Keresés: - [Re:] [btz:] Virtuális Magán Hálózat (VPN) szerver IPSec IKEv2 Strongswan alapokon

Hirdetés

Legfrissebb anyagok

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Keresés

Új hozzászólás Aktív témák

#17 btz addikt btz #16

Új Válasz 2017-08-17 22:59:13 #17
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

btz

addikt

válasz btz #16 üzenetére

...és akkor az előző konfig ipv6-os változata.
Ezzel már kap IPv6-os IP címet a kliens
config setup
#charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
#uniqueids=never
charondebug="cfg 2, dmn 2, ike 2, net 2"
conn %default # Dead Peer Discovery dpdaction=clear dpddelay=300s # Do not renegotiate a connection #if it is about to expire rekey=no conn BASE #server side leftfirewall=yes #leftid=btzdomainje.com leftcert=eapSERVER_CERT.pem leftsubnet=0.0.0.0/0,::/0 #client side #rightsendcert=never keyexchange=ikev2 auto=add conn EAP0 also="BASE" rightauth=pubkey leftauth=pubkey rightauth2=eap-md5 eap_identity=%any leftsendcert=always right=%any rightdns=8.8.8.8,8.8.4.4 rightsourceip=%dhcp,2001:1:2:3500::/56 conn EAP1 also="BASE" leftauth=pubkey rightauth=eap-tls eap_identity=%any leftsendcert=always right=%any rightdns=8.8.8.8,8.8.4.4 rightsourceip=%dhcp,2001:1:2:3700::/56
Az IPv6 címek helyére helyettesítse be mindenki a saját szolgáltatója által nyújtott prefixeket.
Én itt két különböző subnetes /56-os prefixeket használtam a két különböző EAP konnekcióhoz, de lehetne ugyan az is.
#16 btz addikt btz #15

Új Válasz 2017-08-17 22:29:27 #16
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

btz

addikt

válasz btz #15 üzenetére

Újabb konfiguráció módosítás.
Ezzel a konfiggal CERTIFICATION ONLY módban nem lehet belépni, de CERT+EAP (Username/Password) módban és EAP-TLS (Certificate) módban belehet.
A módokhoz külön lehet állítani az IP módokat is. Ezt e konfigot fogom ipv6-al kiegészíteni.
config setup #charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2" #uniqueids=never charondebug="cfg 2, dmn 2, ike 2, net 2" conn %default # Dead Peer Discovery dpdaction=clear dpddelay=300s # Do not renegotiate a connection #if it is about to expire rekey=no conn BASE #server side leftfirewall=yes #leftid=btzdomainje.com leftcert=eapSERVER_CERT.pem leftsubnet=0.0.0.0/0 #client side #rightsendcert=never keyexchange=ikev2 auto=add conn EAP0 also="BASE" rightauth=pubkey leftauth=pubkey rightauth2=eap-md5 eap_identity=%any leftsendcert=always right=%any rightdns=8.8.8.8,8.8.4.4 rightsourceip=%dhcp conn EAP1 also="BASE" leftauth=pubkey rightauth=eap-tls eap_identity=%any leftsendcert=always right=%any rightdns=8.8.8.8,8.8.4.4 rightsourceip=%dhcp
#15 btz addikt btz #13

Új Válasz 2017-08-17 21:13:59 #15
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

btz

addikt

válasz btz #13 üzenetére

Legújabb ipsec.conf beállításom.
Ebben a beállításban csak IKEv2 Certificate+EAP (Username/Password) módban lehet belépni, sima IKEv2 Certificate módban nem.
config setup #charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2" #uniqueids=never charondebug="cfg 2, dmn 2, ike 2, net 2" conn %default # Dead Peer Discovery dpdaction=clear dpddelay=300s # Do not renegotiate a connection #if it is about to expire rekey=no conn BASE #server side leftauth=pubkey leftfirewall=yes #leftid=btzdomainje.com leftcert=eapSERVER_CERT.pem leftsubnet=0.0.0.0/0 #client side right=%any rightdns=8.8.8.8,8.8.4.4 rightsourceip=%dhcp keyexchange=ikev2 auto=add #rightsendcert=never rightauth=pubkey rightauth2=eap-md5 #rightauth2=eap-tls eap_identity=%any leftsendcert=always
Fontos, hogy a rightsendcert=never ki legyen kommentelve (vagy törölve). Nekem okozott némi fejtörést, hogy mi miatt nem működik. Ez az érték volt az.
A későbbiekben ezt a konfigot fogom kiegészíteni ipv6-al.
#14 btz addikt btz #13

Új Válasz 2017-08-15 23:29:24 #14
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

btz

addikt

válasz btz #13 üzenetére

Csak egy kis jegyzet, a linkelt oldal tartalmából.
The important bit is rightauth2 which configures a second authentication
round using EAP after doing a first round with certificate authentication.
You can simplify the whole config by putting the shared options in a
single section and using the also keyword:
conn rw-base left=172.16.254.200 leftsubnet=0.0.0.0/0 leftcert=pi-peer.der leftid=my-fqdn.example.com rightsourceip=172.16.254.0/24 right=%any conn rw-cert also=rw-base auto=add conn rw-eap also=rw-base rightauth=eap-md5 rightsendcert=never auto=add conn rw-cert-eap also=rw-base rightauth2=eap-md5 auto=add
'pubkey' is the default so rightauth does not have to be specified
explicitly.
#13 btz addikt btz #12

Új Válasz 2017-08-15 23:17:12 #13
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

btz

addikt

válasz btz #12 üzenetére

"IKEv2 Certificate + EAP (Username/Password)" kombinált bejelentkezés probléma, szintén megoldva!
Ehhez az alábbira kellett módosítani az eredeti leíráshoz képest az ipsec.conf tartalmát:
conn %default # Dead Peer Discovery dpdaction=clear dpddelay=300s # Do not renegotiate a connection #if it is about to expire rekey=no #server side leftauth=pubkey leftfirewall=yes #leftid=btzdomainje.com leftcert=eapSERVER_CERT.pem leftsubnet=0.0.0.0/0 #client side right=%any rightdns=8.8.8.8,8.8.4.4 rightsourceip=%dhcp,%dhcp6 conn IPSec-IKEv2 keyexchange=ikev2 auto=add conn VPN0 also="IPSec-IKEv2" rightsendcert=never #rightauth=eap-tls rightauth=pubkey rightauth2=eap-md5 eap_identity=%any leftsendcert=always
Közben a SERVER CERT-et is módosítottam, de ez most mellékes, az eredeti leírással is működne.
Ez a levelezés itt sokat segített. Megértettem az also paraméter lényegét, amit eddig csak sejtettem.
#10 kmisi99 addikt btz #9

Új Válasz 2017-08-13 22:23:10 #10
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

kmisi99

addikt

válasz btz #9 üzenetére

Köszi a válaszokat, akkor lehet bele vágok, ha lesz rá hangulatom, marha jó lenne, ha össze jönne, már csak valami szar pendrive-ot kell túrnom, itthon csak 16GB-os van.
Bár valahol valamelyik régi telefonban van egy 256mb os micro sd, egy gagyi olvasó meg 1-2$ kínából.
#9 btz addikt btz #8

Új Válasz 2017-08-13 22:21:45 #9
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

btz

addikt

válasz btz #8 üzenetére

Dlna-t, Samba-t nem próbáltam, de annak is mennie kell.
#7 kmisi99 addikt btz #6

Új Válasz 2017-08-13 22:11:49 #7
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

kmisi99

addikt

válasz btz #6 üzenetére

Igen, de a 1043nd-n van USB, csak, arra értettem, hogy a ratyi routeren gyakorlom be az openwrt alapjait, hogy ne azzal csesszem az időt, mikor a 1043nd alól kirántom a forgalmat.
Ezzel a VPN-el amúgy totál olyan mintha belső LAN ban lennék? Azaz a fájl szerveremet ugyan úgy elérem, és nyitogathatnék meg fájlokat?
Bár a ~10mbit feltöltési sebességem nem tudom mennyire lenne elég, hogy nézzem róla távolról a sorozataimat. Ha úgy számolok, hogy egy sorozat rész 1GB és 1 óra hosszú, akkor 1024MB/3600 másodperc=~280KB/S sávszélesség kell, hogy le tudja játszani folyamatosan a videót, bár gondolom a gyakorlatban ez másképp megy.
Ilyesmit próbáltál már, hogy pl egy távoli wifiről, otthon lévő szerveren lévő filmet sorozatot megnézed?
#5 kmisi99 addikt btz #4

Új Válasz 2017-08-13 22:00:36 #5
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

kmisi99

addikt

válasz btz #4 üzenetére

Na szép, akkor a másik fiók routeremmel ki se tudom vitelezni, mert azon nincs USB. A 1041nd-t pedig féltem kihúzni a szolgálat alól. Bár a fiók routerrel játszogathatok, hogy az alap beállításokat megcsináljam, és ha jól működik akkor jöhet a rendes router.
#3 kmisi99 addikt btz #2

Új Válasz 2017-08-13 17:35:38 #3
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

kmisi99

addikt

válasz btz #2 üzenetére

Ja, nem tűnik túl bonyolultnak, de soha életemben nem foglalkoztam openwrt-vel.
Gondolom mindenek előtt, egy fix openwrt bekonfigolt rendszer kell, utána kell a VPN-es dolgokat konfigolni.
Szóval egy hétvégét lehet rászánok, és akkor végre tökéletes lesz a hálózatom.