Asi neobvyklá konfigurace VPN

Re:Asi neobvyklá konfigurace VPN
« Odpověď #15 kdy: 30. 04. 2018, 14:21:54 »
Vřelé díky, určitě vyzkouším a případně se ozvu, kdyby něco nešlo. Windows se k tomu naštěstí připojovat nebudou ;)


Re:Asi neobvyklá konfigurace VPN
« Odpověď #16 kdy: 01. 05. 2018, 16:55:24 »
Tak jsem vyzkoušel tu konfiguraci z libreswan/centos7. Nahradil jsem IP adresy těmi správnými, použil samozřejmě svoje hesla apod., ale připojení z iPhonu se nepovede:
May  1 16:49:39 gentoo charon[4207]: 06[ENC] parsed QUICK_MODE request 3756039543 [ HASH ]
May  1 16:49:39 gentoo charon[4207]: 06[CHD] CHILD_SA l2tp-ipsec{5} state change: CREATED => INSTALLING
May  1 16:49:39 gentoo charon[4207]: 06[CHD]   using AES_CBC for encryption
May  1 16:49:39 gentoo charon[4207]: 06[CHD]   using HMAC_SHA1_96 for integrity
May  1 16:49:39 gentoo charon[4207]: 06[CHD] adding inbound ESP SA
May  1 16:49:39 gentoo charon[4207]: 06[CHD]   SPI 0xcd378b26, src IPHONE_IP dst VEREJNA_IP
May  1 16:49:39 gentoo charon[4207]: 06[CHD] adding outbound ESP SA
May  1 16:49:39 gentoo charon[4207]: 06[CHD]   SPI 0x0df79ea0, src VEREJNA_IP dst IPHONE_IP
May  1 16:49:39 gentoo charon[4207]: 06[IKE] CHILD_SA l2tp-ipsec{5} established with SPIs cd378b26_i 0df79ea0_o and TS VEREJNA_IP/32[udp/l2tp] === IPHONE_IP/32[udp/50644]
May  1 16:49:39 gentoo charon[4207]: 06[IKE] CHILD_SA l2tp-ipsec{5} established with SPIs cd378b26_i 0df79ea0_o and TS VEREJNA_IP/32[udp/l2tp] === IPHONE_IP/32[udp/50644]
May  1 16:49:39 gentoo charon[4207]: 06[CHD] CHILD_SA l2tp-ipsec{5} state change: INSTALLING => INSTALLED
May  1 16:49:59 gentoo charon[4207]: 03[NET] received packet: from IPHONE_IP[4500] to VEREJNA_IP[4500]
May  1 16:49:59 gentoo charon[4207]: 03[NET] waiting for data on sockets
May  1 16:49:59 gentoo charon[4207]: 03[NET] received packet: from IPHONE_IP[4500] to VEREJNA_IP[4500]
May  1 16:49:59 gentoo charon[4207]: 03[NET] waiting for data on sockets
May  1 16:49:59 gentoo charon[4207]: 12[NET] received packet: from IPHONE_IP[4500] to VEREJNA_IP[4500] (92 bytes)
May  1 16:49:59 gentoo charon[4207]: 12[ENC] parsed INFORMATIONAL_V1 request 1330450503 [ HASH D ]
May  1 16:49:59 gentoo charon[4207]: 12[IKE] received DELETE for ESP CHILD_SA with SPI 0df79ea0
May  1 16:49:59 gentoo charon[4207]: 12[CHD] CHILD_SA l2tp-ipsec{5} state change: INSTALLED => DELETING
May  1 16:49:59 gentoo charon[4207]: 12[IKE] closing CHILD_SA l2tp-ipsec{5} with SPIs cd378b26_i (574 bytes) 0df79ea0_o (0 bytes) and TS VEREJNA_IP/32[udp/l2tp] === IPHONE_IP/32[udp/50644]
May  1 16:49:59 gentoo charon[4207]: 12[IKE] closing CHILD_SA l2tp-ipsec{5} with SPIs cd378b26_i (574 bytes) 0df79ea0_o (0 bytes) and TS VEREJNA_IP/32[udp/l2tp] === IPHONE_IP/32[udp/50644]
May  1 16:49:59 gentoo charon[4207]: 12[CHD] CHILD_SA l2tp-ipsec{5} state change: DELETING => DESTROYING

Za tou tučně označenou řádkou se 20s nic neděje a pak se spojení ukončí s tím, že iPhone si postěžujem že se spojení nepovedlo. Máte prosím představu, co je špatně? Díky.

naseptavac

Re:Asi neobvyklá konfigurace VPN
« Odpověď #17 kdy: 01. 05. 2018, 17:34:02 »
Bohuzel nemuzu slouzit, podle vseho je to strongswan na gentoo. To je jiny software na jinem operacnim systemu.

naseptavac

Re:Asi neobvyklá konfigurace VPN
« Odpověď #18 kdy: 01. 05. 2018, 21:27:26 »
Plus jeste tady ohledne nastaveni firewallu:
https://forum.root.cz/index.php?topic=18258.msg263239#msg263239

Re:Asi neobvyklá konfigurace VPN
« Odpověď #19 kdy: 01. 05. 2018, 22:46:17 »
> 12[IKE] received DELETE for ESP CHILD_SA with SPI 0df79ea0

Takže můžete zkusit zvednout na serveru debug level pro tuto oblast (neporadím jak) a stejně třeba nakonec nezjistíte, proč IPhone proti [vašemu IPsec serveru] tu security association típne vzápětí po navázání. Netvrdím že je to tenhle případ, ale moje dosavadní zkušenosti s IPsecem jsou přesně takové: různé implementace proti sobě navzájem se povedou málokdy. Jsou tu lidi, kteří IPsecem dýchají, a pro ně to třeba není takový problém. Taky tu zatím nikdo nezmínil, že IKE v2 je v tomhle lepší než "v1" apod.

Osobně mám lepší (použitelné) zkušenosti s OpenVPN. Je to jediný projekt (code base) a je sám se sebou slušně kompatibilní napříč mnoha releasy.

Pro tenhle scénář (cestující klienti na centrálu) doporučuji transport TCP (nikoli UDP), a pokud by nefungoval standardní port 1194, dá se to narafičit i na port 443 (který má o něco lepší šanci skrz firewally).

Autentikace klientů se dá navléknout pomocí PKI certifikátů, nebo pomocí loginu+hesla, nebo kombinací obojího. Z hlediska správy konfigurací klientů je nejjednodušší varianta, kdy jednotlivý klient potřebuje jenom svůj (jednotný) konfigurák, certifikát CA (pokud na server použijete self-signed certifikát) a samozřejmě login+heslo. Tzn. klient teoreticky nepotřebuje svůj vlastní certifikát. Je to méně bezpečné, ale jde to.

S OpenVPN (nebo s libtls?) se distribuuje pár skriptů zvaných "easy RSA", pomocí kterých lze generovat potřebné certifikáty. Na serveru je potřeba cerfikát a tuším soubor s "Diffie-Hellman" klíčem (nebo co to je).

Pro mě osobně asi nejnáročnější bylo zorientovat se v klíčích a certifikátech = naučit se základní chvaty s easy-RSA. Nějaké vzorové konfiguráky OpenVPN serveru a klienta mohu kdyžtak nabídnout.

Pokud by se mělo jednat o rozsáhlejší síť (větší počet mobilních zařízení) tak zvažte privátní APN. Odpadly by starosti s konfigurací a některými nectnostmi OpenVPN.