|
IPsec - konfiguracja
|
| yugodriver |
Dodano 09-08-2012 16:40
|
User
Posty: 18
Dołączył: 31/01/2012 11:25
|
Witam,
W najnowszej wersji tomato pojawił się moduł IPsec'owy. Czy można gdzieś znaleźć opis jego konfiguracji? |
| |
|
|
| shibby |
Dodano 10-08-2012 10:31
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
ładujesz potrzebne moduły. Instalujesz entware i paczkę strongswan i ją konfigurujesz.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| przemasisko |
Dodano 10-08-2012 10:47
|
Moderator
Posty: 550
Dołączył: 17/05/2010 13:56
|
A tak na chłopski rozum, ktoś może łopatologicznie wytłumaczyć do czego służy ten cały IPsec i co nam to daje?  |
| |
|
|
| koralm |
Dodano 10-08-2012 10:50
|
Super User
Posty: 505
Dołączył: 29/07/2006 23:19
|
http://pl.wikipedia.org/wiki/IPsec
Proud winner of Netgear WNR3500L
|
| |
|
|
| przemasisko |
Dodano 10-08-2012 10:52
|
Moderator
Posty: 550
Dołączył: 17/05/2010 13:56
|
tak @koralm dzięki to już widziałem, zdarza mi się korzystać z google.
Chciałem żeby ktoś wytłumaczył prostym językiem, czy warto i co to daje ogólnie. |
| |
|
|
| shibby |
Dodano 10-08-2012 10:58
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
to alternatywa dla openvpn lub pptp. czyli poprostu kolejny tunel VPN 
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| przemasisko |
Dodano 10-08-2012 13:59
|
Moderator
Posty: 550
Dołączył: 17/05/2010 13:56
|
OK, dzięki o taką mi odpowiedź chodziło ;P |
| |
|
|
| yugodriver |
Dodano 10-08-2012 16:41
|
User
Posty: 18
Dołączył: 31/01/2012 11:25
|
dodatkowo IPsec teoretycznie jest bezpieczniejszy od SSL. Z informacji, jakie wyczytałem na tym forum zrozumiałem, że OpenSSL pozwala na stworzenie tunelu tylko pomiędzy komputerem a routerem, podczas gdy tunel IPsec umożliwia połączenie dwóch sieci.
Czy strongswan znajduje się tylko w entware, czy w optware różnież ją znajdę? Jeśli nie to czy jednocześnie mogę zainstalować optware i entware? W prośbie o opis konfiguracji chodziło mi raczej o instrukcję podobną do opisu instalacji optware. Niestety linux to dla mnie jeszcze czarna magia. Do tej pory wykorzystywałem funkcje dostępne tylko w gui, a w związku z większa ilością wakacyjnego wolnego czasu próbuję bliżej zapoznać się z Tomato. Na razie walczę z optware. Po prawidłowym zainstalowaniu go chciałbym spróbować pokonać IPsec. |
| |
|
|
| woocash |
Dodano 13-08-2012 10:53
|
User
Posty: 6
Dołączył: 22/03/2012 02:00
|
Instaluję strongswan i dostaję tylko jego plik konfiguracyjny, żadnych binariów?  |
| |
|
|
| Unpleasant |
Dodano 13-08-2012 11:46
|
User
Posty: 50
Dołączył: 09/12/2011 09:38
|
Dodam, że jest to alternatywa bardzo dobra, gdyż protokół IPsec w przeciwieństwie do openvpn jest zaimplementowany w większości systemów operacyjnych (dobrym przykładem jest iOS) a pod względem bezpieczeństwa bije PPTP na głowę. Ech... Teraz tylko czekać na GUI.  |
| |
|
|
| luke1984 |
Dodano 13-08-2012 19:18
|
User
Posty: 19
Dołączył: 31/08/2011 13:13
|
Ja chyba też poczekam na implementację w gui. PPTP działa bardzo fajnie i nie trzeba się bawić tyle w konfiguracji co z openvpn. Dla mojego domu w zupełności wystarcza, bo nie wiem kto by chciał włamać się, żeby mi pokasować fotki  Mam nadzieję, że z IPsec też da się to uprościć... |
| |
|
|
| marekjs |
Dodano 04-11-2012 14:03
|
User
Posty: 13
Dołączył: 04/11/2012 13:47
|
Mam pytanie.
Czy extension match policy jest zaimplementowane w Tomato Shibby?
Nie moge wrzucic tego w iptables z palca. Nie lyka.
Widze w logach, ze chyba strongswan tego tez nie lubi, bo dostaje to samo
syslog: 11[CHD] updown: iptables: No chain/target/match by that name.
Mam VPN dzialajacego, autoryzuje, dostaje IP z dhcp itp, ale nic sie nie dzieje. Nie ma ruchu po sieci.
Zajrzalem na examples na Strongswana i widze, ze pod iptables -L to siedzi:
http://www.strongswan.org/uml/testresults/ikev1/xauth-psk/moon.iptables
ACCEPT esp -- jakisETH * jakisIP jakisIP to jestem w stanie wrzucic przez iptables, ale tego ponizej juz nie:
ACCEPT all -- jakisETH * jakisIP jakisIP policy match dir in pol ipsec reqid 2 proto 50
Nie mam mozliwosc, aby zrobic swoje image i wsadzic do pudelka, bo wszystko robie po openvpn.
Jestem na drugim koncu swiata.
Jakos sie wywinalem zdalnie, aby zrobic ext3 zdalnie na usb hdd, potem entware i wrzucilem paczki pod /opt.
Moduly laduje przez modprobe.
Porty otwarte. Proto esp przez iptables da sie wsadzic.
Strongswan startuje (oczywiscie -qv.ko dalej wyrzuca).
Jestem sie w stanie sie polaczyc po Iphone po ikv1, dhcp przydziela IP itp.
Komus sie udalo?
Edytowany przez marekjs dnia 09-11-2012 18:43
|
| |
|
|
| kinh |
Dodano 28-02-2013 22:54
|
User
Posty: 21
Dołączył: 08/05/2010 14:40
|
A skąd wziąłeś /opt/lib/starter?
Ja zainstalowałem strongswan i strongswan-utils z entware i mi brakuję tego pliku.
I drugie pytanie czy w wyniku tego ipsec start powinien pojawić się jakiś proces?
Pozdrawiam,
kinh |
| |
|
|
| sylweq |
Dodano 05-03-2013 14:33
|
User
Posty: 17
Dołączył: 04/03/2013 21:44
|
Witam wszystkich.
Mam takie pytanie. Potrzebuję zestawić VPN-a z wykorzystaniem IPsec-a na routerze Asus RT-N10U. Mam działający VPN w ten sposób na routerze TP-Link TD-W8950ND, ale ogólnie nie jestem zadowolony z tego urzędzenia dlatego zmieniłem na Asusa żeby móc zainstalować Tomato. Teraz widzę że Ipsec jest tylko w obrazach Mega i AIO (według builds.png z katalogu /K26RT-N/build5x-101-EN/ - w późniejszych katalogach nie znalazłem tabelki z porównaniem). Problem w tym że oczywiście te kompilacje nie zmieszczą się na moim routerze (niestety najpierw kupiłem router a dopiero teraz wychodzi moja niewiedza). Tak na prawdę kwestiami związanymi z Tomato interesuję się od przedwczoraj ale i tak już dużo się dowiedziałem szukając informacji m.in. na tym forum). Myślę że może warto byłoby zrobić wersję do 8MB z Ipsec kosztem jakichś innych może nie koniecznie popularnych funkcjonalności. Czy są takie plany i możliwości :-) ?
Pozdrawiam wszystkich serdecznie. |
| |
|
|
| idimitro |
Dodano 17-03-2013 06:08
|
User
Posty: 1
Dołączył: 17/03/2013 05:22
|
Ja potrzebują IPSEC bo to jest jediny VPN który nadal jeżcie działa w Chinach.
Mam shibby build 105 i zainstalowałem entware i strongswan ale jak yugodriver nie widzę binarka a tylko pliki konfiguracyjne.
Czy jest gdes opis jak skonfigurować strongswan na tomato rooter? Szukałem w google ale nic scegulnego nie znaliazlem. Na strona strongswan są dużo how-tos ale nie wiem który tak naprawdę dotyczą rooterach. |
| |
|
|
| sylweq |
Dodano 04-04-2013 22:30
|
User
Posty: 17
Dołączył: 04/03/2013 21:44
|
Cytat shibby napisał(a):
ładujesz potrzebne moduły. Instalujesz entware i paczkę strongswan i ją konfigurujesz.
OK. Mam RT-N10U i Tomato 1.28 BT-VPN. Z góry przepraszam za lamerskie pytania ale jestem zielony.
Zainstalowałem entware i strongswan, chyba dobrze skonfigurowałem ipsec.config i ipsec.secret, odpalam i dostaje m.in. info że "insmod: 'af_key.ko': module not found". Linux jest dla mnie zupełnie obcy (choć bardzo chciałbym to zmienić ) ale doczytałem i wywnioskowałem że nie ma takiego modułu w kernelu. Czy to znaczy że nie da się na tym firmware tego zrobić, czy po prostu muszę jakoś doinstalować ten moduł?
Czytałem gdzieś w logach zmian tomato że wszystkie od której tam wersji mają obsługę ipseca w kernelu a AIO i Mega-VPN różnią się tym że mają już chyba w standardzie strongswana - czy dobrze to zrozumiałem? Proszę o pomoc. |
| |
|
|
| hermes-80 |
Dodano 04-04-2013 23:25
|
VIP
Posty: 3676
Dołączył: 21/04/2009 11:24
|
Ściągasz paczkę extras i tam masz moduł w katalogu ipsec - ładujesz go poleceniem insmod {nazwa_modułu}
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| sylweq |
Dodano 05-04-2013 19:21
|
User
Posty: 17
Dołączył: 04/03/2013 21:44
|
Dzięki @hermes-80. Okazało się później że brakuje kilku modułów. Utknąłem na czymś takim:
insmod: can't insert '/opt/extra/ipsec/xfrm4_tunnel.ko': unknown symbol in module, or unknown parameter
:/
Trzeba coś wcześniej zainstalować? |
| |
|
|
| Pirek |
Dodano 05-04-2013 19:27
|
Power User
Posty: 293
Dołączył: 12/06/2006 01:35
|
insmod /opt/extra/ipsec/xfrm4_tunnel
Asus RT-N16 [B4] Tomato v1.28 K26 USB K26 123 EN-AIO
|
| |
|
|
| sylweq |
Dodano 05-04-2013 19:30
|
User
Posty: 17
Dołączył: 04/03/2013 21:44
|
Niestety - to samo:
insmod: can't insert '/opt/extra/ipsec/xfrm4_tunnel.ko': unknown symbol in module, or unknown parameter |
| |
|
' target='_blank'>Link
