendo lenne left=ip cim is szerintem. mivel a rightid alapertelmezetten a right erteket veszi fel, ezt sem ertem miert duplaztad, es mivel pont az %any-rol szol a hibauzeneted, ezt a konfigban atirnam, mielott nekiesek forditani egyet forrasbol. egy minta tolem, ami mukodik egy cisco 877 routerrel, ami csak kvazi-roadwarrior, mivel a maga mogotti halozatot is lathatova teszi: conn %default ikelifetime = 1d keylife = 8h keyingtries = 20 keyexchange = ikev1 authby = secret ike = aes128-sha1-modp2048! esp = aes128-sha256! type = tunnel conn mjv-mira_to_core left = a.b.c.d leftfirewall = no leftsubnet = e.f.g.h/26 right = %any rightsubnet = i.j.k.l/26 ike = aes128-sha1-modp1536! esp = aes128-sha! auto = start mivel az elejen onnan indult a sztori, ha jol emlekszem, hogy a voip rtp nem megy, gondolom ahhoz reszeled a vpn-t, en egy fenti konfiggal probalkoznek, ahol left nyilvan az ipsec szervered publikus ip-je, leftsubnet az a privat (akar loopback) interfesz amit el kell erni a vpn-en at, rightsubnet pedig az akinek a forgalma titkositasra kerul, azaz a halozat ahol a voip kliensek vannak. mint latod en kisebb
Re: [Techinfo] ipsec server linuxon
On 2017-08-25 11:24, Sándor Fehér wrote: Üdv! Nem bírok ezzel strongswannak nevezett sz*rr*l és agyvérzés szélén állok. Új fordítás - sikertelen ez azt jelenti, hogy a forditas maga nem sikerult, vagy a kapcsolat vele? en igyekeztem minimalisan forditani: $ ./configure --prefix=/usr/local/strongswan-5.4.0 --mandir=/usr/share/man --enable-openssl --enable-sha3 --enable-curl --enable-dhcp --enable-libipsec es csak azokat beletenni amikre szuksegem van. lenyeges kerdes lehet az openssl verzioja es helye, ha nem csomagbol van, en openssl-1.0.1u -vel forgattam es symlinkelnem kellett a megfelelo helyekre. A fenti nem ugyanaz a verzio, mint ahonnan a minta konfigot szedtem, de ebben is van any es mukodik. Probaltad konkretan ezen verziok valamelyikevel? A masik ket otletembol az elso, hogy az egesz uzenet felrevezeto. Miert? unable to resolve %any, initiate aborted ez itt a kulcs. 1) a szerver konfiguralod, tehat hozza fognak csatlakozni 2) tehat beleteszed az %any-t 3) majd utana up-pal fel akarod huzni a kapcsolatot na de hova huzza fel a kapcsolatot, ha %any van benne? Fogalma sincs rola, hogy kihez kene csatlakoznia. Ez egy logikai bukfenc lehet nalad. A szervernek valaszolnia kell a beerkezo ipsec keresekre, nem pedig inditani a kapcsolatot - ez lehet oka a hibadnak. Igy aztan szerintem amikor az up paranccsal inditani akarod akkor valojaban a vpn-t probalod felhuzni de %any-val nem fog menni. A harmadik otletem, hogy a konfiguracio kulonbozo komponensei egyutt esetleg nem mukodnek - peldaul %any egyutt ikev2 -vel nem megy. Ha tippelnem kellene, akkor eloszor a kozepso iranyba indulnek el es nem a szerveren akarnam felhuzni a kapcsolatot, hanem a kliensen. Ha igy sem megy, akkor utana tennek egy probat ikev1 -gyel is. udv adam ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] ipsec server linuxon
Üdv! Nem bírok ezzel strongswannak nevezett sz*rr*l és agyvérzés szélén állok. Új fordítás - sikertelen Másik disztró - sikertelen ( ubuntu szerver 1604LTS) Másik disztró saját fordítással - sikertelen Korábbi verzió 5.1 saját fordítással - sikertelen hiba minden esetben: unable to resolve %any, initiate aborted tried to checkin and delete nonexisting IKE_SA establishing connection 'nat-t' failed SEHOGY nem eszi meg a right=%any FELADOM ezt a bughalmazt el is felejtem örökre. A gyári oldalon lévő rw konfigok sem működnek (%any miatt) és nem linkel mikrotikkel sem. Ezeréves verziókkal meg nem szórakozok. Keresek alternatívát, több időt nem szánok erre. Ha valami javaslatod volna meghallgatom. Köszönöm az eddigi segítséged! 2017. 08. 23. 23:10 keltezéssel, k...@mayten.sch.bme.hu írta: On 08/23/2017 20:42, Sándor Fehér wrote: /ipsec up ikev2-vpn/ unable to resolve %any, initiate aborted tried to check-in and delete nonexisting IKE_SA establishing connection 'ikev2-vpn' failed en forrasbol raktam, igy nem tudok nyilatkozni a debian repoban levorol. eppen azert raktam fel forrasbol, mert nekem rendkivul ellenszenves, ahogy peldaul a konfigokat kezelik, szemben a standard csomagbol forditottal. ha bugos a repoban levo, arra tehat nem en fogok rajonni, en is csak elhinnem amit az internet ir. oreg vagyok en mar ahhoz, hogy egy szimpla apache konfigot is symlinkelgessek szanaszet es 20 file-ban kelljen turkalni - en a forrasbol forditott dolgokban hiszek. a hibauzenet annyibol erdekes, hogy nem derul ki melyik oldalrol szarmazik. a szerverrol, onnan ahonnan a konfigot is masoltad? akkor nem trivialis, hogy a left vagy right oldalra panaszkodott. Nyilvan a leftnek nem kotelezo any-nek lennie, azt kicserelhetned az ismert cimre, akkor legalabb egyertelmu lenne, melyik oldallal van baja. de egyetertek abban, hogy az uzenet nem normalis, mivel nevfeloldasi hibanak tunik, noha ezt a specialis nevet eppen, hogy nem kellene nevfeloldania. Nem ismeri a konfigban a %any pedig ez kell az RW-hez. ertem en, hogy valtozik a cimed ahonnan a kapcsolatot teszteled, de csak a proba kedveert megcsinalnam a konfigot az aktualis ip cimre es megneznem, hogy amugy egyebkent mukodne-e, vagy az any-n kivul van-e meg mas baja is. vegigneztem a konfigot amit bemasoltal, par gondolat: latom, aes256-ot hasznalsz. ezt olvastad? https://www.schneier.com/blog/archives/2009/07/another_new_aes.html nem tudom milyen vegpontokra szamitasz, de ha esetleg mobil eszkozokkel hasznalod, en megfontolnam az aes128-at, sot, akar a 3des -t is - kevesse cpu intenziv, jot tesz az aksinak. ezzel parhuzamosan valoszinuleg az 1024-es kulcshosszt megemelnem 1536-ra - mivel ez csak phase 1-ben kerul hasznalatra, ritkabban terheli a cpu-t, de ugy tudom az 1024 bites kulcsok ma mar nem szamitanak kulonosebben biztonsagosnak. nalam auto=start van, azaz indulaskor betolti a konfigot es el is inditja, nalad csak betolti, de lehet, hogy van valami okod, hogy szandekosan kezzel akarod inditani - de ez csak kozmetikai kulonbseg. nem teljesen ertem, hogy a rekey miert no. rejtelyes hibak forrasa lehet, ami ilyen konfig mellett a tuloldaltol fugg, hogy elojon-e vagy sem. ha a tuloldalon is no van, akkor a lejaro kapcsolat parameterei nem lesznek ujraegyeztetve. de megint csak: nem tudok a hattersztorirol, lehet valami okod van ezt hasznalni. az sem teljesen vilagos, mi ertelme van left any-t allitani, majd leftid -t megadni, elegendo lenne left=ip cim is szerintem. mivel a rightid alapertelmezetten a right erteket veszi fel, ezt sem ertem miert duplaztad, es mivel pont az %any-rol szol a hibauzeneted, ezt a konfigban atirnam, mielott nekiesek forditani egyet forrasbol. egy minta tolem, ami mukodik egy cisco 877 routerrel, ami csak kvazi-roadwarrior, mivel a maga mogotti halozatot is lathatova teszi: conn %default ikelifetime = 1d keylife = 8h keyingtries = 20 keyexchange = ikev1 authby = secret ike = aes128-sha1-modp2048! esp = aes128-sha256! type = tunnel conn mjv-mira_to_core left = a.b.c.d leftfirewall = no leftsubnet = e.f.g.h/26 right = %any rightsubnet = i.j.k.l/26 ike = aes128-sha1-modp1536! esp = aes128-sha! auto = start mivel az elejen onnan indult a sztori, ha jol emlekszem, hogy a voip rtp nem megy, gondolom ahhoz reszeled a vpn-t, en egy fenti konfiggal probalkoznek, ahol left nyilvan az ipsec szervered publikus ip-je, leftsubnet az a privat (akar loopback) interfesz amit el kell erni a vpn-en at, rightsubnet pedig az akinek a forgalma titkositasra kerul, azaz a halozat ahol a voip kliensek vannak. mint latod en kisebb kulcsszammal csinaltam aes-t, elsosorban azert, mert a 877-es router egy eleg csoffadt darab, nem kell, hogy a cpu futse a szobat amiben van. valamint en csak ikev1-et hasznalok. igy a relevans reszeket modositva (pl. ikev2)
Re: [Techinfo] ipsec server linuxon
>a hibauzenet annyibol erdekes, hogy nem derul ki melyik oldalrol szarmazik. a szerverrol, onnan ahonnan a konfigot is masoltad? akkor nem trivialis, hogy a left vagy right oldalra panaszkodott. Nyilvan a leftnek nem kotelezo any-nek lennie, azt kicserelhetned az ismert >cimre, akkor legalabb egyertelmu lenne, melyik oldallal van baja. A konfig a left oldali konfiguráció és a left= kiprobáltam ip címmel is és úgy is panaszkodik a "right=%any" paraméterre >de egyetertek abban, hogy az uzenet nem normalis, mivel nevfeloldasi hibanak tunik, noha ezt a specialis nevet eppen, hogy nem kellene nevfeloldania. Így van, szerintem is ez a baj és ez egy BUG lesz. >ertem en, hogy valtozik a cimed ahonnan a kapcsolatot teszteled, de csak a proba kedveert megcsinalnam a konfigot az aktualis ip cimre es megneznem, hogy amugy egyebkent mukodne-e, vagy az any-n kivul van-e meg mas baja is. Tegnap még ezt is megnéztem egy site-to-site felállásban és úgy felépült a kapcsolat. ( konkrét ip címeket írtam left= és right= mellé) Csak a %any nem akarja elfogadni. >nem tudom milyen vegpontokra szamitasz, de ha esetleg mobil eszkozokkel hasznalod, en megfontolnam az aes128-at, sot, akar a 3des -t is - kevesse cpu intenziv, jot tesz az aksinak. Igen, android telefonok (is) + win 7/10 + linux strongswan kliens >nem teljesen ertem, hogy a rekey miert no. csak teszt kedvéért. >egy minta tolem, ami mukodik Köszi, letesztelem a mintát is. Ha nem ok, akkor fordítok egy "latest stable" buildet. Debiannál megszokott, hogy ezeréves, de általában teljesen jól működő agyontesztelt csomagjai vannak. Kicsit csodálkozom ezen a strongswan esetében, hogy ott látszólag nem így van. >mivel az elejen onnan indult a sztori, ha jol emlekszem, hogy a voip rtp nem megy, gondolom ahhoz reszeled a vpn-t, en egy fenti konfiggal probalkoznek, ahol left nyilvan az ipsec szervered publikus ip-je, leftsubnet az a privat (akar loopback) interfesz amit el kell erni a >vpn-en at, rightsubnet pedig az akinek a forgalma titkositasra kerul, azaz a halozat ahol a voip kliensek vannak. Így van meguntam az openvpn-t és lecserélem. A voip-os feladatra nem igazán ez a jó választás. Közeljövőben mikrotikkel is összehegeszteném a strongswant, ezzel szemben az openvpn támogatása a mikrotiknek egyszerűen borzalmas. >- miutan elerted a mukodest, ha _egy_ any -val sem mukodik, akkor johet a forrasbol forditas, mert akkor a bugba futottal Teszteltem fix ip-vel mindkét oldalon és ez lesz a baj. Jöhet a fordítás. ( már tegnap is sejtettem, hogy ilyesféle lesz a probléma gyökere) KÖSZÖNÖM! 2017. 08. 23. 23:10 keltezéssel, k...@mayten.sch.bme.hu írta: On 08/23/2017 20:42, Sándor Fehér wrote: /ipsec up ikev2-vpn/ unable to resolve %any, initiate aborted tried to check-in and delete nonexisting IKE_SA establishing connection 'ikev2-vpn' failed en forrasbol raktam, igy nem tudok nyilatkozni a debian repoban levorol. eppen azert raktam fel forrasbol, mert nekem rendkivul ellenszenves, ahogy peldaul a konfigokat kezelik, szemben a standard csomagbol forditottal. ha bugos a repoban levo, arra tehat nem en fogok rajonni, en is csak elhinnem amit az internet ir. oreg vagyok en mar ahhoz, hogy egy szimpla apache konfigot is symlinkelgessek szanaszet es 20 file-ban kelljen turkalni - en a forrasbol forditott dolgokban hiszek. a hibauzenet annyibol erdekes, hogy nem derul ki melyik oldalrol szarmazik. a szerverrol, onnan ahonnan a konfigot is masoltad? akkor nem trivialis, hogy a left vagy right oldalra panaszkodott. Nyilvan a leftnek nem kotelezo any-nek lennie, azt kicserelhetned az ismert cimre, akkor legalabb egyertelmu lenne, melyik oldallal van baja. de egyetertek abban, hogy az uzenet nem normalis, mivel nevfeloldasi hibanak tunik, noha ezt a specialis nevet eppen, hogy nem kellene nevfeloldania. Nem ismeri a konfigban a %any pedig ez kell az RW-hez. ertem en, hogy valtozik a cimed ahonnan a kapcsolatot teszteled, de csak a proba kedveert megcsinalnam a konfigot az aktualis ip cimre es megneznem, hogy amugy egyebkent mukodne-e, vagy az any-n kivul van-e meg mas baja is. vegigneztem a konfigot amit bemasoltal, par gondolat: latom, aes256-ot hasznalsz. ezt olvastad? https://www.schneier.com/blog/archives/2009/07/another_new_aes.html nem tudom milyen vegpontokra szamitasz, de ha esetleg mobil eszkozokkel hasznalod, en megfontolnam az aes128-at, sot, akar a 3des -t is - kevesse cpu intenziv, jot tesz az aksinak. ezzel parhuzamosan valoszinuleg az 1024-es kulcshosszt megemelnem 1536-ra - mivel ez csak phase 1-ben kerul hasznalatra, ritkabban terheli a cpu-t, de ugy tudom az 1024 bites kulcsok ma mar nem szamitanak kulonosebben biztonsagosnak. nalam auto=start van, azaz indulaskor betolti a konfigot es el is inditja, nalad csak betolti, de lehet, hogy van valami okod, hogy szandekosan kezzel akarod inditani - de ez csak kozmetikai kulonbseg. nem teljesen ertem, hogy a rekey miert no. rejtelyes
Re: [Techinfo] ipsec server linuxon
On 08/23/2017 20:42, Sándor Fehér wrote: /ipsec up ikev2-vpn/ unable to resolve %any, initiate aborted tried to check-in and delete nonexisting IKE_SA establishing connection 'ikev2-vpn' failed en forrasbol raktam, igy nem tudok nyilatkozni a debian repoban levorol. eppen azert raktam fel forrasbol, mert nekem rendkivul ellenszenves, ahogy peldaul a konfigokat kezelik, szemben a standard csomagbol forditottal. ha bugos a repoban levo, arra tehat nem en fogok rajonni, en is csak elhinnem amit az internet ir. oreg vagyok en mar ahhoz, hogy egy szimpla apache konfigot is symlinkelgessek szanaszet es 20 file-ban kelljen turkalni - en a forrasbol forditott dolgokban hiszek. a hibauzenet annyibol erdekes, hogy nem derul ki melyik oldalrol szarmazik. a szerverrol, onnan ahonnan a konfigot is masoltad? akkor nem trivialis, hogy a left vagy right oldalra panaszkodott. Nyilvan a leftnek nem kotelezo any-nek lennie, azt kicserelhetned az ismert cimre, akkor legalabb egyertelmu lenne, melyik oldallal van baja. de egyetertek abban, hogy az uzenet nem normalis, mivel nevfeloldasi hibanak tunik, noha ezt a specialis nevet eppen, hogy nem kellene nevfeloldania. Nem ismeri a konfigban a %any pedig ez kell az RW-hez. ertem en, hogy valtozik a cimed ahonnan a kapcsolatot teszteled, de csak a proba kedveert megcsinalnam a konfigot az aktualis ip cimre es megneznem, hogy amugy egyebkent mukodne-e, vagy az any-n kivul van-e meg mas baja is. vegigneztem a konfigot amit bemasoltal, par gondolat: latom, aes256-ot hasznalsz. ezt olvastad? https://www.schneier.com/blog/archives/2009/07/another_new_aes.html nem tudom milyen vegpontokra szamitasz, de ha esetleg mobil eszkozokkel hasznalod, en megfontolnam az aes128-at, sot, akar a 3des -t is - kevesse cpu intenziv, jot tesz az aksinak. ezzel parhuzamosan valoszinuleg az 1024-es kulcshosszt megemelnem 1536-ra - mivel ez csak phase 1-ben kerul hasznalatra, ritkabban terheli a cpu-t, de ugy tudom az 1024 bites kulcsok ma mar nem szamitanak kulonosebben biztonsagosnak. nalam auto=start van, azaz indulaskor betolti a konfigot es el is inditja, nalad csak betolti, de lehet, hogy van valami okod, hogy szandekosan kezzel akarod inditani - de ez csak kozmetikai kulonbseg. nem teljesen ertem, hogy a rekey miert no. rejtelyes hibak forrasa lehet, ami ilyen konfig mellett a tuloldaltol fugg, hogy elojon-e vagy sem. ha a tuloldalon is no van, akkor a lejaro kapcsolat parameterei nem lesznek ujraegyeztetve. de megint csak: nem tudok a hattersztorirol, lehet valami okod van ezt hasznalni. az sem teljesen vilagos, mi ertelme van left any-t allitani, majd leftid -t megadni, elegendo lenne left=ip cim is szerintem. mivel a rightid alapertelmezetten a right erteket veszi fel, ezt sem ertem miert duplaztad, es mivel pont az %any-rol szol a hibauzeneted, ezt a konfigban atirnam, mielott nekiesek forditani egyet forrasbol. egy minta tolem, ami mukodik egy cisco 877 routerrel, ami csak kvazi-roadwarrior, mivel a maga mogotti halozatot is lathatova teszi: conn %default ikelifetime = 1d keylife = 8h keyingtries = 20 keyexchange = ikev1 authby = secret ike = aes128-sha1-modp2048! esp = aes128-sha256! type = tunnel conn mjv-mira_to_core left = a.b.c.d leftfirewall = no leftsubnet = e.f.g.h/26 right = %any rightsubnet = i.j.k.l/26 ike = aes128-sha1-modp1536! esp = aes128-sha! auto = start mivel az elejen onnan indult a sztori, ha jol emlekszem, hogy a voip rtp nem megy, gondolom ahhoz reszeled a vpn-t, en egy fenti konfiggal probalkoznek, ahol left nyilvan az ipsec szervered publikus ip-je, leftsubnet az a privat (akar loopback) interfesz amit el kell erni a vpn-en at, rightsubnet pedig az akinek a forgalma titkositasra kerul, azaz a halozat ahol a voip kliensek vannak. mint latod en kisebb kulcsszammal csinaltam aes-t, elsosorban azert, mert a 877-es router egy eleg csoffadt darab, nem kell, hogy a cpu futse a szobat amiben van. valamint en csak ikev1-et hasznalok. igy a relevans reszeket modositva (pl. ikev2) a sajat esetedre egy mindenkepp jo konfigot kell kapj. azaz, ha - az any-kat ideiglenesen kiveve mukodik, akkor csak kozmetikai hibak vannak a konfigodban, ne foglalkozz a levelemmel - az any-kat ideiglenesen kiveve sem mukodik akkor egyertelmu hibauzenet lesz, mi a gond, javitsd - miutan elerted a mukodest, ha _egy_ any -val sem mukodik, akkor johet a forrasbol forditas, mert akkor a bugba futottal -- udv Adam ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] ipsec server linuxon
Szia Adam! Most jutottam el ide, hogy ezt teszteljem. Sorry még ez új nekem. Road warrior konfigot akarok, de hibaüzenetet kapok: /ipsec up ikev2-vpn/ unable to resolve %any, initiate aborted tried to check-in and delete nonexisting IKE_SA establishing connection 'ikev2-vpn' failed A környezet: Debian 8.4 amd64 és strongswan U5.2.1/K3.16.0-4-amd64 a repóból telepítve A google-n írnak hasonló BUG-ról. Nem ismeri a konfigban a %any pedig ez kell az RW-hez. Többféle (pl psk-s) konfignál ua a helyzet. Fordítsam saját magamnak a strongswant?? ipsec.conf: config setup charondebug="ike 1, knl 1, cfg 0" uniqueids=no conn ikev2-vpn auto=add compress=no type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes ike=aes256-sha1-modp1024,3des-sha1-modp1024! esp=aes256-sha1,3des-sha1! dpdaction=clear dpddelay=300s rekey=no left=%any leftid=195.199.x.x leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem leftsendcert=always leftsubnet=0.0.0.0/0 right=%any rightid=%any rightauth=eap-mschapv2 rightdns=8.8.8.8,8.8.4.4 rightsourceip=10.10.10.0/24 rightsendcert=never eap_identity=%identity 2017. 06. 20. 13:38 keltezéssel, k...@mayten.sch.bme.hu írta: On 2017-06-20 12:11, Fehér Sándor wrote: Kinek milyen szoftver vált be? Használtok ilyet? strongswan udv adam ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] ipsec server linuxon
Én OpenSwan-t használtam. W10, Andoroid 5-6-al teszteltem. Feladó: techinfo-boun...@lista.sulinet.hu <techinfo-boun...@lista.sulinet.hu>, meghatalmazó: Fehér Sándor <fehersan...@madach-starjan.sulinet.hu> Elküldve: 2017. június 20. 13:11:40 Címzett: Techinfo Tárgy: [Techinfo] ipsec server linuxon Sziasztok! L2TP/IPSEC megvalósítású vpn-t szeretnék csinálni linux (szerver) és android/windows (kliens) között. Utóbbinál jó volna, ha a natív androidos klienst tudnám használni. ún. roadwarrior megvalósítás érdekelne, ahol a kliens jöhet nat mögül is. Kinek milyen szoftver vált be? Használtok ilyet? megj: mikrotikkel próbáltam szerver oldalon, sajnos az nem teljesen stabil a fenti kliensekkel. ( a win szakadozik, az android kliens lassú>>> ellenben a mikrotik-mikrotik megvalósítás tökéletes) openvpn-t cserélném le. Köszi a tippeket! ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] ipsec server linuxon
Köszi, Adam! Szemeztem vele. (is) Próba ... 2017. 06. 20. 13:38 keltezéssel, k...@mayten.sch.bme.hu írta: On 2017-06-20 12:11, Fehér Sándor wrote: Kinek milyen szoftver vált be? Használtok ilyet? strongswan udv adam ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] ipsec server linuxon
On 2017-06-20 12:11, Fehér Sándor wrote: Kinek milyen szoftver vált be? Használtok ilyet? strongswan udv adam ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
[Techinfo] ipsec server linuxon
Sziasztok! L2TP/IPSEC megvalósítású vpn-t szeretnék csinálni linux (szerver) és android/windows (kliens) között. Utóbbinál jó volna, ha a natív androidos klienst tudnám használni. ún. roadwarrior megvalósítás érdekelne, ahol a kliens jöhet nat mögül is. Kinek milyen szoftver vált be? Használtok ilyet? megj: mikrotikkel próbáltam szerver oldalon, sajnos az nem teljesen stabil a fenti kliensekkel. ( a win szakadozik, az android kliens lassú>>> ellenben a mikrotik-mikrotik megvalósítás tökéletes) openvpn-t cserélném le. Köszi a tippeket! ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
