Nem jártam még utána, hogy hogyan lehet ellenőrizni. Illetve, hogy egyáltalán érintett-e az OpenWrt. Ha igen, akkor inkább az AA-s Samknows doboz, mint a LEDE. De most pontosan hogy van nálad? Az UPC-s modem router üzemmódban van? Ugyanis a Samknows eszköz nem NAT-ol, switch-ként működik.

Alex

Modem módban van a UPC eszköze. A SamKnows box WAN portjára csatlakozik.
A SamKnows doboz LAN portjáról van meghajtva a TP-Link WAN portja.
A TP-Link LAN (és Wifi) portjai a belső hálózat eszközeit szolgálja ki.
Csak a TP-Link NAT-ol, és a levélnek megfelelően 89.135.18.164 a WAN portjának IP címe.

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Sziasztok, tudna nekem valaki privátban segíteni, mielőtt felgyújtom az eszközeimet?

Zidoo X9S - t szeretném transmission funkcióra rábírni.
UPC-s net, + DLINK - DIR 842 router

(nem nagyon értek ezekhez a routeres témáhokhoz)

[ Szerkesztve ]

HELP: DHCP és StrongSwan IPSEC Ikev2 ugyanazon a szerveren nem megy(?)

Sajnos arra lettem figyelmes, hogy a már jó egy éve bejáratott VPN-em nem működik, pedig semmilyen változtatást nem hajtottam végre a konfigurációban.

A VPN szerver még mindig az Openwrt-s TP-Link, a gateway még mindig a Telekomos Speedport Entry 2i.
A valahogy így néz ki a hálózat:

Mit változtattam?
A Speedport helyett a TP-Link lett a DHCP szerver. Ha visszaállítom a Speedportot DHCP szervernek, minden működik, a VPN kliens tud csatlakozni a szerverhez, IP címet is kap a DHCP szerver Speedport által, Ha ismét a TP-Linket állítom be DHCP szervernek, akkor nem működik az egész. Pedig a helyi hálózaton keresztül csatlakoztatott eszközök kapnak IP-t a TP-Linktől, Internet is van, mivel a TP-Link DHCP szervere Gateway-nek az Speedport IP-jét (ami 192.168.1.4) adja a klienseknek nem a sajátját az 192.168.1.250-et.

Az IPsec jelenlegi konfigurációs fájljában az ipsec.conf-ban, ez van:

config setup
charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
#uniqueids=never
charondebug="cfg 2, dmn 2, ike 2, net 2"

conn %default
# Dead Peer Discovery
dpdaction=clear
dpddelay=300s

# Do not renegotiate a connection
#if it is about to expire
rekey=no

conn BASE

#Left server side
left=%any
leftfirewall=yes

leftcert=btzSERVER_CERT.pem
leftsubnet=0.0.0.0/0,::/0

#Right client side
#rightsendcert=never

right=%any
rightdns=8.8.8.8,8.8.4.4

rightsourceip=%dhcp #EZZEL A DHCPVEL LEHET CÍMET KAMPNI, EZZEL NEM MŰKÖDIK
#rightsourceip=192.168.1.90-192.168.1.96 #EZZEL MŰKÖDIK AKKOR IS HA A TPLINK A DHCP SZERVER


keyexchange=ikev2
auto=add

conn EAP0
also="BASE"
leftsendcert=always
#leftid=@btzdomainje.com
rightauth=eap-mschapv2
rightsendcert=never
eap_identity=%any

conn EAP1
also="BASE"
leftauth=pubkey
leftsendcert=always
rightauth=pubkey
rightauth2=eap-md5
eap_identity=%any

rightsourceip=%dhcp esetén csak akkor kap címet a VPN kliens, ha a Speedport a szerver.
rightsourceip=192.168.1.90-192.168.1.96 esetén kap címet a beállított tartományból 90 és 96 között.

Egyik fórum javaslatára a /etc/strongswan.d/charon/dhcp.conf fájlt az alábbiak szerint állítottam be:
dhcp {

# Always use the configured server address.
force_server_address = yes

# Derive user-defined MAC address from hash of IKE identity.
identity_lease = yes

# Interface name the plugin uses for address allocation.
interface = lan

# Whether to load the plugin. Can also be an integer to increase the
# priority of this plugin.
load = yes

# DHCP server unicast or broadcast IP address.
server = 192.168.1.255

}
Sajnos ezzel nem oldódott meg a probléma. A VPN kliens nem tud csatlakozni, továbbra sem.

ipsec statusall parancs kimenete

Status of IKE charon daemon (strongSwan 5.3.3, Linux 3.18.23, mips):
uptime: 6 minutes, since May 27 12:42:57 2018
malloc: sbrk 249856, mmap 0, used 246208, free 3648
worker threads: 9 of 16 idle, 7/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
loaded plugins: charon test-vectors ldap pkcs11 aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp agent xcbc cmac hmac ctr ccm gcm curl mysql sqlite attr kernel-netlink resolve socket-default farp stroke smp updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic xauth-eap whitelist led duplicheck uci addrblock unity
Listening IP addresses:
192.168.1.250
2001:(PRIVÁT ADAT)::1
2001:(PRIVÁT ADAT)::2
Connections:
BASE: %any...%any IKEv2, dpddelay=300s
BASE: local: [C=CA, O=btzdomainje.com, CN=btzdomainje.com] uses public key authentication
BASE: cert: "C=CA, O=btzdomainje.com, CN=btzdomainje.com"
BASE: remote: uses public key authentication
BASE: child: 0.0.0.0/0 ::/0 === dynamic TUNNEL, dpdaction=clear
EAP0: %any...%any IKEv2, dpddelay=300s
EAP0: local: [C=CA, O=btzdomainje.com, CN=btzdomainje.com] uses public key authentication
EAP0: cert: "C=CA, O=btzdomainje.com, CN=btzdomainje.com"
EAP0: remote: uses EAP_MSCHAPV2 authentication with EAP identity '%any'
EAP0: child: 0.0.0.0/0 ::/0 === dynamic TUNNEL, dpdaction=clear
EAP1: %any...%any IKEv2, dpddelay=300s
EAP1: local: [C=CA, O=btzdomainje.com, CN=btzdomainje.com] uses public key authentication
EAP1: cert: "C=CA, O=btzdomainje.com, CN=btzdomainje.com"
EAP1: remote: uses public key authentication
EAP1: remote: uses EAP_MD5 authentication with EAP identity '%any'
EAP1: child: 0.0.0.0/0 ::/0 === dynamic TUNNEL, dpdaction=clear
Security Associations (0 up, 0 connecting):
none

A kliensen ez található a logban:

May 27 12:55:29 00[DMN] Starting IKE charon daemon (strongSwan 5.6.1dr3, Android 7.0 - KOB-L09C100B252/2017-11-06, KOB-L09 - HUAWEI/KOB/HUAWEI, Linux 3.18.31-gd04fcee, aarch64)
May 27 12:55:29 00[LIB] loaded plugins: androidbridge charon android-log openssl fips-prf random nonce pubkey chapoly curve25519 pkcs1 pkcs8 pem xcbc hmac socket-default revocation eap-identity eap-mschapv2 eap-md5 eap-gtc eap-tls x509
May 27 12:55:29 00[JOB] spawning 16 worker threads
May 27 12:55:30 07[CFG] loaded user certificate 'C=CA, O=btzdomainje.com, CN=CLIENT@btzdomainje.com' and private key
May 27 12:55:30 07[CFG] loaded CA certificate 'C=CA, O=btzdomainje.com, CN=btzdomainje.com Root btzCA'
May 27 12:55:30 07[IKE] initiating IKE_SA android[1] to 78.XXX.XXX.XXX (Privát adat)
May 27 12:55:30 07[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
May 27 12:55:30 07[NET] sending packet: from 192.168.1.232[42519] to 78.XXX.XXX.XXX (Privát adat)[500] (704 bytes)
May 27 12:55:30 10[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[500] to 192.168.1.232[42519] (38 bytes)
May 27 12:55:30 10[ENC] parsed IKE_SA_INIT response 0 [ N(INVAL_KE) ]
May 27 12:55:30 10[IKE] peer didn't accept DH group ECP_256, it requested MODP_2048
May 27 12:55:30 10[IKE] initiating IKE_SA android[1] to 78.XXX.XXX.XXX (Privát adat)
May 27 12:55:30 10[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
May 27 12:55:30 10[NET] sending packet: from 192.168.1.232[42519] to 78.XXX.XXX.XXX (Privát adat)[500] (896 bytes)
May 27 12:55:31 11[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[500] to 192.168.1.232[42519] (481 bytes)
May 27 12:55:31 11[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(MULT_AUTH) ]
May 27 12:55:31 11[IKE] local host is behind NAT, sending keep alives
May 27 12:55:31 11[IKE] remote host is behind NAT
May 27 12:55:31 11[IKE] received cert request for "C=CA, O=btzdomainje.com, CN=btzdomainje.com Root btzCA"
May 27 12:55:31 11[IKE] sending cert request for "C=CA, O=btzdomainje.com, CN=btzdomainje.com Root btzCA"
May 27 12:55:31 11[IKE] authentication of 'C=CA, O=btzdomainje.com, CN=CLIENT@btzdomainje.com' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful
May 27 12:55:31 11[IKE] sending end entity cert "C=CA, O=btzdomainje.com, CN=CLIENT@btzdomainje.com"
May 27 12:55:31 11[IKE] establishing CHILD_SA android{1}
May 27 12:55:31 11[ENC] generating IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) N(AUTH_FOLLOWS) ]
May 27 12:55:31 11[NET] sending packet: from 192.168.1.232[33004] to 78.XXX.XXX.XXX (Privát adat)[4500] (2044 bytes)
May 27 12:55:31 12[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[4500] to 192.168.1.232[33004] (1580 bytes)
May 27 12:55:31 12[ENC] parsed IKE_AUTH response 1 [ IDr CERT AUTH ]
May 27 12:55:31 12[IKE] received end entity cert "C=CA, O=btzdomainje.com, CN=btzdomainje.com"
May 27 12:55:31 12[CFG] using certificate "C=CA, O=btzdomainje.com, CN=btzdomainje.com"
May 27 12:55:31 12[CFG] using trusted ca certificate "C=CA, O=btzdomainje.com, CN=btzdomainje.com Root btzCA"
May 27 12:55:31 12[CFG] checking certificate status of "C=CA, O=btzdomainje.com, CN=btzdomainje.com"
May 27 12:55:31 12[CFG] certificate status is not available
May 27 12:55:31 12[CFG] reached self-signed root ca with a path length of 0
May 27 12:55:31 12[IKE] authentication of 'C=CA, O=btzdomainje.com, CN=btzdomainje.com' with RSA_EMSA_PKCS1_SHA2_256 successful
May 27 12:55:31 12[ENC] generating IKE_AUTH request 2 [ IDi ]
May 27 12:55:31 12[NET] sending packet: from 192.168.1.232[33004] to 78.XXX.XXX.XXX (Privát adat)[4500] (76 bytes)
May 27 12:55:31 13[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[4500] to 192.168.1.232[33004] (76 bytes)
May 27 12:55:31 13[ENC] parsed IKE_AUTH response 2 [ EAP/REQ/ID ]
May 27 12:55:31 13[IKE] server requested EAP_IDENTITY (id 0x00), sending 'btz'
May 27 12:55:31 13[ENC] generating IKE_AUTH request 3 [ EAP/RES/ID ]
May 27 12:55:31 13[NET] sending packet: from 192.168.1.232[33004] to 78.XXX.XXX.XXX (Privát adat)[4500] (76 bytes)
May 27 12:55:31 14[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[4500] to 192.168.1.232[33004] (92 bytes)
May 27 12:55:31 14[ENC] parsed IKE_AUTH response 3 [ EAP/REQ/MD5 ]
May 27 12:55:31 14[IKE] server requested EAP_MD5 authentication (id 0xCA)
May 27 12:55:31 14[ENC] generating IKE_AUTH request 4 [ EAP/RES/MD5 ]
May 27 12:55:31 14[NET] sending packet: from 192.168.1.232[33004] to 78.XXX.XXX.XXX (Privát adat)[4500] (92 bytes)
May 27 12:55:31 15[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[4500] to 192.168.1.232[33004] (76 bytes)
May 27 12:55:31 15[ENC] parsed IKE_AUTH response 4 [ EAP/SUCC ]
May 27 12:55:31 15[IKE] EAP method EAP_MD5 succeeded, no MSK established
May 27 12:55:31 15[IKE] authentication of 'btz' (myself) with EAP
May 27 12:55:31 15[ENC] generating IKE_AUTH request 5 [ AUTH ]
May 27 12:55:31 15[NET] sending packet: from 192.168.1.232[33004] to 78.XXX.XXX.XXX (Privát adat)[4500] (92 bytes)
May 27 12:55:31 16[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[4500] to 192.168.1.232[33004] (156 bytes)
May 27 12:55:31 16[ENC] parsed IKE_AUTH response 5 [ AUTH N(MOBIKE_SUP) N(ADD_6_ADDR) N(ADD_6_ADDR) N(INT_ADDR_FAIL) ]
May 27 12:55:31 16[IKE] authentication of 'C=CA, O=btzdomainje.com, CN=btzdomainje.com' with EAP successful
May 27 12:55:31 16[IKE] IKE_SA android[1] established between 192.168.1.232[btz]...78.XXX.XXX.XXX (Privát adat)[C=CA, O=btzdomainje.com, CN=btzdomainje.com]
May 27 12:55:31 16[IKE] scheduling rekeying in 35754s
May 27 12:55:31 16[IKE] maximum IKE_SA lifetime 36354s
May 27 12:55:31 16[IKE] received INTERNAL_ADDRESS_FAILURE notify, no CHILD_SA built
May 27 12:55:31 16[IKE] closing IKE_SA due CHILD_SA setup failure
May 27 12:55:31 16[IKE] peer supports MOBIKE
May 27 12:55:31 09[IKE] deleting IKE_SA android[1] between 192.168.1.232[btz]...78.XXX.XXX.XXX (Privát adat)[C=CA, O=btzdomainje.com, CN=btzdomainje.com]
May 27 12:55:31 09[IKE] sending DELETE for IKE_SA android[1]
May 27 12:55:31 09[ENC] generating INFORMATIONAL request 6 [ D ]
May 27 12:55:31 09[NET] sending packet: from 192.168.1.232[33004] to 78.XXX.XXX.XXX (Privát adat)[4500] (76 bytes)
May 27 12:55:31 08[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[4500] to 192.168.1.232[33004] (76 bytes)
May 27 12:55:31 08[ENC] parsed INFORMATIONAL response 6 [ ]
May 27 12:55:31 08[IKE] IKE_SA deleted

A szerver logban pedig ez:
20180527124254 00[DMN] signal of type SIGINT received. Shutting down
20180527124257 00[DMN] Starting IKE charon daemon (strongSwan 5.3.3, Linux 3.18.23, mips)
20180527124257 00[LIB] curl SSL backend 'PolarSSL/1.3.14' not supported, https:// disabled
20180527124257 00[CFG] disabling load-tester plugin, not configured
20180527124257 00[LIB] plugin 'load-tester': failed to load - load_tester_plugin_create returned NULL
20180527124257 00[CFG] attr-sql plugin: database URI not set
20180527124257 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
20180527124257 00[CFG] loaded ca certificate "C=CA, O=btzdomainje.com, CN=btzdomainje.com Root btzCA" from '/etc/ipsec.d/cacerts/btzCA_CERT.pem'
20180527124257 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
20180527124257 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
20180527124257 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
20180527124257 00[CFG] loading crls from '/etc/ipsec.d/crls'
20180527124257 00[CFG] loading secrets from '/etc/ipsec.secrets'
20180527124257 00[CFG] loaded RSA private key from '/etc/ipsec.d/private/btzSERVER_KEY.pem'
20180527124258 00[CFG] loaded RSA private key from '/etc/ipsec.d/private/btzCLIENT_KEY.pem'
20180527124258 00[CFG] loaded EAP secret for btz
20180527124258 00[CFG] sql plugin: database URI not set
20180527124258 00[CFG] loaded 0 RADIUS server configurations
20180527124258 00[CFG] binding DHCP socket to 'lan' failed: No such device
20180527124258 00[CFG] HA config misses local/remote address
20180527124258 00[CFG] coupling file path unspecified
20180527124258 00[LIB] loaded plugins: charon test-vectors ldap pkcs11 aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp agent xcbc cmac hmac ctr ccm gcm curl mysql sqlite attr kernel-netlink resolve socket-default farp stroke smp updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic xauth-eap whitelist led duplicheck uci addrblock unity
20180527124258 00[JOB] spawning 16 worker threads
20180527124258 10[CFG] received stroke: add connection 'BASE'
20180527124258 10[CFG] loaded certificate "C=CA, O=btzdomainje.com, CN=btzdomainje.com" from 'btzSERVER_CERT.pem'
20180527124258 10[CFG] id '%any' not confirmed by certificate, defaulting to 'C=CA, O=btzdomainje.com, CN=btzdomainje.com'
20180527124258 10[CFG] added configuration 'BASE'
20180527124258 11[CFG] received stroke: add connection 'EAP0'
20180527124258 11[CFG] loaded certificate "C=CA, O=btzdomainje.com, CN=btzdomainje.com" from 'btzSERVER_CERT.pem'
20180527124258 11[CFG] id '%any' not confirmed by certificate, defaulting to 'C=CA, O=btzdomainje.com, CN=btzdomainje.com'
20180527124258 11[CFG] added configuration 'EAP0'
20180527124258 06[CFG] received stroke: add connection 'EAP1'
20180527124258 06[CFG] loaded certificate "C=CA, O=btzdomainje.com, CN=btzdomainje.com" from 'btzSERVER_CERT.pem'
20180527124258 06[CFG] id '%any' not confirmed by certificate, defaulting to 'C=CA, O=btzdomainje.com, CN=btzdomainje.com'
20180527124258 06[CFG] added configuration 'EAP1'
20180527125529 14[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[42519] to 192.168.1.250[500] (704 bytes)
20180527125529 14[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
20180527125529 14[IKE] 78.XXX.XXX.XXX (Privát adat) is initiating an IKE_SA
20180527125529 14[IKE] local host is behind NAT, sending keep alives
20180527125529 14[IKE] remote host is behind NAT
20180527125529 14[IKE] DH group ECP_256 inacceptable, requesting MODP_2048
20180527125529 14[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
20180527125529 14[NET] sending packet: from 192.168.1.250[500] to 78.XXX.XXX.XXX (Privát adat)[42519] (38 bytes)
20180527125529 06[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[42519] to 192.168.1.250[500] (896 bytes)
20180527125529 06[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
20180527125529 06[IKE] 78.XXX.XXX.XXX (Privát adat) is initiating an IKE_SA
20180527125530 06[IKE] local host is behind NAT, sending keep alives
20180527125530 06[IKE] remote host is behind NAT
20180527125530 06[IKE] sending cert request for "C=CA, O=btzdomainje.com, CN=btzdomainje.com Root btzCA"
20180527125530 06[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(MULT_AUTH) ]
20180527125530 06[NET] sending packet: from 192.168.1.250[500] to 78.XXX.XXX.XXX (Privát adat)[42519] (481 bytes)
20180527125530 11[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[33004] to 192.168.1.250[4500] (2044 bytes)
20180527125530 11[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ AUTH CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) N(AUTH_FOLLOWS) ]
20180527125530 11[IKE] received cert request for "C=CA, O=btzdomainje.com, CN=btzdomainje.com Root btzCA"
20180527125530 11[IKE] received end entity cert "C=CA, O=btzdomainje.com, CN=CLIENT@btzdomainje.com"
20180527125530 11[CFG] looking for peer configs matching 192.168.1.250[%any]...78.XXX.XXX.XXX (Privát adat)[C=CA, O=btzdomainje.com, CN=CLIENT@btzdomainje.com]
20180527125530 11[CFG] selected peer config 'BASE'
20180527125530 11[CFG] using certificate "C=CA, O=btzdomainje.com, CN=CLIENT@btzdomainje.com"
20180527125530 11[CFG] using trusted ca certificate "C=CA, O=btzdomainje.com, CN=btzdomainje.com Root btzCA"
20180527125530 11[CFG] checking certificate status of "C=CA, O=btzdomainje.com, CN=CLIENT@btzdomainje.com"
20180527125530 11[CFG] certificate status is not available
20180527125530 11[CFG] reached self-signed root ca with a path length of 0
20180527125531 11[IKE] authentication of 'C=CA, O=btzdomainje.com, CN=CLIENT@btzdomainje.com' with RSA_EMSA_PKCS1_SHA256 successful
20180527125531 11[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
20180527125531 11[IKE] peer supports MOBIKE
20180527125531 11[IKE] authentication of 'C=CA, O=btzdomainje.com, CN=btzdomainje.com' (myself) with RSA_EMSA_PKCS1_SHA256 successful
20180527125531 11[IKE] sending end entity cert "C=CA, O=btzdomainje.com, CN=btzdomainje.com"
20180527125531 11[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH ]
20180527125531 11[NET] sending packet: from 192.168.1.250[4500] to 78.XXX.XXX.XXX (Privát adat)[33004] (1580 bytes)
20180527125531 05[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[33004] to 192.168.1.250[4500] (76 bytes)
20180527125531 05[ENC] parsed IKE_AUTH request 2 [ IDi ]
20180527125531 05[IKE] peer requested EAP, config inacceptable
20180527125531 05[CFG] switching to peer config 'EAP0'
20180527125531 05[CFG] constraint check failed: EAP identity '%any' required
20180527125531 05[CFG] selected peer config 'EAP0' inacceptable: non-matching authentication done
20180527125531 05[CFG] switching to peer config 'EAP1'
20180527125531 05[IKE] initiating EAP_IDENTITY method (id 0x00)
20180527125531 05[ENC] generating IKE_AUTH response 2 [ EAP/REQ/ID ]
20180527125531 05[NET] sending packet: from 192.168.1.250[4500] to 78.XXX.XXX.XXX (Privát adat)[33004] (76 bytes)
20180527125531 04[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[33004] to 192.168.1.250[4500] (76 bytes)
20180527125531 04[ENC] parsed IKE_AUTH request 3 [ EAP/RES/ID ]
20180527125531 04[IKE] received EAP identity 'btz'
20180527125531 04[IKE] initiating EAP_MD5 method (id 0xCA)
20180527125531 04[ENC] generating IKE_AUTH response 3 [ EAP/REQ/MD5 ]
20180527125531 04[NET] sending packet: from 192.168.1.250[4500] to 78.XXX.XXX.XXX (Privát adat)[33004] (92 bytes)
20180527125531 03[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[33004] to 192.168.1.250[4500] (92 bytes)
20180527125531 03[ENC] parsed IKE_AUTH request 4 [ EAP/RES/MD5 ]
20180527125531 03[IKE] EAP method EAP_MD5 succeeded, no MSK established
20180527125531 03[ENC] generating IKE_AUTH response 4 [ EAP/SUCC ]
20180527125531 03[NET] sending packet: from 192.168.1.250[4500] to 78.XXX.XXX.XXX (Privát adat)[33004] (76 bytes)
20180527125531 02[NET] received packet: from 78.XXX.XXX.XXX (Privát adat)[33004] to 192.168.1.250[4500] (92 bytes)
20180527125531 02[ENC] parsed IKE_AUTH request 5 [ AUTH ]
20180527125531 02[IKE] authentication of 'btz' with EAP successful

Várom az ötleteket, hogyan működhetne úgy a rendszer, hogy a DHCP szerver továbbra is a TP-Link marad, az IPSEC pedig továbbra is a DHCP-vel működik, tehát a rightsourceip=%dhcp beállításal.

ⓑⓣⓩ

Rákérdeztem, hogy hogyan lehet észrevenni, de csak ezt írták:
VPNFilter Malware észlelés központilag történt, a lenti lépésekkel tudja a fertőzést megszüntetni. Természetesen ha nincs frissebb szoftver/firmware akkor az a lépés kihagyandó.

VPNFilter malware eltávolítása lépésről lépésre:

1. Csatlakoztassa le az eszközét a hálózatról.
2. Végezzen el egy gyári értékekre való visszaállítást az eszközén (gyári értékekre való visszaállítás esetén az eszközén lévő beállítások elvesznek!).
3. Változtassa meg az Admin jelszót.
4. Frissítse az eszközön lévő Szoftvert és Firmwaret.
5. Az eszközön lévő aktív funkcióknál változtassa meg az alap jelszót.

Ha csak mac szűrés lett volna, akkor többen kaptak volna ilyen levelet. Viszont akkor hiába resetelem az eszközt, ugyanúgy visszamászhat rá a fertőzés. Ezen csak az segíthet, ha visszakapcsolom a szolgáltató eszközét router módba, vagy új eszközt veszek, hátha az biztonságos(abb).

Amúgy ezek közül melyik lehet a hunyó?
PID USER VSZ STAT COMMAND
1 root 1532 S /sbin/procd
2 root 0 SW [kthreadd]
3 root 0 SW [ksoftirqd/0]
5 root 0 SW< [kworker/0:0H]
68 root 0 SW< [writeback]
69 root 0 SW< [crypto]
71 root 0 SW< [bioset]
72 root 0 SW< [kblockd]
101 root 0 SW [kworker/0:1]
108 root 0 SW [kswapd0]
161 root 0 SW [fsnotify_mark]
170 root 0 SW [spi0]
204 root 0 SW< [bioset]
209 root 0 SW< [bioset]
214 root 0 SW< [bioset]
219 root 0 SW< [bioset]
224 root 0 SW< [bioset]
229 root 0 SW< [bioset]
295 root 0 SW< [ipv6_addrconf]
311 root 0 SW< [deferwq]
313 root 0 SW< [kworker/0:1H]
344 root 0 SW [kworker/0:2]
375 root 0 SWN [jffs2_gcd_mtd3]
435 root 1176 S /sbin/ubusd
436 root 892 S /sbin/askfirst /usr/libexec/login.sh
450 root 0 SW [kworker/u2:0]
503 root 0 SW< [cfg80211]
613 root 1260 S /sbin/logd -S 64
622 root 1440 S /sbin/rpcd
669 root 1700 S /sbin/netifd
695 root 1416 S /usr/sbin/odhcpd
812 root 1056 S /usr/sbin/dropbear -F -P /var/run/dropbear.1.pid -p
887 root 1184 S udhcpc -p /var/run/udhcpc-eth1.pid -s /lib/netifd/dh
890 root 1016 S odhcp6c -s /lib/netifd/dhcpv6.script -P0 -t120 eth1
914 root 1536 S /usr/sbin/uhttpd -f -h /www -r LEDE -x /cgi-bin -u /
1043 root 1684 S /usr/sbin/hostapd -s -P /var/run/wifi-phy0.pid -B /v
1075 root 1188 S < /usr/sbin/ntpd -n -N -S /usr/sbin/ntpd-hotplug -p 0.
1110 dnsmasq 1080 S /usr/sbin/dnsmasq -C /var/etc/dnsmasq.conf.cfg02411c
7253 root 0 SW [kworker/u2:1]
9907 root 1124 S /usr/sbin/dropbear -F -P /var/run/dropbear.1.pid -p
9908 root 1188 S -ash
9917 root 1184 R ps

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Valahogy nem hiszek ennek. Egy LEDE alatt jóval újabb software verziók vannak, mint bármelyik router gyári firmware-jában...
Egyébként sem hinném, hogy alap jelszót használsz, ráadásul OpenWrt/LEDE alatt a felhasználó név sem admin...

Alex

Helló!
A másik tp-link, a SamKnows mérődoboz nem lehet fertőzött? Nem ismerem a szoftvert, de nekem az gyanúsabb, mint a lede-s router.

*** Ha egy probléma megoldódik, akkor kérjük a megoldást is leírni, nem csak annyit, hogy "megoldódott"! *** Hosszú log-ok esetén külső oldal ajánlott mindenki lelki békéjének megőrzése céljából! https://pastebin.com ***

Ezt már én is írtam a kollégának. Én továbbra is azon az állásponton vagyok, hogy egyszerűen MAC cím (és esetleg nyitott 80-as port) alapján mondják ezt. Kerestem, de sajnos nem találtam semmit, hogy hogyan lehetne ellenőrizni, hogy egy eszköz valóban fertőzött-e.

Alex

Tudtommal nincs nyitva a 80-as port(sem).

Abban tudnátok segíteni, hogy megfogalmaztok egy angol nyelvű levelet a SamKnows-nak, hogy a szolgáltató szerint fertzőzött vagyok, és nézzenek rá a dobozomra, hogy nem-e azon van a fertőzés?

Köszi!

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Közben megkérdeztem a cert.hu-n, hátha. Pár órán belül jött egy szűkszavú válasz:
A sérülékenységgel érintett termékek jelenlegi listája:
 Linksys E2500;
 Linksys WRVS4400N;
 Mikrotik RouterOS for Cloud Core Routers-t futtató eszközön (1016-os, 1036-os és
1072-es verzió);
 Netgear DGN2200;
 Netgear R6400;
 Netgear R7000;
 Netgear R8000;
 Netgear WNR1000;
 Netgear WNR2000;
 QNAP TS251;
 QNAP TS439 Pro;
 Minden olyan QNAP NAS amely a QTS vezérlőszoftvert futtatja;
 TP-Link R600VPN.

Szóval valószínűleg tiszta vagyok

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Itt van egy fórum bejegyzés róla.

Köszi!

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Sziasztok! Olyan problémám lenne, hogy be van állítva egy időtartomány a gyerekeknek, hogy mettől meddig használhatják a wifit. Azonban észrevettem, hogy az adott időszakban nem kapcsol ki és be. Nézem mi lehet a probléma és akkor látom, hogy egyik wifit sem tudom / dual band / manuálisan lekapcsolni. Egyszerűen nem csinál semmit ha ki szeretném kapcsolni. Már csináltam teljes újraindítást és áramtalanítást is. Mi lehet a probléma? LEDE van fenn.

Elég csak az internet tiltása, vagy a teljes belső hálót is elérhetetlenné szeretnéd tenni. Ha elég a net tiltás, akkor inkább tiltsd le egyszerűen egy tűzfal szabállyal valahogy így:
iptables -I forwarding_rule -m comment --comment "Shut off internet access for..." -p tcp -m mac --mac-source 11:11:11:11:11:11 -m time --utc --timestart 19:30 --timestop 05:00 -j REJECT
Természetesen a megfelelő MAC-et és az időlimiteket átállítva.

Gyanús hogy tele a flash, és ilyenkor semmilyen változtatást nem tudsz elmenteni. Vagy nézd meg a System/software alatt a szabad helyet, vagy próbálj meg valami mást is állítani.
Ha igazam van, akkor a tűzfalat sem tudod állítható.... Még egyébként ez nem normális dolog, szóval rendbe kell rakni.....flash pucolas kézzel (/overlay mappa), vagy factoryreset.
Ha torrentek, akkor valszeg az pakolta tele...

Sziasztok,
Archer C5-re (TpLinkArcher | suste@OpenWrt Barrier Breaker 14.07)
rádugom LAN portra a telekomtol kapott routert, tehát gyakorlatilag csak csatlakozási pontnak használnám...
Futtatok egy speedtestet és 100mbitre korlátoz. Ha router helyett notival próbálom a véget 950mbit.
Erre van valakinek valami magyarázata, megoldása?
Előre is köszi a segítséget.

Szia!

Kábelek rendben vannak? Az Archer C5-öt használod switch-nek?

Alex

igen, gyakorlatilag egy switch. Lan/ Protokoll/ -DHCP ügyfél.
Kábelek rendben. Most annyi történt hogy ujraindítottam és úgy néz ki rendben jött :/
[link]
Rendszer / {mentés/firmware frissités} / {Alapértelmezések visszaállítása} / {visszaállítás végrehajtása}
Itt pontosan mire állítja vissza? Konkrétan azt amit anno felpakoltam rá?
Vagy valamiket még jobban lenulláz?
Lehet érdemes lenne újra konfigolnom...

Köszönöm Urak! Úgy néz ki, hogy tényleg tele a flash, mert a System/software alatt teljesen elfogyott a teljes hely. Megnéztem az overlay mappát és két könyvtár van benne: upper és work. A work - ben még egy work van ami üres, de az upper az tele van különböző könyvtárakkal, csak nem tudom mit szabad onnan törölnöm és mit nem. / bin, etc, lib, mnt, root, sbin, share, torrent, usr, www_suste / Rájöttem mit kell törölni a torrentbe pakolt, most már jó a wifi. Köszönöm még egyszer!

[ Szerkesztve ]

Sziasztok. Van egy wnd4300 openwrt-vel, és resetelni kellene! Van valami bevett módja neki? Csak egy szűz openwrt induljon, az a lényeg,a beállitásokat törölje!

...mint az közismert...

Úgy tűnik, a hátsó wps/reset gombra nem reagál pozitívan.

...mint az közismert...

bekapcsolod, amikor felvillan a Sys LED ( balról a második) egy másodpercig nyomod a wps/reset gombot, ezután nemsokkal a Sys LED-nek folyamatosan gyorsan kell villognia

próbálkozni kell, ha nem megy elsőre

ekkor van failsafe módban, 192.168.1.1-en eléred ssh-n, belépve kiadod a firstboot parancsot, majd reboot

öööö....
Anyámnál van a termék, nem hinném, hogy boldogul vele
Azért köszi!

...mint az közismert...

De, mert akkor remélhetőleg átengedné magán a netet, és teamviewerrel tudnám már konfogolni.
Csak nem tudom, mit, hagyhattam benne, ami miatt nem teszi ezt most meg.
WANporta jön a telekomos Speedport 2i, és az egyik LAN-on meg a gép. Eddig is dhcp-n volt a 4300 WAN-ja, szóval nem értem, miért nem mén most.
Esetleg, ha erre lenne okos ötlet, az is jól jöhet!

...mint az közismert...

akkor nincs ott net?
gondolom minden lett már áramtalanítva?
esetleg hibás wan vagy lan port? rossz helyre dugott kábel, kiszakadt ér? ledek világítanak?

[ Szerkesztve ]

Ha esetleg még kellene infó: [link]

De röviden annyi a lényeg, hogy újraindítással nem lehet a backdoor-t eltávolítani amit rátelepítettek (tehát könnyen újrafertőződhetnek). Rá kell tölteni újra az FW-t.

"What is Linux? I only joined because of the the penguin..." - meanwhile in the linux community. http://9gag.com/gag/arpZGOy

Ez tisztára olyan mint a lottó főnyeremény. Mindenki beszél róla, de még senki nem látta. Pl. nincs egyértelmű mód a beazonosítására, csak pár eszközről lehet tudni, hogy fertőzhető.
De!
Hiába teszem fel ugyanazt a fw-t (mivel nincs frissebb), azt ugyanúgy visszafertőzhetik. Mindenesetre feltettem a lede-17.01.4-ar71xx-generic-tl-wr741nd-v2-squashfs-sysupgrade.bin-t, mondván ártani nem árt.

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Sajnos nem. Amikor rákérdeztem, akkor is csak annyit írtak, hogy "központilag észlelték". Rákérdezek harmadszor is, de nem hiszem hogy valódi választ fogok kapni tőlük.

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Ezt írtam: Azért furcsállom a dolgot, mert nem rendelkezem a fertőzéssel összekapcsolható (a sajtóban felsorolt) eszközök egyikével sem. Adódik a kérdés, hogy pontosan hogyan észlelték a fertőzést? Mi alapján azonosították be az eszközömet?

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

FBI átvette a domaint, és megnézte, hogy melyik IP címekről kapcsolódnak. Majd értesítették az adott internetszolgáltatót, akihez az IP cím tartozik. (utolsó bekezdés)

A te esetedben például az is lehet, hogy az eszközöd egy olyan IP címet kapott a szolgáltatódtól, ami korábban egy fertőzött eszközhöz tartozott.

[ Szerkesztve ]

"What is Linux? I only joined because of the the penguin..." - meanwhile in the linux community. http://9gag.com/gag/arpZGOy

Azért a szolgáltató tudja, hogy a kérdéses IP az adott pillanatban kié volt...

Alex

Már újra húztam, szóval mindegy, de a LEDE alapból naplózza, hogy mikor kapott új IP címet a WAN porton?
Ha igen, akkor merre kell keresni?

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Sziasztok!

Ide lettem átirányítva az alábbi kérdéssel, melyben segítségeteket kérném:

Van egy Tp-link WR841 V9 vagy egy MR3220 V2, amivel azt kellene megoldani, hogy külföldről torrentezhessek olyan módon, hogy a swarm csak a hazai IP-met láthassa biztonsági okokból (bár a komoly linux isoknál persze nem lenne gond amúgy sem természetesen, csak mégis, jobb az óvatosság ). Valami proxy okosság egy OpenWRT/DD-WRT-s firmware-el az elég ehhez? A VPN az akár túlkapás lenne ezen helyzetben gondolom akár. 20-30 Mbit/s-el használnám, annyi anyámék feltöltése (náluk lenne Magyarországon a router), nekem annyi elég letöltésnek, az talűn nem nagy igény és házilag mehetne ezen routerek valamelyikével.

Melyiket használnátok a kettő közül? Biztonságos és stabil lehetne-e ez a megoldás/bevett módszer-e ez?

Köszönöm

[ Szerkesztve ]

A log a RAM-ban van, alapból 16 KB. Külön nem tárol az IP váltásokról, az is a log része.
Viszont a DHCP működéséből fakadóan legfeljebb újraindulás után kaphatsz új IP-t. (Persze előfordulhat elméletben a váltás, ha pl. a szolgáltató újraindítja a DHCP szerverét egy másik tartománnyal.)

Alex

Fél óránként ez van a logban:
daemon.notice netifd: wan (1059): udhcpc: sending renew
daemon.notice netifd: wan (1059): udhcpc: lease of 89.135.18.164 obtained, lease time 3600

Szóval még mindég azt a "fertőzött" IP-t kapom. Mivel ennyire ragaszkodik hozzám, ez elég régóta az enyém lehet.

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Sziasztok!

DLink 860L routeremen openwrt van, és valamit elbabráltam a lan beállításoknál, és nem tudom elfeledtetni vele.
Így most nincs netem.
Flash-eltem rá új verziót, de még mindig emlékszik a rossz beállításomra szerintem.
Amikor beírom a 192.168.1.1 címet, akkor egy pillanatra felvillan az a szöveg a bal felsö sarokban, utána connection refused üzenet vár.

A reset gomb eddig nem segített: kikapcs -> reset lenyom -> bekapcs -> amikor lassan villog a led, gomb elenged.
A recovery okés, de a login-ig nem jutok el.

Milyen trükköt nem sikerült neten megtalálnom?

[ Szerkesztve ]

Eladó régi hardverek: https://hardverapro.hu/apro/sok_regi_kutyu/friss.html

Kap a géped ip-t (mit)?

Gyurka

Persze, hogy ez van fél óránként, hiszen, mint láthatod, 3600 másodperc a lease time. Azért írtam, hogy a DHCP működéséből adódóan, ha nem kapcsolod ki az eszközt, ez nem fog változni, mert a routered a lease time felénél küld erre az IP-re egy renew-t, azaz ismét megkapja 1 órára. Majd így megy egészen addig, amíg egyszer kikapcsolod 1 órára. Persze, még akkor is megvan az esély, hogy ugyan ezt kapod vissza. Biztosan másikat akkor kapsz, ha módosítod a MAC címed.

Alex

Ha beállítások megtartása nélkül flash-elted, akkor olyan nincs, hogy megtartja. Ha pedig azzal együtt, akkor ez a normális. Esetleg próbáld meg privát módban, hátha a böngésződ cache-olt valamit...

De alapból van reset OpenWrt alatt. Működés közben 5 másodpercnél hosszabb ideig nyomd a reset gombot.

Alex

Hogy kell a beállítások megtartása nélkül flashelni?

Nálam az van, hogy a 192.168.0.1 címen feltöltöm a firmware-t, mondja, higy a webszerver újraindul és utána fog flashelni, és várjak sok mp-et, de amikor a letelik, újratölti az oldalt és akkor már hibára fut. És minden marad a régiben.
Sehol nincs opció, hogy beállítások megtartása.

Eladó régi hardverek: https://hardverapro.hu/apro/sok_regi_kutyu/friss.html

Közben megoldottam, rossz FW-t raktam fel.

Hogy állítom be, hogy egy-egy MAC address-hez mindig ugyanazt az IP-t adja?

Eladó régi hardverek: https://hardverapro.hu/apro/sok_regi_kutyu/friss.html

Network - DHCP & DNS oldal alján a Static leases group.

Alex

Köszi szépen!

Eladó régi hardverek: https://hardverapro.hu/apro/sok_regi_kutyu/friss.html

Sziasztok!

Mostanában nem megy nekem ez az openwrt-zés.
Valami miatt nem tudom a wifit működésre bírni.

A multkori szenvedés óta nem is néztem meg, hogy megy-e a wifi, vaszeg azóta nem.

Belül ez van:

Eladó régi hardverek: https://hardverapro.hu/apro/sok_regi_kutyu/friss.html

Szia!

Nem Padavan-ról váltottál? Ha igen, akkor visszaállítottad a partíció mentéseket?

Alex