19 Sierpień 2018 01:54:26
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· [Kupię] Płyta głowna...
· WDS
· Linksys WRT5454GL us...
· [K] ReadyNAS Pro 4-b...
· Firmware z OpenVPN d...
· Asus AC RT68U Rev. E...
· [MOD] FreshTomato-ARM
· R7000 Domoticz
· [S] ASUS DSL-AC87VG ...
· Router do 300 z
· R7000 boot loop
· ASUS RT-AC88U czy AS...
· Ubiquiti Unifi AP AC...
· OpenVPN - problem z ...
· Asus DSL AC68u - bra...
· Linksys Ea9500 boot ...
· [MOD] FreshTomato-MIPS
· RT-n18u realna prędk...
· [S] Asus RP-AC68U Wi...
· DDWRT dla ovislink 1...
Najciekawsze tematy
· [MOD] FreshTomato... [171]
· Ubiquiti Unifi AP... [67]
· R7000 boot loop [26]
· Router do 300 z [22]
· Asus DSL AC68u - ... [10]
· Asus AC RT68U Rev... [5]
· OpenVPN - problem... [5]
· [Kupię] Płyta gło... [3]
· R7000 Domoticz [3]
· ASUS RT-AC88U czy... [3]
· [K] ReadyNAS Pro ... [2]
· Firmware z OpenVP... [2]
· WDS [1]
· Linksys Ea9500 bo... [1]
· Linksys WRT5454GL... [0]
· [S] ASUS DSL-AC87... [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
40% [132 głosów]

Broadcom ARM
Broadcom ARM
49% [162 głosów]

Atheros
Atheros
6% [19 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [2 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [3 głosów]

Żaden z powyższych
Żaden z powyższych
3% [10 głosów]

Ogółem głosów: 332
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
54.156.85.167
Reklama
Zobacz temat
OpenLinksys » :: OPROGRAMOWANIE :: » Pozostałe firmware
 Drukuj temat
Technicolor tc7200 i openswan IPsec VPN
man1
witajcie,

Chciałem dla testu ustawić tunel na poziomie sieci - tak by sieć 192.168.1.0 była osiągalna z drugiej sieci 192.168.0 i odwrotnie. Coś, co Cisco nazywa chyba site to site VPN.

Bazowałem na wielu tutorialach z netu i to chyba mój główny problem - nie wiem nawet czy podane dane są poprawne - więc od razu mam pierwsze pytanie - czy "Pre-shared key " w ustaiweniacch w Technicolorze nie powinno być podane w formie niezahashowanej? Jak takiego hasha uzyskać? (Tu używam jakiegoś hasha z netu, na obu rządzeniach).

Wybór padł na Ipsec jako jedyny natywnie wspierany przez router dostarczony przez netię, Technicolor TC-7200. Taki sam występuję w UPC ale oni mają fw bez zakładki VPN, która u mnie wygląda tak jak na załączonych plikach.

Nazwijmy ten site (z technicolorem)- 'right' co dalej wystąpi w konfiguracji openswan'a zainstalowanego na Centosie 7. Porty na routerze głównym/'brzegowym' sieci left - z centosem - 50,51,500 tcP/UDP przekierowane na IP VMa który ma int sieciowy w trybie bridge.

Konfig ipsec.conf:

Pobierz kod źródłowy  Kod źródłowy
config setup
#plutodebug=all
        plutostderrlog=/var/log/pluto.log
        protostack=netkey
        nat_traversal=yes
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:192.168.1.0/24
        ## disable opportunistic encryption in Red Hat ##
        oe=off
 
## disable opportunistic encryption in Debian ##
## Note: this is a separate declaration statement ##
#include /etc/ipsec.d/examples/no_oe.conf
 
## connection definition in Red Hat ##
conn demo-connection-redhat
       
      authby=secret
        right=ip sieci z technicolorem #Azure VPN gateway IP address
        rightsubnet=192.168.0.0/24 #Azure network subnet defined in cloud
#        leftfirewall=no
        left=ip sieci z centosem #IP address of your on-premises gateway
        leftsubnet=192.168.1.0/24 #network subnet located on-premises
        type=tunnel
        keyexchange=ike
        ikelifetime=28800s
        keylife=3600s
#        lifebytes=102400000
        esp=aes256-sha1
        ike=aes256-sha1-modp1024
        rekey=yes
        keyingtries=1
#        mobike=no
#        dpdaction=none
        auto=start
        rekeymargin=3m
 




To co zakomentowane zgłaszało błedy przy restarcie ipsec w Centosie, a że to bardzo wczesna nauka, to zakomentowałem, by stwierdzić co się stanie.

Do tego plik ipsec.secrets
Pobierz kod źródłowy  Kod źródłowy
ip left ip right  : PSK "JHTg6u5euztuFMJ3tvKyB2OKWrztHWzd"




Wszystko to nie działa, nastpeuje chyba proba polaczenia, jednak finalnie polaczenie nie zostaje zestawione, a logi wskazują na problemy z kluczami:

log z technicolora:

Sat Oct 29 17:49:11 2016 IKE Phase 1 Negotiation FAILED wan_ip_right_(technicolor)==>wan_ip_left_(centos)
Sat Oct 29 17:49:11 2016 pha
Sat Oct 29 17:48:10 2016 IKE Phase 1 Negotiation Started wan_ip_right_(technicolor)==>wan_ip_left_(centos)

Mam prośbę o sprawdzenie konfiguracji, czy wszystkie ustawienia na pewno podaje prawidłowo


W sumie, im dłużej to robie, to bardziej mi zależy na uruchomieniu tego, po ogarnięciu chetnie przygotuje manual/tutorial.

Z tego co widziałem nie tylko ja mam taki problem - ostatnio jakoś ten temat pojawiał się w shoucie.

pozdrawiam
m

Połączony z 29 październik 2016 19:15:18:
Nie do końca dla mnie są jasne te funkcje szyfrujące i ich parametry. nigdy się tym nie bawiłem...
man1 dodał/a następującą plik:
Nie masz uprawnień to pobierania załączników w tym temacie.

Edytowane przez man1 dnia 29-10-2016 19:15
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 4

· Użytkowników online: 0

· Łącznie użytkowników: 23,742
· Najnowszy użytkownik: buber2001
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

shibby
17-08-2018 18:56
Sadamkusz, ja mam raspbiana na dysku 1.8" 250gb po USB. Jak chcesz to mam taki jeszcze jeden komplet. Obudowa wielkości rpi Smile

slawko
17-08-2018 16:51
Wystarczy do RPi podpiąć dysk ssd i będzie stabilna nic się nie wysypie, zainteresuj się też NetTemp

sadamkusz
17-08-2018 13:38
prościej ale czy możliwe do ogarnięcia przez zwykłego usera (czyt bez kompilowania) ? RPi mam ale chce weliminować bo i tak przecież router działa 24h a rozsypywanie się systemu plików na RPi mnie den

shibby
17-08-2018 13:18
nie używałem tego ale na forum był o tym temat. Z tego co pamiętam prościej postawić RPi.

sadamkusz
16-08-2018 14:06
shibby czy ty uruchomiłeś Domoticz u siebie na routerze? R7000 lub podobnym z tomato?

cosmos
15-08-2018 17:12
Witam, jest "mały" problem z R7000 na Ttomato-R7000-ARM-
-140-AIO-64K. Po zatwierdzeniu jednej zmiany w ustawieniach podstawowych typu sprawdzanie połączenia google i ms były domyślnie , rou

pedro
15-08-2018 14:39
Oczywiście, ale przy dwóch IP z palca (tylko dla danej karty, reszta ma być z DHCP) jak ominąć "Ignore DHCP req. from unknown devs"? Bo tu jest ból...

shibby
14-08-2018 09:58
No to chyba logiczne. Dhcp potrafi przydzielić tylko jeden IP danemu mac'owi.

pedro
13-08-2018 17:21
Na karcie żaden problem ustawić, rzecz w tym że nie może być 2-óch różnych IP z tym samym MAC na "Static DHCP/ARP/IPT"...

shibby
13-08-2018 08:12
To musisz ręcznie ustawić te IP na karcie. Nie dostaniesz dwóch IP z dhcp.

pedro
11-08-2018 23:19
...więc karty nie widzi, bo ma jeden MAC z dwoma różnymi IP Sad

pedro
11-08-2018 23:18
Problem: karta sieciowa w PC musi mieć dwa IP - dodajemy. Router ma "Ignore DHCP requests..." w ustawieniach...

shibby
11-08-2018 18:03
powiem szczerze że nie rozumiem pytania Smile

pedro
09-08-2018 18:31
Też bym chciał wiedzieć Smile

mb36
03-08-2018 09:50
Muszę do karty sieciowej dodać drugi adres IP. Jakie ustawienia na tomato aby to chodziło. Teraz jak pinguję z Tomato to 100% lost.

p4v3u
25-07-2018 12:22
Doobra, mam problem: Chciałbym łączyć się na IP WAN2 z zewnątrz a kiedy WAN1 jest aktywny to nie mogę. WAN2 Weight = 0

p4v3u
23-07-2018 21:52
czy we freshtomato jest jakis parametr który wyłącza odpowiedzi na proby podlaczenia sie na IP WAN2, kiedy aktywny jest caly czas WAN1 ? Uzywam w tr. failover.

36,258,945 unikalne wizyty