Bekijk de volledige versie : WL-500gP: IPSEC & VPNC
Приветствую всех!
Думаю купить WL-500g Premium, но не смог найти информации о возможности в штатной прошивке пропускать VPN IPsec, а мне это очень надо - подсоединяться к рабочей сети... В альтернативной прошивке вижу Kernel support for IPSec NAT-T - Это то, что нужно?
И, насколько я понимаю, можно менять MAC адрес на адрес одного из компьютеров внутри сети?
Regards,
vkostr
Ничего специального для IPsec passthru не требуется. Работать будет. С одним ограничением: только одно соединение к серверу, а сервер должен поддерживать NAT-T.
Либо сколь угодно соединений при использовании ipsec-over-tcp или ipsec-over-udp
Спасибо! Только как узнать поддерживает ли сервер NAT-T? Сервер далеко и не факт, что я найдется тот, кто мне ответит...
Так MAC можно менять?
Regards,
vkostr
Mac можно, в web-if есть для этого поле.
Спасибо! Только как узнать поддерживает ли сервер NAT-T?
Попробовать подключиться к нему, сидя за НАТом.
Всем спасибо!
А насчет теста vpn, я просто хочу попроситься подъехать к знакомому с такой железкой и подключиться :D
Update: купил, все работает
Ничего не нашёл про ipsec. Существует мнение, что ipsec саммый эффективный в плане шифрования для процессоров ... ну всмысле можно более удачно подобрать алгоритмы и длины ключей, чтобы получить шифрование и не сильно грузить процессор. IPSec для прошивки Олега бывает ?
Всё же можно или нет как-то сделать ipip и(или) gre туннели ? Может быть можно как-то модуль ядра доставить ? Я находил только для более поздних ядер ipkg с модулями ipip и gre, не уверен, что будет работать.
P.S. Не все же данные надо шифровать :-). Некоторые данные между офисами можно и в ipip гонять - роутеру легче.
ИМХО _все_ упомянутые опции доступны в исходниках ядра - надо только перекомпилять
ИМХО _все_ упомянутые опции доступны в исходниках ядра - надо только перекомпилять
Это не так просто как кажется. Стандартные ядра линукса я компилировать в состоянии, но мипсовые с тулчайном ... не получилось :-). Обычно всегда собираю advanced ip routing , gre и ipip ...
Вообще говря, пересобрать что-то получилось, но я ядро не нашёл потом, хотя ошибок не было. Надо наверное не только ядро пересобрать ... а прошивку сделать. Иначе как ядро потом залить отдельно ? Или всё же можно отдельно ? Тогда может сразу 2.6.20.4 с http://www.linux-mips.org/ ? Точно поди не заработает :).
Сам разбираюсь с этими вопросами и планирую компилять прошивку.
интересует именно advanced routing.
если что получится - отпишусь :)
в kamikaze все просто:
svn co https://svn.openwrt.org/openwrt/trunk/
make config
make kernel_menuconfig
make
заливка готовой прошивки ;)
в kamikaze все просто:
svn co https://svn.openwrt.org/openwrt/trunk/
make config
make kernel_menuconfig
make
заливка готовой прошивки ;)
Эта команда за собой мегабайт 600 стянет ?
в kamikaze все просто:
svn co https://svn.openwrt.org/openwrt/trunk/
make config
make kernel_menuconfig
make
заливка готовой прошивки ;)
ВОбщем собрал я этот опенврт уже раз 7 ... по-всякому :-).
Одного не пойму. Почему через прошивку Олега iperf показывает 80-88 мегабит, а через опенврт Камикадзе на ядре 2.6 всего 44 ? Почему такая разница ?
Пришлось конечно попариться, отключая imq и прочую байду в опенврт :-). Может что-то так и не выключил ... всёравно 44 мегабита и загрузка проца не полная.
P.S. top работает плохо в опенврт - из него нельзя выйти. В прошивке Олега нет ipsec и ipip b gre. В опенврт ipip так и не получилось сделать, но gre там есть, в принципе его мне хватит. СОбираю опенврт на 2.4 без wifi ... потестить.
Подскажите возможно ли и как создать IPSec VPN туннель с роутера ASUS WL-500g Premium?
Задача следующая: Построить туннель в офис к роутеру cisco и засунуть туда голосовой траффик с ip телефона cisco, висящего во внутренней сети.
Провайдер crossnet.ru
Для выхода в интернет используется PPTP
Вопрос, будет ли поверх PPTP работать IPSec (VPN в офис)?
Должен, но я не пробовал. Через PPPoE работает.
fyodorov
04-06-2007, 13:38
Вопрос, что нужно чтобы прикрутить http://www.openswan.org/download/binaries/openwrt/buildroot-20040509/ipkg/
к коробке и поднять таки на ней IPSEC (желательно 3DES или AES)...
BORODA(C)
03-08-2007, 16:40
Присоединюсь к вопросу.
также очень интересует.
если кто знает как осуществить, подскажите, пожалуйста.
спасибо.
Lt_Flash
29-08-2007, 07:56
http://www.opennet.ru/base/cisco/ipsec_tunnel.txt.html
Примерно вот так. ip тот что в Asus tunnel точно умеет.
[admin@test_ap root]$ ip
Usage: ip [ OPTIONS ] OBJECT { COMMAND | help }
where OBJECT := { link | addr | route | rule | neigh | tunnel |
maddr | mroute | monitor }
OPTIONS := { -V[ersion] | -s[tatistics] | -r[esolve] |
-f[amily] { inet | inet6 | ipx | dnet | link } | -o[neline] }
Либо, если уж точно IPSec надо то вот руководство
http://www.opennet.ru/base/net/ipsec_linux_pix.txt.html
Попробуйте, может и на Асусе пойдет...Мне просто пробовать не с чем.
Мда...Посмотрел - нет такого пакета для Асуса, и собираться не хочет из-за того, что ядро под 2.6 хочет...Ладно, поищу альтернативы. Но проще имхо туннель просто поднять.
teroni2007
04-01-2008, 01:38
в продолжение темы
Ничего специального для IPsec passthru не требуется. Работать будет. С одним ограничением: только одно соединение к серверу, а сервер должен поддерживать NAT-T.
А где можно почитать как в прошивке настроить ipsec и сожет ли это все соедениться с openswan на linux`е ?
BORODA(C)
29-02-2008, 09:54
Так что, нету возможности без пересборки ядра IPSec VPN с ASUS`а во внешний мир пробросить?
BORODA(C)
29-02-2008, 14:16
Похоже, для Циски решение есть:
http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/Packages
Package: vpnc
Version: 0.5.1-1
Depends: libgcrypt kernel-module-tun
Section: net
Architecture: mipsel
Maintainer: NSLU2 Linux <nslu2-linux@yahoogroups.com>
MD5Sum: 5582ce7910442b37ec78cbc0bb30d754
Size: 75229
Filename: vpnc_0.5.1-1_mipsel.ipk
Source: http://www.unix-ag.uni-kl.de/~massar/vpnc/vpnc-0.5.1.tar.gz
Description: Client for Cisco VPN concentrator
Support IPSec over UDP (Known Bugs: IPSec over TCP).
vpnc is a VPN client compatible with cisco3000 VPN Concentrator (also
known as Cisco's EasyVPN equipment). vpnc runs entirely in userspace
and does not require kernel modules except of the tun driver to
communicate with the network layer.
.
It supports most of the features needed to establish connection to the
VPN concentrator: MD5 and SHA1 hashes, 3DES and AES ciphers, PFS and
various IKE DH group settings.
Не совсем IPSec, вернее сказать совсем не то :)
Нужно как минимум FreeSWAN или Racoon.
При этом Racoon если мне не изменят память работает только с ядрами ветки 2.6. FreeSWAN можно наверно собрать ( почти наверняка получится, но сборка это отдельная песня ), но при это следует совершенно точно знать несколько вещей, дабы не питать излишнюю уверенность.
1) Шифрование, особенно с большими ключами задача сложная и требует довольно больших вычислительных мощностей ( обратите внимание что у всех вендоров роутеры с IPSec стоят существенно дороже 500го, как и обратно дешевые модели не заявляются с поддержкой IPSec )
2) Скорее всего про всякие торренты, файлопомойки, самбы, сайты на железке придется забыть ( см. п.1 - хорошо еще если справится с туннелированием и натом )
3) Для поддержки QOS ( ну или хотя бы гарантированной полосы с WAN интрерфейса ) для телефонии при туннелировании ( а зачатую схема будет такой VoIP-->IPSec-->PPtP (pppoe) потребуется некоторые извращения в реализации которых на FreeSWAN+Asus я не уверен.
Может кто поправит меня, однако пока такие мысли.
AndreyPopov
28-03-2008, 21:29
уж извините, что здесь, но на forum.asus.ru никак не приходит подтверждение регистрации, провайдер рубит почту и достучаться до администрации forum.asus.ru тоже не могу.
есть ASUS AM604G с одной стороны и 3Com OfficeConnect VPN Firewall с другой стороны.
пытаюсь сделать IPSec тунель - и не получается.
в логе ASUS AM604G
Mar 28 22:43:04 daemon info racoon: INFO: respond new phase 1 negotiation: 78.25.8.242[500]<=>195.248.180.227[500]
Mar 28 22:43:04 daemon info racoon: INFO: begin Identity Protection mode.
Mar 28 22:43:04 daemon info racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-06
Mar 28 22:43:04 daemon info racoon: ERROR: /var/psk.txt has weak file permission
Mar 28 22:43:04 daemon info racoon: ERROR: failed to open pre_share_key file /var/psk.txt
Mar 28 22:43:04 daemon info racoon: ERROR: couldn't find the pskey for 195.248.180.227.
Mar 28 22:43:04 daemon info racoon: ERROR: failed to process packet.
Mar 28 22:43:04 daemon info racoon: ERROR: phase1 negotiation failed.
а при попытке в настройках вбить Pre-Share Key пишет такое:
Mar 28 22:41:09 daemon info racoon: INFO: unsupported PF_KEY message REGISTER
по telnet к нему можно достучаться. по умолчанию доступ открыт.
может кто раскажет что и где надо посмотреть?
AndreyPopov
31-03-2008, 12:16
можно ли все же достучаться до настроек?
AndreyPopov
21-04-2008, 15:24
начну с маленькой предыстории:
есть у меня ASUS AM604g - неожиданно для себя увидел там IPSec меню.
но работать он там отказался, в логе вечно ошибки.
ну а VIP поддержка ASUS тупо отморозилась, со словами, что он только IPSec Pass Throu поддерживает.
хотя в Web интерфейс присутствует полноценный интерфейс настройки IPSec соединения.
тут я не нашел аналогов из доступных пакетов:
http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/Packages
зато в логе AM604g нашел ссылку на проги, которые используются для IPSec:
http://ipsec-tools.sourceforge.net/
потому и стал вопрос, а не прикрутить ли IPSec к WL-500 прошивке Олега?
При этом Racoon если мне не изменят память работает только с ядрами ветки 2.6. FreeSWAN можно наверно собрать ( почти наверняка получится, но сборка это отдельная песня ), но при это следует совершенно точно знать несколько вещей, дабы не питать излишнюю уверенность.
1) Шифрование, особенно с большими ключами задача сложная и требует довольно больших вычислительных мощностей ( обратите внимание что у всех вендоров роутеры с IPSec стоят существенно дороже 500го, как и обратно дешевые модели не заявляются с поддержкой IPSec )
2) Скорее всего про всякие торренты, файлопомойки, самбы, сайты на железке придется забыть ( см. п.1 - хорошо еще если справится с туннелированием и натом )
3) Для поддержки QOS ( ну или хотя бы гарантированной полосы с WAN интрерфейса ) для телефонии при туннелировании ( а зачатую схема будет такой VoIP-->IPSec-->PPtP (pppoe) потребуется некоторые извращения в реализации которых на FreeSWAN+Asus я не уверен.
Если сравнить вычислительные затраты на обслуживание ssh-туннеля или OpenVPN-туннеля с затратами на Cisco VPN туннель, то во сколько раз на ваш взгляд Cisco VPN туннель прожорливее?
P.S. вопрос не праздный, очень нужен Cisco VPN client внутри ASUS'а.
SinClaus
06-06-2008, 09:17
Может проще прокинуть GRE и прочее внутрь сети а клиента сделать на внутренней машине? Я так поднимал OpenVPN между офисами.
Может проще прокинуть GRE и прочее внутрь сети а клиента сделать на внутренней машине? Я так поднимал OpenVPN между офисами.
Мне надо организовать обратный канал связи - до домашнего компьютера, причем даже в то время, когда он выключен (переведен в ждущий режим). Домашний компьютер включен через Asus, находящийся за NAT-роутером, внешнего ip-адреса у моего Asus'а нет.
В локальную сеть моего рабочего места доступ извне возможен только по Cisco VPN Client.
Единственный выход - постоянный Cisco VPN Client туннель, организованный изнутри Asus'a и проще никак нельзя.
Здравствуй, ALL!
Форумчане, возникла необходимость реализовать на Wl-500gP (последняя Олеговская прошивка, 10) IPSec сервер. Идеально было бы FreeSWAN, OpenSWAN, StrongSWAN, но в репозитарии таковых нет. Нашёл, что в openwrt openswan есть и работает.
Будет ли openswan от openwrt работать на Олеговской прошивке?
Если да, то каким образом его установить - можно ли будет добавить нужный репозиторий от Openwrt и установить оттуда?
Спасибо за ответы.
P.S. ну или может аналоги какие-нибудь есть для олеговской прошивки?
P.P.S. а если точнее, то нужен VPN сервер для доступа из WAN в LAN, в который можно приконнектиться, используя стандартное виндовое VPN исходящее соединение.
poptop, только пишут что с ним проблемы на прошивке Олега
Здравствуй, ALL!
Форумчане, возникла необходимость реализовать на Wl-500gP (последняя Олеговская прошивка, 10) IPSec сервер. Идеально было бы FreeSWAN, OpenSWAN, StrongSWAN, но в репозитарии таковых нет. Нашёл, что в openwrt openswan есть и работает.
Будет ли openswan от openwrt работать на Олеговской прошивке?
Если да, то каким образом его установить - можно ли будет добавить нужный репозиторий от Openwrt и установить оттуда?
Спасибо за ответы.
P.S. ну или может аналоги какие-нибудь есть для олеговской прошивки?
P.P.S. а если точнее, то нужен VPN сервер для доступа из WAN в LAN, в который можно приконнектиться, используя стандартное виндовое VPN исходящее соединение.
Смотрите тут, пробуйте о результате отпишытесь :rolleyes:
openswan + OpenWRT (http://forum.openwrt.org/viewtopic.php?id=4881)
openswan.org/download/...openwrt/ (http://openswan.org/download/binaries/openwrt/)
poptop, только пишут что с ним проблемы на прошивке Олега
О, коллега, спасибо, на это я даже и не натыкался. Буду изучать.
Смотрите тут, пробуйте о результате отпишытесь :rolleyes:
openswan + OpenWRT (http://forum.openwrt.org/viewtopic.php?id=4881)
openswan.org/download/...openwrt/ (http://openswan.org/download/binaries/openwrt/)
Да, такие ссылки я тоже находил, как раз и уточнял, запустятся ли они, установятся ли? Смогут ли сами потянуть зависимости нужные... В общем, в раздумьях - т.к. в "родных" репозиториях то нету. Спасибо за информацию, тем не менее.
Добрый день.
Скажите есть ли решения по настройке тунеля ipsec между cisco и wl500 ?
долгие поиски по форума результата не дали
суть проблеммы объединить два офиса
Коллеги,
есть сей девайс, с прошивкой от Олега
Необходимо собрать на нём пакет openswan. В готовом виде его
нет. С сайта разработчиков я его выкачал, но он поняятно не ставится
- сборка на обычный комп под Linux.
Просвятите, что надо сделать, чтобы собрать пакет для
этого девайса.
спасибо.
Коллеги,
есть сей девайс, с прошивкой от Олега
Необходимо собрать на нём пакет openswan. В готовом виде его
нет. С сайта разработчиков я его выкачал, но он поняятно не ставится
- сборка на обычный комп под Linux.
Просвятите, что надо сделать, чтобы собрать пакет для
этого девайса.
спасибо.
После прочтения док по openswan-у пришёл к выводу, что
надо патчить ядро для поддержки ipsec, то бишь на самом девайсе этого не сделать.
Получается надо создавать новую прошивку?
theMIROn
23-04-2009, 20:36
Получается надо создавать новую прошивку?
почему бы и нет
http://code.google.com/p/wl500g/wiki/CompilingCustomFirmware
почему бы и нет
http://code.google.com/p/wl500g/wiki/CompilingCustomFirmware
Спасибо за ссылку, буду курить.
Здравствуйте, уважаемые, кто может подсказать есть ли возможность реализовать на данном устройстве с последней 10-ой прошивкой от Олега функцию IP Sec для организации защищенного канала с Cisco 800.
Буду очень презнателен если буду подробные разъяснения. Спасибо.
Полагаю,
ipkg install vpnc
решит вашу проблему.
[admin@localwlan root]$ ipkg list | grep "Cisco VPN"
vpnc - 0.5.1-1 - Client for Cisco VPN concentrator
Собственно есть сабжевый клиент
http://helpdesk.ugent.be/vpn/en/akkoord.php
собственно как можно понять
а) можно ли с помощью роутера сделать passthrow такого соединения
б) если да, то какой UDP порт надо форварднуть для этого, 500?
Собственно есть сабжевый клиент
http://helpdesk.ugent.be/vpn/en/akkoord.php
собственно как можно понять
а) можно ли с помощью роутера сделать passthrow такого соединения
б) если да, то какой UDP порт надо форварднуть для этого, 500?
а) не вижу никаких принципиальных проблем, но не пробовал
б) насколько помню, для Циско ВПН клиент по умолчанию нужно 500 и 4500 УДП в оба направления открыть.
хм, зачем 4500 не понял, но всё открою, раз вы говорите :)
Уважаемые гуру, мой моск сломан, нет боее сил бороться, поэтому обращаюсь к вам с вопросом:
На асусе запущен VPNC (тунель на файервол на работе) и производится нат на интерфесе tun0. Нат работает в обе стороны, телефон пингуется из сети на работе, и из дома пингуется вся рабочая сеть (10.128.0.0/255.192.0.0). Но на Call manager'е телефон регистрируется с IP адресом из моей домашней сети. Соответственно главный вопрос, как скрыть внутренний IP адрес от сети за тунелем. Нужно чтобы телефон регистрировался в CCM с адресом на интерфейсе tun0. Диаграмма и мой текущий файл post-firewall приложены.
Очень прошу попмощи, я сам больше по циске, чем по линуксу, и уже взорвал свой моск. :)
Мое мнение, нужно оставить в разделе nat только строку
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Также выкинуть все форварды, прероутинги и остальные строки с SNAT.
В бридж не стоит добавлять tun0.
Я бы оставил примерно так:
#!/bin/sh
iptables -I INPUT -p tcp --dport 51777 -j ACCEPT
iptables -I INPUT -p tcp --dport 9091 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 41427 -j ACCEPT
iptables -I INPUT -i tun0 -p udp --dport 16384-32768 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 69 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 2000 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 2443 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Если вы хотите форвардить какие-то порты, то поизучайте файлик /tmp/nat_rules, посмотрите как роутер настраивает правила
Мое мнение, нужно оставить в разделе nat только строку
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Также выкинуть все форварды, прероутинги и остальные строки с SNAT.
В бридж не стоит добавлять tun0.
Я бы оставил примерно так:
#!/bin/sh
iptables -I INPUT -p tcp --dport 51777 -j ACCEPT
iptables -I INPUT -p tcp --dport 9091 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 41427 -j ACCEPT
iptables -I INPUT -i tun0 -p udp --dport 16384-32768 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 69 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 2000 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 2443 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Если вы хотите форвардить какие-то порты, то поизучайте файлик /tmp/nat_rules, посмотрите как роутер настраивает правила
Спасибо за ответ, Basile!
Убрал все лишнее, вроде хуже не стало, но и лучше тоже. Т.е. маскарад не происходит. В Call Manager телефон все равно регистрируется под IP из локалки. И соответственно голос не идет. Меня слышно, а я ни кого не слышу. Может есть какие-то еще идеи, что можно попробовать ? Я почитал мануал к iptables и понял, что SNAT вроде как должен конкретно прописывать в заголовок пакета тот адрес, который указан в правиле. Может с этим как-то поэкспериментировать ?
Спасибо.
Все, спасибо, Basile!
Заработало. Я так понял, что ваше проедложение по оптимизации iptables очень правильное, но фишка в том, что нат и маскарад правильно отрабатывался и раньше, а телефон регистрировался под IP из локалки из-за того что он сообщал свой адрес не в загаловке IP пакета, а выше, на уровне skinny. Я это обошел добавив статическое правило на ASA, которое жестко мапит 192.168.1.214 (телефон) в 10.146.80.6 (tun0) на интефейсе Inside. Пришлось еще с VPN поколдовать, чтобы моему АСУСу всегда назначался именнто этот адрес. В общем все теперь работает. Можно это все красиво расписать (сам я не умею :) ) и оформить как готовое решение.
angelexe
16-08-2009, 14:09
Добрый день уважаемые форумчане, сами мы местные, являюсь счастливым обладателем wl-500gP v1.
Используется как домашний wi-fi маршрутиризатор с подключнным к нему 300 гигабайтным винтом и принтером. На нём стоит последняя прошивка отсюда http://code.google.com/p/wl500g/ (за неё отдельный респект :D ) и крутится transmission, samba, lighttpd, proftpd, настроен vpn сервер и ещё много чего.
Появилась необходимость настроить соединение с cisco. Был выбран, установлен и настроен vpnc.
Теперь сама проблема:
Vpnc поднимает соединение и в ifconfige появляется новый интерфейс tun0.
Но если маленькая проблема, мой провайдер корбина и внутреняя сеть у него имеет диапазон 10.0.0.0, точно такой же диапазон у сети к которой я коннекчусь по vpnc :( В связи с чем доступа в сеть через tun0 нет.
Вот вывод ifconfig после поднятия интерфейса:
br0 Link encap:Ethernet HWaddr 00:22:15:36:26:EB
inet addr:192.168.168.1 Bcast:192.168.168.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2950688 errors:0 dropped:0 overruns:0 frame:0
TX packets:5215556 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:246331315 (234.9 MiB) TX bytes:2370167440 (2.2 GiB)
eth0 Link encap:Ethernet HWaddr 00:22:15:36:26:EB
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:97032205 errors:2795 dropped:0 overruns:257 frame:257
TX packets:128361943 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:4096278061 (3.8 GiB) TX bytes:1558083620 (1.4 GiB)
Interrupt:4 Base address:0x1000
eth1 Link encap:Ethernet HWaddr 00:22:15:36:26:EB
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2322635 errors:0 dropped:0 overruns:0 frame:14395514
TX packets:4197226 errors:229 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:247358982 (235.8 MiB) TX bytes:711656391 (678.6 MiB)
Interrupt:12 Base address:0x2000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:1069426 errors:0 dropped:0 overruns:0 frame:0
TX packets:1069426 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:97594254 (93.0 MiB) TX bytes:97594254 (93.0 MiB)
ppp0 Link encap:Point-to-Point Protocol
inet addr:95.24.6.X P-t-P:85.21.0.255 Mask:255.255.255.255
UP POINTOPOINT RUNNING MULTICAST MTU:1460 Metric:1
RX packets:3012862 errors:0 dropped:0 overruns:0 frame:0
TX packets:5097785 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:481675564 (459.3 MiB) TX bytes:155183592 (147.9 MiB)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 -00
inet addr:10.86.X.X P-t-P:10.86.X.X Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1412 Metric:1
RX packets:5 errors:0 dropped:0 overruns:0 frame:0
TX packets:243 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10
RX bytes:504 (504.0 B) TX bytes:15074 (14.7 KiB)
vlan0 Link encap:Ethernet HWaddr 00:22:15:36:26:EB
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:628919 errors:0 dropped:0 overruns:0 frame:0
TX packets:1854463 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:34444354 (32.8 MiB) TX bytes:2016592654 (1.8 GiB)
vlan1 Link encap:Ethernet HWaddr 00:22:15:36:26:EB
inet addr:10.188.X.X Bcast:10.188.X.255 Mask:255.255.248.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:96403283 errors:0 dropped:0 overruns:0 frame:0
TX packets:126507480 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2315253589 (2.1 GiB) TX bytes:3836458262 (3.5 GiB)
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
85.21.88.130 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
10.80.0.2 10.86.0.136 255.255.255.255 UGH 0 0 0 tun0
85.21.192.3 10.188.0.1 255.255.255.255 UGH 1 0 0 vlan1
195.14.50.16 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
217.118.84.213 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
85.21.52.254 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.1.13 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.1.14 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.18.19 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
195.14.50.21 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
195.14.50.26 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
10.80.1.33 10.86.0.136 255.255.255.255 UGH 0 0 0 tun0
194.67.1.115 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
85.21.0.255 10.188.0.1 255.255.255.255 UGH 2 0 0 vlan1
89.179.135.67 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
213.234.192.8 10.188.0.1 255.255.255.255 UGH 1 0 0 vlan1
195.14.50.93 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.18.72 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
194.67.1.130 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
217.118.84.249 10.188.0.1 255.255.255.255 UGH 0 0 0 vlan1
78.107.235.4 10.188.0.1 255.255.255.252 UG 0 0 0 vlan1
85.21.72.80 10.188.0.1 255.255.255.240 UG 0 0 0 vlan1
78.107.51.0 10.188.0.1 255.255.255.240 UG 0 0 0 vlan1
85.21.108.16 10.188.0.1 255.255.255.240 UG 0 0 0 vlan1
83.102.231.32 10.188.0.1 255.255.255.240 UG 0 0 0 vlan1
85.21.138.208 10.188.0.1 255.255.255.240 UG 0 0 0 vlan1
83.102.146.96 10.188.0.1 255.255.255.224 UG 0 0 0 vlan1
233.32.240.0 10.188.7.47 255.255.255.0 UG 0 0 0 vlan1
85.21.90.0 10.188.0.1 255.255.255.0 UG 0 0 0 vlan1
192.168.168.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
78.107.23.0 10.188.0.1 255.255.255.0 UG 0 0 0 vlan1
85.21.79.0 10.188.0.1 255.255.255.0 UG 0 0 0 vlan1
78.107.196.0 10.188.0.1 255.255.252.0 UG 0 0 0 vlan1
10.188.0.0 0.0.0.0 255.255.248.0 U 0 0 0 vlan1
10.0.0.0 10.86.0.136 255.0.0.0 UG 0 0 0 tun0
10.0.0.0 10.188.0.1 255.0.0.0 UG 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 85.21.0.255 0.0.0.0 UG 0 0 0 ppp0
0.0.0.0 10.188.0.1 0.0.0.0 UG 1 0 0 vlan1
Хотелось бы что после поднятия интерфейса tun0 весь трафик к сети 10.0.0.0 шел через него. Подскажите как :o
Уважаемые гуру, прошу помощи по адаптации скрипта для авто-реконнекта VPNC от DD-WRT, который опубликован тут: http://www.dd-wrt.com/wiki/index.php/VPNC .
У товарища на Линксис он отлично работает, а на Асусе как есть не запускается.
Помогите пожалуйста его переделать.
Спасибо.
Вот сам скрипт:
================================================== =======
mkdir /tmp/etc/vpnc
rm -f /tmp/etc/vpnc/vpnc.sh
echo '
#!/bin/sh
vpn_concentrator="host" ##enter ip or hostname of your Ipsec vpn concentrator
vpn_keepalive_host1="keepalive1" ##enter the ip or hostname of a computer that is only reachable if vpn connection is established.
vpn_keepalive_host2="keepalive2" ##enter the ip or hostname of a computer that is only reachable if vpn connection is established.
vpn_groupname="grid" ##enter the group name here
vpn_grouppasswd="grppasswd" ##enter the group password here
vpn_username="username" ##enter your username here
vpn_password="password" ##enter your password here
#--do not edit this--
#Written by Alain R. 28.Sep.2007
vpnc-disconnect
rm -f /tmp/etc/vpnc/vpn.conf
echo "
IPSec gateway $vpn_concentrator
IPSec ID $vpn_groupname
IPSec secret $vpn_grouppasswd
Xauth username $vpn_username
Xauth password $vpn_password
" >> /tmp/etc/vpnc/vpn.conf
pingtest1 () {
ping -q -c1 $param1 >> /dev/null
if [ "$?" == "0" ]; then
echo 0 #reachable
else
echo 1 #not reachable
fi
}
pingtest2 () {
ping -q -c2 $param2 >> /dev/null
if [ "$?" == "0" ]; then
echo 0 #reachable
else
echo 1 #not reachable
fi
}
while [ true ]; do
param1=$vpn_concentrator;
if [ "`pingtest1`" == "0" ]; then #Vpn concentrator reachable
doloop=1;
while [ $doloop -gt 0 ]; do
param1=$vpn_keepalive_host1;
if [ "`pingtest1`" == "0" ]; then
sleep 300
else
param2=$vpn_keepalive_host2;
if [ "`pingtest2`" == "0" ]; then
sleep 300
else
doloop=0;
vpnc-disconnect
vpnc /tmp/etc/vpnc/vpn.conf --dpd-idle 0
sleep 1
if [ "`pingtest1`" != "0" ]; then
sleep 10
fi
tundev="`ifconfig |grep tun |cut -b 1-4`"
iptables -A FORWARD -o $tundev -j ACCEPT
iptables -A FORWARD -i $tundev -j ACCEPT
iptables -t nat -A POSTROUTING -o $tundev -j MASQUERADE
sleep 9
fi
fi
done
else
sleep 10;
fi
done
return 0;
' >> /tmp/etc/vpnc/vpnc.sh
chmod 700 /tmp/etc/vpnc/vpnc.sh
/tmp/etc/vpnc/vpnc.sh&
================================================== ====
angelexe
03-09-2009, 11:58
а запустить скрипт и узнать чего ему не хватает религия не позволяет?:cool:
Я как то пытался настроить vpnc на роутере, скажу так, я это сдела но из-за пересекающихся сетей работать с ним не смог, поэтому пришлось снести.
Первым делом вам нужен модуль tun в ядре, второе это установить сам vpnc, а там дальше запустите скрипт в консоле и увидите на что он ругается.
Скрипт должен выглядеть как то так:
mkdir /opt/tmp/etc/vpnc
rm -f /opt/tmp/etc/vpnc/vpnc.sh
echo '
#!/bin/sh
vpn_concentrator="host" ##Ip cisco шлюза
vpn_keepalive_host1="keepalive1" ##1 Ip за циско по которому можно тестить соединение.
vpn_keepalive_host2="keepalive2" ##2 Ip за циско по которому можно тестить соединение.
vpn_groupname="grid" ##Имя группы
vpn_grouppasswd="grppasswd" ##Пароль группы
vpn_username="username" ##логин
vpn_password="password" ##пароль
#--do not edit this--
#Written by Alain R. 28.Sep.2007
vpnc-disconnect
rm -f /opt/tmp/etc/vpnc/vpn.conf
echo "
IPSec gateway $vpn_concentrator
IPSec ID $vpn_groupname
IPSec secret $vpn_grouppasswd
Xauth username $vpn_username
Xauth password $vpn_password
" >> /opt/tmp/etc/vpnc/vpn.conf
pingtest1 () {
ping -q -c1 $param1 >> /dev/null
if [ "$?" == "0" ]; then
echo 0 #reachable
else
echo 1 #not reachable
fi
}
pingtest2 () {
ping -q -c2 $param2 >> /dev/null
if [ "$?" == "0" ]; then
echo 0 #reachable
else
echo 1 #not reachable
fi
}
while [ true ]; do
param1=$vpn_concentrator;
if [ "`pingtest1`" == "0" ]; then #Vpn concentrator reachable
doloop=1;
while [ $doloop -gt 0 ]; do
param1=$vpn_keepalive_host1;
if [ "`pingtest1`" == "0" ]; then
sleep 300
else
param2=$vpn_keepalive_host2;
if [ "`pingtest2`" == "0" ]; then
sleep 300
else
doloop=0;
vpnc-disconnect
vpnc /opt/tmp/etc/vpnc/vpn.conf --dpd-idle 0
sleep 1
if [ "`pingtest1`" != "0" ]; then
sleep 10
fi
tundev="`ifconfig |grep tun |cut -b 1-4`"
iptables -A FORWARD -o $tundev -j ACCEPT
iptables -A FORWARD -i $tundev -j ACCEPT
iptables -t nat -A POSTROUTING -o $tundev -j MASQUERADE
sleep 9
fi
fi
done
else
sleep 10;
fi
done
return 0;
' >> /opt/tmp/etc/vpnc/vpnc.sh
chmod 700 /tmp/etc/vpnc/vpnc.sh
/opt/tmp/etc/vpnc/vpnc.sh&
Дык у меня уже работает VPNC, причем прекрасно все пашет и ниче не пересекается. Но просто через некоторое время отваливается. Поэтму я и хотел использовать решение от ВРТ. Спасибо за ответ. Попробую. Вопрос: после выполнения этого скрипта мне записать все во флэш и потом запускать vpnc при старте тем скриптом что получился на выходе ?
Попробовал. Не работает ( не создает ниче и не пашет. Простите, я в линухе слаб (
Тут и посерьезнее задачи решали!
AndreyUA
30-09-2009, 19:24
Имеется удаленная сетка, к которой нужно подключаться через l2tp ipsec. Имеется айпи, логин, пароль и preshared key для доступа. Под виндовой машиной настроить это подключение не составляет особого труда. Погуглив, я не нашел какой-либо вразумительной инфы на этот счет для линуха. Может у кого есть опыт подключения роутера/линуховой_машины подобным способом? И вообще, возможно ли замутить подобное на роутере?
sergeime
17-10-2009, 09:17
У меня вот так работает на wl500gp2
#!/bin/sh
vpn_concentrator="xx.xx.xx.xx" ##enter ip or hostname of your Ipsec vpn concentrator
vpn_keepalive_host1="192.168.1.74" ##enter the ip or hostname of a computer that is only reachable if vpn connection is established.
vpn_keepalive_host2="192.168.1.75" ##enter the ip or hostname of a computer that is only reachable if vpn connection is established.
vpn_groupname="xxxx" ##enter the group name here
vpn_grouppasswd="yyyy" ##enter the group password here
vpn_username="xxxx" ##enter your username here
vpn_password="yyyy" ##enter your password here
LOG="/usr/bin/logger -t cisco-vpn"
mkdir /tmp/etc/vpnc
#--do not edit this--
#Written by Alain R. 28.Sep.2007
vpnc-disconnect
rm -f /tmp/etc/vpnc/vpn.conf
echo "
IPSec gateway $vpn_concentrator
IPSec ID $vpn_groupname
IPSec secret $vpn_grouppasswd
Xauth username $vpn_username
Xauth password $vpn_password
" >> /tmp/etc/vpnc/vpn.conf
pingtest1 () {
if ping -q -c 1 $param1 >> /dev/null; then
echo 0 #reachable
else
echo 1 #not reachable
fi
}
pingtest2 () {
if ping -q -c 1 $param2 >> /dev/null; then
echo 0
else
echo 1
fi
}
while [ true ]; do
param1=$vpn_concentrator;
if [ "`pingtest1`" = "0" ]; then #Vpn concentrator reachable
doloop=1;
while [ $doloop -gt 0 ]; do
param1=$vpn_keepalive_host1;
if [ "`pingtest1`" = "0" ]; then
sleep 300
else
param2=$vpn_keepalive_host2;
if [ "`pingtest2`" = "0" ]; then
sleep 300
else
$LOG "Cisco VPN connection is dead, restarting"
doloop=0;
vpnc-disconnect
vpnc /tmp/etc/vpnc/vpn.conf --dpd-idle 0
sleep 1
if [ "`pingtest1`" != "0" ]; then
sleep 10
fi
tundev="`ifconfig |grep tun |cut -b 1-4`"
iptables -A FORWARD -o $tundev -j ACCEPT
iptables -A FORWARD -i $tundev -j ACCEPT
iptables -t nat -A POSTROUTING -o $tundev -j MASQUERADE
sleep 9
fi
fi
done
else
sleep 10;
fi
done
return 0;
Присоединяюсь
Есть ли какие-то пакеты для поднятия IPSec?
Судя по всему, поддержка в ядре есть
Присоединяюсь к вопросу. Хотябы клиент установить.
Поскольку на google всех, видимо, забанили, поиск в форуме отменили, отвечу кратко здесь.
Ключевое слово - OpenSWAN, но ему требуется еще модуль ядра который:
на ядра 2.4.20 (1.9.2.7-10) спортировать нереально
на ядра 2.4.37 (1.9.2.7-d) спортировать реально, но потрудиться придётся
есть на ядрах 2.6 (OpenWRT)
Поскольку желающих портировать и собирать тестовый стенд нет, то нами эта задача задвинута в дальний угол.
А как же FreeS/WAN ?
Например в GPL Source Code от WD NetCenter (http://support.wdc.com/product/download.asp?groupid=409&sid=41&lang=en) он есть, а там 2.4.20 .
А как же FreeS/WAN ?
Например в GPL Source Code от WD NetCenter (http://support.wdc.com/product/download.asp?groupid=409&sid=41&lang=en) он есть, а там 2.4.20 .
Значит кто-то сделал это. Я же не написал "невозможно" - возможно почти всё ;)
Основную проблему я скорее вижу в том, что никто не готов вести эту задачу, а именно -
подготовить тестовый стенд
собрать OpenSWAN/FreeSWAN, понять чего не хватает на самом деле
адаптировать патч (http://gondor.apana.org.au/~herbert/ipsec-2.4/files/)
протестировать
Тоже интересует. Пытался установить Openswan - пока безрезультатно, модулей не хватает. :confused: Может быть кто-нибудь знает способ установить только клиент. без сервера?
Opilki_Inside
26-05-2010, 09:33
[admin@WL-001E8C3E0ADE etc]$ ipkg install vpnc
Installing vpnc (0.5.3-1) to /opt/...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/unstable/vpnc_0.5.3-1_mipsel.ipk
Nothing to be done
An error ocurred, return value: 1.
Collected errors:
ERROR: Cannot satisfy the following dependencies for vpnc:
kernel-module-tun
Я знаю что многим удалось успешно установить VPNC, может кто подскажет как решить эту зависимость?
Opilki_Inside
27-05-2010, 14:51
Тема еще актуальна...
Версия ядра:
2.4.37.9 #2 2010-02-21 14:31:38 MSK
Может кто подскажет хоть куда копать? Пересобрать ядро с этим модулем? Я не шибко прошарен в nix'ах...
Проблема очень актуальна. У кого-нибудь есть решение?
Мне удалось поставить IPSEC без внешнего диска на WL500gpV2, но только с прошивкой OpenWRT Backfire (ядро 2.6.32). работает стабильно, без каких-либо тормозов. Openswan есть в opkg т.ч. при установке бубен не требуется, а вот при настройке конфигов не помешает:D
Имеются пара RT-N16, подключенные к Интернет через l2tp и еще один - "напрямую". У всех - динамические внешние адреса (успешно обновляются через DynDNS). Внутренние сети разные: 192.168.100.х, 99.х, 98.х
Требуется сделать:
1. Постоянный защищенный VPN между всеми ними, чтобы из любой подсети можно было гонять пакеты в любую другую.
2. Возможность подключения стандартным VPN WinXP/Win7 к любой из точек доступа из остальных мест.
Подскажите, существует ли возможность реализовать подобное решение?
Добрый день, есть необходимость поднять несколько впн тунелей из дома в офисы.
доп железо ставить не имею желания, возможно ли на прошивке энтузиастов для этого роутера поднять 2 -3 ipsec тунеля по верх pppoe соединения, и как это сделать. явных настроек не вижу.
имею впн сервер на базе dlink dfl-210 поднят ipsec с ключевой фразой, шифрование более 128 бит
клиентами работают длинк 804...
могу провести испытание чего угодно на олеговской прошивке, но нужно шевство, ибо опыта не очень много
Тема еще актуальна...
Версия ядра:
2.4.37.9 #2 2010-02-21 14:31:38 MSK
Может кто подскажет хоть куда копать? Пересобрать ядро с этим модулем? Я не шибко прошарен в nix'ах...
Привет, ну как удалось? Просто у меня та же самая проблема
Opilki_Inside
11-01-2011, 18:21
Привет, ну как удалось? Просто у меня та же самая проблема
Не, я так и не разобрался :( Ты отпишись здесь, если получится.
Доброе время суток, прошу прощения за возможной повтор, но я так и не нашел на форуме ответа на свой вопрос.
Проблема в следующем, пытаюсь установить vpnc на роутер Asus wl 500 прошитой последней прошивкой от энтузиастов, на него поставлено ПО для чайников, примантированна флешка на 8 гб, все работает ок, тока проблемка при попытке поставить пакет vpnc,
Последовательность действий такова:
1. Как учат многие ipkg update - все проходит на ура
2. Просматриваем командой list какие пакеты доступны, на экране примерно следующее
[admin@WL-001D60DFFAB5 root]$ ipkg list *nc*
electric-fence - 2.1.14.1-1 - C memory debugging library
enhanced-ctorrent - dnh3.3.2-11 - Enhanced CTorrent is a revised version of CTorrent
finch - 2.5.3-1 - Finch is a console-based IM program that lets you sign on to AIM, Jabber, MSN, Yahoo!, and other IM networks. It uses ncurses.
libopensync - 0.22-1 - A synchronization engine.
librsync - 0.9.7-1 - librsync is a free software library that implements the rsync remote-delta algorithm.
libvncserver - 0.9.1-1 - LibVNCServer is a library that makes it easy to make a VNC server.
msynctool - 0.22-1 - CLI for opensync.
nbench-byte - 2.2.2-1 - BYTE's Native Mode Benchmarks
ncdu - 1.4-1 - NCurses Disk Usage.
ncftp - 3.2.2-1 - Nice command line FTP client
ncmpc - 0.13-1 - A curses client for the Music Player Daemon (MPD).
ncurses - 5.7-1 - NCurses libraries
ncursesw - 5.7-1 - NCurses libraries with wide char support.
opencdk - 0.5.13-1 - GNU cryptographic library.
perl-encode-detect - 1.00-1 - Detects the encoding of data.
perl-lexical-persistence - 0.97-1 - Persistent lexical variable values for arbitrary calls.
phoneme-advanced - 0.0.mr.2.b.34-1 - J2ME phoneme advanced, including CDC JVM.
py24-formencode - 1.2.1-1 - A form generation and validation package for python.
py24-yenc - 0.3-1 - A module that provides only raw yEnc encoding/decoding with builtin crc32 calculation (C implementation).
py25-formencode - 1.2.1-1 - A form generation and validation package for python.
py25-yenc - 0.3-1 - A module that provides only raw yEnc encoding/decoding with builtin crc32 calculation (C implementation).
py26-formencode - 1.2.1-1 - A form generation and validation package for python.
rsync - 3.0.5-1 - fast remote file copy program (like rcp)
tmsnc - 0.3.2-1 - Text-based MSN client.
vpnc - 0.5.1-1 - Client for Cisco VPN concentrator
Successfully terminated.
вроде все ок
3. Пытаемся установить и получаем
[admin@WL-001E8C3E0ADE etc]$ ipkg install vpnc
Installing vpnc (0.5.3-1) to /opt/...
Downloading http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/unstable/vpnc_0.5.3-1_mipsel.ipk
Nothing to be done
An error ocurred, return value: 1.
Collected errors:
ERROR: Cannot satisfy the following dependencies for vpnc:
kernel-module-tun
Здесь я находил похожий вопрос, но ответ так и не нашел.
На сколько я понял, и мне объяснили , что это означает, ipkg не может удовлетворить зависимости которые тянет за собой пакет vpnc
Как можно обойти данную проблему? Есть ли способ обойти проверку(типа ключа на rpm "--nodeps")
Не, я так и не разобрался :( Ты отпишись здесь, если получится.
Буду краток, установить получилось через ipkg.sh
Действия стандартные
ipkg.sh upgrade
ipkg.sh install vpnc
вот и все дела как оказалось
Я установил vpnc себе на Asus, теперь бы кто нибудь помог разобраться как его настроить. Чета я тут не нашел инструкции для чайника
Как писал выше, IPSec мне установить на rt-n16 не удалось, только на WL500gp (на него есть прошивка OpenWrt). А OpenVPN прекрасно работает на rt-n16 c прошивкой энтузиастов, что вполне обеспечивает слияние 2-х сетей со скоростью > 10 Мбит. Проверял на трех тоннелях одновременно. vpnc так и не удалось.
Vpnc установился, но не запускается. вот что говорит:
[admin@(none) root]$ vpnc
/opt/etc/vpnc/vpnc-script: line 529: syntax error: unexpected word (expecting ")")
can't open /dev/net/tun, check that it is either device char 10 200 or (with DevFS) a symlink to ../misc/net/tun (not misc/net/tun): No such file or directory
can't initialise tunnel interface: No such file or directory
led, попробуй: insmod tun
McLeod095
26-04-2011, 14:11
Добрый день!
Начал копаться что бы настроить ipsec на rt-n16 и понял что в прошивке урезан данный функционал.
Это так и есть?
И если это так, есть ли какие-нибудь варианты исправить данное положение?
Начал копаться что бы настроить ipsec на rt-n16 и понял что в прошивке урезан данный функционал.
Это так и есть?
Он не урезан, его полноценной поддержки просто нет в стареньком 2.6.22
И если это так, есть ли какие-нибудь варианты исправить данное положение?
Бекпорты с более свежих ядер. Но желающих пока не находилось.
AndreyUA
26-04-2011, 19:36
Он не урезан, его полноценной поддержки просто нет в стареньком 2.6.22
Бекпорты с более свежих ядер. Но желающих пока не находилось.Желающие были, опыта достаточного не было. Там ведь патчик очень непростой.
Подскажите, пожалуйста, есть ли возможность поднять IPSec туннель на данной прошивке? Т.е. интересует, возможность модема самостоятельно поднимать ipsec vpn. Если это возможно, как это лучше сделать?
Господа разработчики, подскажите:
1. насколько реально получить работающий ipsec (не openvpn, а именно ipsec) на девайсах класса RT-N16 и какова будет производительность этого решения? на другом конце предполагается что-нибудь "цисковое" или железяки типа dlink dfl-800. Или, как вариант, pfsense.
2. Подскажите, чем можно кэшировать+ограничивать выход в inet для локалки, в идеале - что-то подобное squid. впихнуть hdd по usb, на нем кэш, плюс возможности squid по acl...
3. И уже совсем заоблачная мечта - представим себе, что есть 30 точек с одинаковыми роутерами, разбросанными по нашей необъятной столице... Как бы сделать так, чтобы они могли тянуть одинаковую часть настроек централизованно, например, с одного сервера (хотя бы по ftp/http/https/ - в идеале - по vpn через ipsec)...
2. Подскажите, чем можно кэшировать+ограничивать выход в inet для локалки, в идеале - что-то подобное squid. впихнуть hdd по usb, на нем кэш, плюс возможности squid по acl...
Ну не то это решение даже для небольшого офиса.
Зачем Вам такие тормоза?
Как бы сделать так, чтобы они могли тянуть одинаковую часть настроек централизованно, например, с одного сервера (хотя бы по ftp/http/https/ - в идеале - по vpn через ipsec)...
В чем проблема?
"Закидывайте" через ssh/scp, для "массового" управления устройствами по ssh есть масса программ, к примеру, для Linux mssh, clusterssh, sshm, pssh...
Он не урезан, его полноценной поддержки просто нет в стареньком 2.6.22
А можно по подробней, какие проблемы в 2.6.22 с IPSEC?
Я посмотрел какие были патчи на ipsec в более свежих ядрах. Но не нашёл каких то фатальных патчей.( К сожалению git.kernel.org не работает, нормально изучить все патчи трудно.) Смотрел /net/ipv4/ah4.c, esp4, ipcomp.c, xfrm4_*.c и /net/xfrm/*
Из того что нашёл
в 2.6.24 серию патчей от тов. Herbert Xu
в 2.6.25
IPSEC: Allow async algorithms, add support for combined mode algorithms
http://git.kernel.org/git/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=6fbf2cb77461a0cd0675228d20dd0f7 0d7b2251f
http://git.kernel.org/git/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=1a6509d991225ad210de54c63314fd9 542922095
Или проблемы с IPSEC связанны другими патчами из пошивки?
А можно по подробней, какие проблемы в 2.6.22 с IPSEC?
Оно (IPSEC) неработоспособно в 2.6.22. Увы, это факт. Если ты вдруг нашёл обратные примеры - ссылки в студию!
Я по посмотрел какие были патчи на ipsec в более свежих ядрах. Но не нашёл каких то фатальных патчей.( К сожалению git.kernel.org не работает, нормально изучить все патчи трудно.) Смотрел /net/ipv4/ah4.c, esp4, ipcomp.c, xfrm4_*.c и /net/xfrm/*
Значит, невнимательно искал. Их там вагон и маленькая тележка(с зависимостями).
Ну и работает https://github.com/torvalds/linux/ и всегда можно скачать весь git ядра себе локально, раз уж такая задница с kernel.org.
Или проблемы с IPSEC связанны другими патчами из пошивки?
Напрямую - нет. Бекпорт несколько затруднен из-за l2tp и 612-multiple_default_gateways.patch, но и только.
Значит, невнимательно искал. Их там вагон и маленькая тележка(с зависимостями).
Ну и работает https://github.com/torvalds/linux/ и всегда можно скачать весь git ядра себе локально, раз уж такая задница с kernel.org.
Из того что нашёл
в 2.6.24 серию патчей от тов. Herbert Xu
в 2.6.25
IPSEC: Allow async algorithms, add support for combined mode algorithms
http://git.kernel.org/git/?p=linux/k...dd0f70d7b2251f
http://git.kernel.org/git/?p=linux/k...14fd9542922095
Из того что нашёл
в 2.6.24 серию патчей от тов. Herbert Xu
Именно где-то с 2.6.24 IPSEC и механизм keys начинают корректно работать.
Сетевая подсистема и, в частности инкапсуляция xfrm, очень сильно менялась в 2.6.22 - 2.6.26. И по зависимостям вылезает очень много.
В который раз повторюсь - найти патчи это, увы, небольшая часть решения. Основное - это иметь рабочий стенд и понимать не в общем, а в деталях, как именно работает IPSEC. Пока такого героя не нашлось...
извините, если пост не совсем по адресу.
скажите пожалуйста, поддерживает ли прошивка для wl500w l2tp\ipsec pass through? если да, то как это настроить (в web интерфейсе не нашел, только проброс для pppoe).
ставил сегодня http://code.google.com/p/wl500g/downloads/detail?name=WL500W-1.9.2.7-rtn-r3300.trx&can=2&q=
скажите пожалуйста, поддерживает ли прошивка для wl500w l2tp\ipsec pass through? [/url]
Для ipsec попробуйте прописать в post-firewall строки:
iptables -I INPUT -P udp --dport 500 -j ACCEPT
iptables -I INPUT -p udp --dport 4500 -j ACCEPT
У меня так работало на WL500gp2 и работает на RT-N16
mar1boro
06-03-2012, 13:54
ищу возможность поднимать с wl500gp1 соединение, аналогичное cisco vpn client. Были ли удачные случаи?
ищу возможность поднимать с wl500gp1 соединение, аналогичное cisco vpn client. Были ли удачные случаи?
vpnc в репозитории openwrt полностью работоспособен.
mar1boro
07-03-2012, 09:33
vpnc в репозитории openwrt полностью работоспособен.
спасибо за инфо. попробую поставить openwrt и разобраться. Надеюсь там хоть gui есть :)
спасибо за инфо. попробую поставить openwrt и разобраться. Надеюсь там хоть gui есть :)
Я имел в виду репозиторий openwrt, собранный под местную прошивку:rolleyes:
Готово, r466 (http://code.google.com/p/wl500g-repo/source/detail?r=466).
Но я в IPSEC ничего не понимаю.
Эх, пропустил запрос. Раз пять уже писал - IPSEC на роутере работать не будет, нет корректной поддержки в ядре.
ryzhov_al
03-04-2012, 07:43
Эх, пропустил запрос. Раз пять уже писал - IPSEC на роутере работать не будет, нет корректной поддержки в ядре.Оставить для других прошивок? Есть где-нибудь IPSEC в SOHO-роутерах? Я не ожидал, что репозиторием будут пользоваться на таком количестве разношёрстных устройств.
Оставить для других прошивок? Есть где-нибудь IPSEC в SOHO-роутерах? Я не ожидал, что репозиторием будут пользоваться на таком количестве разношёрстных устройств.
В OpenWRT естественно работает. Сделал ли sfstudio бекпорт поддержки IPSEC в свою wive-rtnl, не знаю. Во всех остальных, на ядрах 2.6.22 и более старых (кадавр dd-wrt 2.6.23, 2.6.21, 2.6.18, 2.6.12) - однозначно нет.
Поэтому лично я бы пока удалил, чтобы не было глупых вопросов. Но смотри сам, других причин я не вижу.
В OpenWRT естественно работает. Сделал ли sfstudio бекпорт поддержки IPSEC в свою wive-rtnl, не знаю. Во всех остальных, на ядрах 2.6.22 и более старых (кадавр dd-wrt 2.6.23, 2.6.21, 2.6.18, 2.6.12) - однозначно нет.
Поэтому лично я бы пока удалил, чтобы не было глупых вопросов. Но смотри сам, других причин я не вижу.
Стоит ли ждать поддержку IPSEC в будущих версиях прошивок для RT N66U/N16?
Спасибо.
Стоит ли ждать поддержку IPSEC в будущих версиях прошивок для RT N66U/N16?
Я уже неоднократно отвечал - без активного участия кого-нибудь, разбирающегося в IPSEC, и могущего построить стенд на линуксе и настроить CISCO, вероятность исчезающе мала.
Есть удаленная сеть, к которой подключаюсь с помощью AnyConnect. Странность такого подключения в том, что не нужно указывать IPSec ID/secret. Это и есть SSL VPN?
Как подключиться к такой сети с помощью VPNC?
Если это возможно, то как сделать так, чтобы компы за роутером получили доступ в удаленную VPN-сеть?
ryzhov_al
08-04-2012, 14:24
Как подключиться к такой сети с помощью VPNC?Насколько я понял, никак. Во всяком случае, после показа скриншотов Cisco AnyConnect тов.tridog, он рекомендовал отказаться от попыток использования vpnc и предложил смотреть в сторону OpenConnect VPN Client (http://www.infradead.org/openconnect/index.html).
Видимо, придётся озаботиться портированием последнего в новый репозиторий.
lll123lll
13-04-2012, 09:21
Здравствуйте.
У меня RT-N16 c DD-WRT (2.6.24.111 нужен vpnc, а на 2.6.22 он не работает)
Прочитал в стартовом посте, что новый репозиторий можно подключить на DD-WRT
но при запуске entware_install.sh спотыкается на вызовах ipkg.sh
root@LVRouter:/tmp# /tmp/ipkg.sh update
head: invalid option -- 1
можно установить вручную без скрипта или поправить ошибку?
если заменить head -1 на sed -ne 1p то должно заработать?
заменил "head -1" на "sed -ne 1p" в ipkg.sh
/tmp/ipkg.sh update
/tmp/ipkg.sh install uclibc-opt
/tmp/ipkg.sh install opkg
отработало нормально но при запуске /opt/bin/opkg update выдало ошибку Segmentation fault
Здравствуйте.
У меня RT-N16 c DD-WRT (2.6.24.111 нужен vpnc, а на 2.6.22 он не работает)
У меня он прекрасно работает на олеговской с ядром 2.6.22.
ryzhov_al
13-04-2012, 10:19
У меня он прекрасно работает на олеговской с ядром 2.6.22.Не в этом дело. В DD-WRT настолько обрезанный busybox, что не понимает $ head -1. Позже посмотрю что с этим можно сделать, но всё больше склоняюсь к сборке какого-нибудь статического бинарника ipkg/opkg, лишённого этих проблем.
Gospodinbu
13-04-2012, 19:54
Я уже неоднократно отвечал - без активного участия кого-нибудь, разбирающегося в IPSEC, и могущего построить стенд на линуксе и настроить CISCO, вероятность исчезающе мала.
А какой именно нужен стнед? Cisco 2811 под рукой есть, хотелось быв помочь по возможности с этим делом.
А какой именно нужен стнед? Cisco 2811 под рукой есть, хотелось быв помочь по возможности с этим делом.
Так как я практически ничего не знаю в IPSEC (у theMIROn похожая ситуация, иначе бы он сам давно спортировал эту фичу), то я представлял себе процесс сотрудничества следующим образом:
кто-то строит работоспособный IPSEC стенд с CISCO + linux на компе
выставляет циску в интернет, передаёт нам знания по развёртыванию linux'овой части
мы делаем соответствующие бекпорты к ядру
при тестировании хотелось бы, чтобы было кого спросить, а что именно не нравится циске? Чтобы не ходить по уже известным граблям
Дополнения и/или исправления приветствуются.
P.S. Но заняться смогу только после добавления поддержки RT-N12C1
Gospodinbu
16-04-2012, 12:38
Так как я практически ничего не знаю в IPSEC (у theMIROn похожая ситуация, иначе бы он сам давно спортировал эту фичу), то я представлял себе процесс сотрудничества следующим образом:
кто-то строит работоспособный IPSEC стенд с CISCO + linux на компе
выставляет циску в интернет, передаёт нам знания по развёртыванию linux'овой части
мы делаем соответствующие бекпорты к ядру
при тестировании хотелось бы, чтобы было кого спросить, а что именно не нравится циске? Чтобы не ходить по уже известным граблям
Дополнения и/или исправления приветствуются.
P.S. Но заняться смогу только после добавления поддержки RT-N12C1
Интересны детали линуксовой стороны - хотелось бы использовать Centos 6.2 (ядро 2.6.32) и Strоngswan 4.5.3 (т.к. он уже есть в новом репозитории). Или необходимо изменить дистрибутив и пакет?
Интересны детали линуксовой стороны - хотелось бы использовать Centos 6.2 (ядро 2.6.32) и Strоngswan 4.5.3 (т.к. он уже есть в новом репозитории). Или необходимо изменить дистрибутив и пакет?
Дистрибутив, за исключением версии ядра, особой роли не играет. IMHO 2.6.32 то что нужно.
Кто из клиентских пакетов лучше(меньше, быстрее, стабильнее) - Strоngswan или кто еще, просто не знаю.
Gospodinbu
16-04-2012, 14:14
Дистрибутив, за исключением версии ядра, особой роли не играет. IMHO 2.6.32 то что нужно.
Кто из клиентских пакетов лучше(меньше, быстрее, стабильнее) - Strоngswan или кто еще, просто не знаю.
Я постараюсь не затягивать со стендом, как соберу - сообщу его реквизиты сетевые и информацию по настройке со стороны linux.
Дальше буду ждать сигнал с вашей стороны.
Я постараюсь не затягивать со стендом, как соберу - сообщу его реквизиты сетевые и информацию по настройке со стороны linux.
Дальше буду ждать сигнал с вашей стороны.
ОК, спасибо.
P.S. Но не стоит рассчитывать, что всё удасться сделать за 5 минут.
Gospodinbu
16-04-2012, 14:35
ОК, спасибо.
P.S. Но не стоит рассчитывать, что всё удасться сделать за 5 минут.
Я понимаю, что ж поделать. :)
Gospodinbu
18-04-2012, 20:06
ОК, спасибо.
P.S. Но не стоит рассчитывать, что всё удасться сделать за 5 минут.
Стенд готов, немного затянул с этим, конечно.
Конфигурация простейшая, по схеме site-to-site, для туннеля между двумя локалками.
Куда выкидывать сетевые реквезиты и описание по стороне с linux?
Стенд готов, немного затянул с этим, конечно.
Конфигурация простейшая, по схеме site-to-site, для туннеля между двумя локалками.
Куда выкидывать сетевые реквезиты и описание по стороне с linux?
Спасибо.
Мне и theMIROn либо личкой на форуме, либо по e-mail.
lll123lll
21-04-2012, 07:07
RT-N16-1.9.2.7-rtn-r4051.trx
подключил новый реп Entware
vpnc не работает
подключается, получает адрес
выдает ошибку siocsifmtu invalid argument
погуглил багрепорты
исправил код в vpnc-script do_ifconfig ошибка ушла mtu стал нормально назначатся
хосты в удаленной сетке пингуются
НО при попытках подключится RDP роутер перезагружатся
НО при попытках подключится RDP роутер перезагружатся
Процедура расследования стандартная:
FastNAT выключен?
r3702 как? r4114?
дамп с консоли или netconsole на худой конец
исправил код в vpnc-script do_ifconfig ошибка ушла mtu стал нормально назначатся
Странно, у меня такой проблемы не было. А какие именно изменения внесли в vpnc-script?
хосты в удаленной сетке пингуются
НО при попытках подключится RDP роутер перезагружатся
Ну ето уже бородато. Либо отключите fastnat, либо подключайтесь не через tun-драйвер, а через tap.
Сделать это можно либо запуская vpnc с параметром --ifmode tap, либо прописать это в файле с параметрами подключения:
[root@fw root]$ cat /opt/etc/vpnc/mtron.conf
Local port 0
Interface mode tap
Interface name tap10
Script /opt/etc/vpnc/vpnc-script.custom
IPSec gateway ****
IPSec ID ****
IPSec secret ****
Xauth username ****
Xauth password ****
lll123lll
21-04-2012, 07:47
>какие именно изменения
назначил в начале скрипта
INTERNAL_IP4_MTU=1412
>--ifmode tap
спасибо, попробую
действительно работал через tun
>какие именно изменения
назначил в начале скрипта
INTERNAL_IP4_MTU=1412
Это, скорее всего, тараканы "с вашей стророны" - особенность операторов / оборудования и т.д. У меня оно коннектится к двум разным ASA'м без ручного тюнинга MTU - как следствие, говорить о неработоспособности пакета как минимум некорректно ;)
>--ifmode tap
спасибо, попробую
действительно работал через tun
Драйвер tun в прошивке энтузиастов несовместим с fastnat. Либо нужно отключать fastnat, либо использовать драйвер tap, если софт это позволяет (vpnc и openvpn позволяют).
indapublic
06-07-2012, 10:42
Добрый день.
Имею роутер с заводской прошивкой и провайдера c L2TP. Все работало хорошо, пока вчера перестало соединяться. Попробовал соединиться напрямую через компьютер - ошибка 789. После общения с техподдержкой прописал на компьютере
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Rasman\Parameters]
"ProhibitIpSec"=dword:00000001
и все заработало. Что делать с роутером, подсказать не могли. Тем временем, проблемы соединения остались. Есть какие-либо варианты?
Спасибо
Добрый день.
Имею роутер с заводской прошивкой и провайдера c L2TP. Все работало хорошо, пока вчера перестало соединяться. Попробовал соединиться напрямую через компьютер - ошибка 789. После общения с техподдержкой прописал на компьютере
и все заработало. Что делать с роутером, подсказать не могли. Тем временем, проблемы соединения остались. Есть какие-либо варианты?
Спасибо
Это отключение шифрования IPSec. Windows по-умолчанию запрещает L2TP-подключение без шифрования. Исправляется как раз этим параметром.
Роутер же вообще не поддерживает IPSec, с роутером ничего делать не надо.
indapublic
06-07-2012, 18:29
Спасибо за ответ. Может, делать и не надо - но не работает все равно. Ошибка авторизации - вот моя ошибка на данный момент
MercuryV
06-07-2012, 18:38
... и провайдера c L2TP. Все работало хорошо, пока вчера перестало соединяться.
Провайдер секретный или у него есть название?
Ошибка авторизации - вот моя ошибка на данный момент
Провайдер случайно не менял что-либо в технологии подключения? На официальном сайте есть какие-либо сообщения на этот счёт?
indapublic
07-07-2012, 01:26
Провайдер секретный или у него есть название?
http://vladlink.ru/
Провайдер случайно не менял что-либо в технологии подключения? На официальном сайте есть какие-либо сообщения на этот счёт?
Ни слова
indapublic
07-07-2012, 03:15
Все решилось обновлением на альтернативную прошивку, останусь на ней. Спасибо всем
Maximus43
14-07-2012, 11:33
Насколько сложно скомпилировать Strongswan 5.0.0 под новый репозитарий?
MercuryV
14-07-2012, 12:09
Насколько сложно скомпилировать Strongswan 5.0.0 под новый репозитарий?
Сначала расскажите, пожалуйста, об успешном использовании имеющегося в репозитории strongswan 4.5.3
Maximus43
14-07-2012, 12:18
Сначала расскажите, пожалуйста, об успешном использовании имеющегося в репозитории strongswan 4.5.3
В ядре прошивки энтузиастов нет поддержки IPSec, поэтому успехами похвастаться не могу. В версии 5.0.0 исключен pluto, так как IPSec полностью реализован в charon, для которого модуль ipsec в ядре не нужен. Будет пакет strongswan 5.0.0, будет и расскаж об успешном использовании :-)
MercuryV
14-07-2012, 13:05
В ядре прошивки энтузиастов нет поддержки IPSec
поэтому и интересовался "успехами", мало ли, может у вас уже свой бэкпорт рабочий есть
В версии 5.0.0 исключен pluto, так как IPSec полностью реализован в charon, для которого модуль ipsec в ядре не нужен
Возможно я плохо искал, но на офсайте явного утверждения, что для charon модули ядра не нужны, не нашёл.
Скорее наоборот, в wiki раздел Required Kernel Modules (http://wiki.strongswan.org/projects/strongswan/wiki/KernelModules) остался без изменений после релиза новой версии.
Maximus43
14-07-2012, 13:11
Charon запускается без проблем и даже IPSec в урезанном варианте работает. Однако мне надо поддержку IKEv2, а это заявлено только в версии 5.0.0. Вот и интересуюсь насчет возможности создания пакета с новой версией.
MercuryV
14-07-2012, 13:22
Напишу прямо: мне нужно подтверждение, что Strongswan 5 будет работать без ipsec модулей ядра.
Подойдет официальная документация или ответ в рассылке проекта.
Роутер же вообще не поддерживает IPSec, с роутером ничего делать не надо.
Почему не поддерживает? Отлично работает Openwrt + Openswan.
Вот RT-N16 - действительно проблема. Нет прошивки с ядром 2.6.29 и выше.
staticroute
14-07-2012, 19:50
ipsec?
оно на openvpn-то загибается на wl500gP v1
что у вас за роутер?
модули спокойно можете кастомные включить нужные при компиляции прошивки для ipsec, если уже так это необходимо.
без модулей конечно ipsec не заведется
AndreyUA
14-07-2012, 20:37
ipsec?
модули спокойно можете кастомные включить нужные при компиляции прошивки для ipsec, если уже так это необходимо.
без модулей конечно ipsec не заведетсяПробовал собирать модули, все равно чего-то не хватает.
MercuryV
15-07-2012, 00:48
Пробовал собирать модули, все равно чего-то не хватает.
Была тема, см. здесь и далее (http://wl500g.info/showthread.php?24053-WL-500gP-IPSEC-amp-VPNC&p=249106#post249106), чем закончилось - мне неведомо.
P.S. в OpenWRT сегодня перешли (https://dev.openwrt.org/changeset/32716) на strongswan 5. Так что шансы на добавление в репозиторий пакета резко возросли (если разрулится с ядерной поддержкой).
ryzhov_al
13-08-2012, 13:31
...В версии 5.0.0 исключен pluto, так как IPSec полностью реализован в charon, для которого модуль ipsec в ядре не нужен.
Будет пакет strongswan 5.0.0, будет и расскаж об успешном использовании :-)
strongswan 5.0.0. в репозитории. Ждём от вас результатов тестирования.
ЗЫ Наш проект целиком склонировали (https://github.com/extware/extware), заменив одну букву в названии и выкинув полтора десятка пакетов :)
Будем надеяться, что коллеги разовьют нашу идею так, что нам будет что у них позаимствовать.
Gospodinbu
15-10-2012, 09:43
Была тема, см. здесь и далее (http://wl500g.info/showthread.php?24053-WL-500gP-IPSEC-amp-VPNC&p=249106#post249106), чем закончилось - мне неведомо.
P.S. в OpenWRT сегодня перешли (https://dev.openwrt.org/changeset/32716) на strongswan 5. Так что шансы на добавление в репозиторий пакета резко возросли (если разрулится с ядерной поддержкой).
В общем, закончилось ничем. :(
В общем, закончилось ничем. :(
Не совсем, см. issue 358 (http://code.google.com/p/wl500g/issues/detail?id=358) Базовая часть ipsec без NAT-T работает, осталось найти и поправить багу с инкапсуляцией.
Gospodinbu
17-10-2012, 08:26
Не совсем, см. issue 358 (http://code.google.com/p/wl500g/issues/detail?id=358) Базовая часть ipsec без NAT-T работает, осталось найти и поправить багу с инкапсуляцией.
Это здорово. Жаль, что не смог помочь в тот раз.
Это здорово. Жаль, что не смог помочь в тот раз.
Это ты извини нас, что не смогли уделить проблеме больше времени. Постараемся сейчас добить вопрос.
QuickeneR2
11-06-2013, 13:14
А работает ли сейчас ipsec на энтузиастской прошивке? Последние сообщения в этой теме вроде бы обнадеживающие, но при попытке поставить strongswan из entware появляются подозрительные сообщения типа
insmod: can't insert 'af_key.ko': No such file or directory
no netkey IPsec stack detected
insmod: can't insert 'ipsec.ko': No such file or directory
no KLIPS IPsec stack detected
no known IPsec stack detected, ignoring!
Gospodinbu
27-07-2013, 20:54
А работает ли сейчас ipsec на энтузиастской прошивке? Последние сообщения в этой теме вроде бы обнадеживающие, но при попытке поставить strongswan из entware появляются подозрительные сообщения типа
insmod: can't insert 'af_key.ko': No such file or directory
no netkey IPsec stack detected
insmod: can't insert 'ipsec.ko': No such file or directory
no KLIPS IPsec stack detected
no known IPsec stack detected, ignoring!
Попробуйте добавить модули руками.
QuickeneR2
29-07-2013, 06:19
Попробуйте добавить модули руками.
А какие модули и где их брать? Упомянутых в логе af_key.ko и ipsec.ko нет ни в прошивке, ни в дополнительных пакетах - или по крайней мере на insmod они не отзываются.
valentinomoscow
26-02-2014, 14:22
Столкнулся с проблемой организации ipsec туннеля между RT-N16 и Dlink DI-824vup+
При подключении по Strongswan из Entware вываливаются в лог ошибки:
Feb 26 18:03:31 apollo-router daemon.info syslog: 13[ENC] invalid SPI length in IKE proposal
Feb 26 18:03:31 apollo-router daemon.info syslog: 13[ENC] PROPOSAL_SUBSTRUCTURE verification failed
Feb 26 18:03:31 apollo-router daemon.info syslog: 13[ENC] SECURITY_ASSOCIATION_V1 payload verification failed
Feb 26 18:03:31 apollo-router daemon.info syslog: 13[IKE] message verification failed
Feb 26 18:03:31 apollo-router daemon.info syslog: 13[ENC] generating INFORMATIONAL_V1 request 2202842332 [ N(PLD_MAL) ]
Feb 26 18:03:31 apollo-router daemon.info syslog: 13[NET] sending packet: from asus_ip[500] to dlink_ip[500] (40 bytes)
Feb 26 18:03:31 apollo-router daemon.info syslog: 13[IKE] ID_PROT request with message ID 0 processing failed
Проверял связь по ipsec с другим роутером Linksys wrv200 - оба роутера работают с ним корректно с теми же параметрами.
Есть подозрение, что Strongswan не дружит с Dlink. На сайте Dlink есть инструкция как настроить соединение с Freeswan. Но можно ли его поставить на асус его или openswan без перекомпиляции ядра?
Какие есть мысли по этому поводу?
valentinomoscow
04-03-2014, 07:54
Столкнулся с проблемой организации ipsec туннеля между RT-N16 и Dlink DI-824vup+
При подключении по Strongswan из Entware вываливаются в лог ошибки:
Feb 26 18:03:31 apollo-router daemon.info syslog: 13[ENC] invalid SPI length in IKE proposal
Feb 26 18:03:31 apollo-router daemon.info syslog: 13[ENC] PROPOSAL_SUBSTRUCTURE verification failed
Feb 26 18:03:31 apollo-router daemon.info syslog: 13[ENC] SECURITY_ASSOCIATION_V1 payload verification failed
Feb 26 18:03:31 apollo-router daemon.info syslog: 13[IKE] message verification failed
Feb 26 18:03:31 apollo-router daemon.info syslog: 13[ENC] generating INFORMATIONAL_V1 request 2202842332 [ N(PLD_MAL) ]
Feb 26 18:03:31 apollo-router daemon.info syslog: 13[NET] sending packet: from asus_ip[500] to dlink_ip[500] (40 bytes)
Feb 26 18:03:31 apollo-router daemon.info syslog: 13[IKE] ID_PROT request with message ID 0 processing failed
Проверял связь по ipsec с другим роутером Linksys wrv200 - оба роутера работают с ним корректно с теми же параметрами.
Есть подозрение, что Strongswan не дружит с Dlink. На сайте Dlink есть инструкция как настроить соединение с Freeswan. Но можно ли его поставить на асус его или openswan без перекомпиляции ядра?
Какие есть мысли по этому поводу?
Если кому интересно, то это баг в Стронгсване, в след версии обещают исправить. Или можно самому откомпилить патч
QuickeneR2
06-03-2014, 06:36
valentinomoscow, а вы что-нибудь делали, чтобы ipsec завелся? У меня летом не получилось, а из-за отсутствия ответов в теме я решил, что он не работает в энтузиастской прошивке.