Posts by ATD

    Gib mal die folgenden vier Befehle an der Console ein, aber bitte nur ein einziges mal und dann nie wieder!


    iptables -t nat -A prerouting_wan_rule -m policy --dir in --pol ipsec -j ACCEPT
    iptables -t nat -A postrouting_wan_rule -m policy --dir out --pol ipsec -j ACCEPT
    iptables -A forwarding_rule -m policy --dir in --pol ipsec -m conntrack --ctstate NEW -j zone_vpn_forward
    iptables -I input_wan_rule -m policy --dir in --pol ipsec -m conntrack --ctstate NEW -j ACCEPT


    und /etc/init.d/firewall restart.


    Albert

    Die /etc/ipsec.secrets poste ich verständlicherweise nicht, aber ohne die würde ja der Tunner überhaupt nicht entstehen.


    Schon klar, aber Syntax: @cougar.tvdr.de @racoon.tvdr.de : PSK "wurst" !?


    Geht es wenn /etc/init.d/firewall stop ist?


    Ist die /etc/ipsec.conf wirklich wie gehabt (ohne rightsubnet)?


    War früher in der /etc/config/firewall racoon mit Adresse oder mit Adresse/Subnet eingetragen?


    /etc/init.d/firewall stop
    ipsec reload
    ipsec restart
    ipsec statusall
    traceroute und ping
    /etc/init.d/firewall start
    traceroute und ping


    Ich werde zum Kaffee geladen. Bis dann.


    Albert

    Ich habe mal versuchsweise auf modp3072 umgestellt (sowohl auf racoon als auch auf cougar), aber damit kam der Tunnel nicht zustande. Muß ich da außer modp2048 zu modp3072 zu ändern noch etwas machen?


    Dann lasse es so, wie gehabt, eine Orgie aus Versuchen bringt niemanden weiter. Die Wahrscheinlichkeit einer Attacke ist gegen null.


    Ich arbeite gewöhnlich auf potenter Router-Hardware mit AES256, SHA256, DH Gruppen aus der neuen Spezifikation für Phase 1 IKEv2 und Phase 2 läuft mit MD5. Das ist aber nicht meine Empfehlung für Deine Hardware! Kann dazu führen, dass die Übertragungsgeschwindigkeit drastisch einbricht oder es treten unerklärliche Effekte auf.


    Albert

    Einige Parameter, die ich bisher nicht verwendet habe, die du aber angegeben hast, habe ich erstmal auskommentiert - ich möchte das Ganze zu simpel wie möglich halten.


    Die Einträge ike und esp brauchst Du spätestens nach der Neuinstallation, weil strongswan-mod-kernel-libipsec für die "Suchautomatik" nicht mit installiert wird, wozu auch.


    Das Mode aggressive=yes schaltest Du zu, wenn es bei der Tunnel mit dynamische IPs Probleme gibt, wie right=%panther.tvdr.de, sonst tut es das Mode main auch. Ob ikev1 oder ikev2, bzw. Kombi, dass ist Deine Sache.


    Du arbeitest mit AES-128, dazu passt die PFS DH Gruppe modp2048 nicht. Besser wäre es die modp3072 zu nehmen (sofern vertretbar), damit Du in DH auch 128 security bits hast. Bei modp2048 sind es nur 103 bits und damit eine potentielle Schwachstelle in der Verschlüsselungskette. Wer einen brute-force plant dann wendet er das traditionell auf DH und nicht auf AES an. Wir wollen nicht, dass PFS nicht mehr für Perfect Forward Secrecy steht. ;-)


    Der Tunnel zu panther ist offensichtlich schon bereit, die entsprechenden Änderungen auf panther wage ich aber remote nicht zu machen, um nicht Gefahr zu laufen, mich auszusperren.


    Ein SSH Portforward von WAN kommend auf 127.0.0.1 verhindert das schon. Wenn Du fertig bist, dann entsorgst Du den wieder.


    Albert

    Das ist für die zwei Tunnel (racoon und panther) von cougar gesehen.



    Den zweiten Subnet in der /etc/config/firewall unter (option subnet '88.xxx.xxx.220/32 192.168.100.0/24') eintragen.


    Albert

    Deine Anleitung ist genial einfach und ich bin froh, daß du ohne das dubiose firewall.sh Script auskommst :-).


    Ich auch. Das Script ist, na ja.


    Ich werde am WE den Router nochmal komplett neu aufsetzen und deine Anleitung durchspielen.


    Das ist eine gute Idee.


    Einen Tunnel zwischen cougar und panther hätte ich schon gerne, wobei ich bis jetzt davon ausgegangen bin, daß man das wohl mit entsprechenden Routing-Einträgen lösen könnte.


    Das geht mit strongSwan so brutal einfach, dass man es nur als Eleganz bezeichnen kann.


    In /etc/ipsec.conf tragen wir einen neuen conn nach panther ein und schlagen den zweiten Subnet in der /etc/config/firewall dazu (option subnet '88.xxx.xxx.220/32 192.168.100.0/24').


    Ja, das ist alles. ;-)


    Ach: strongswan-mod-kernel-libipsec, forget it! Auch die diff-s. Wenn Du es unbedingt brauchst, dann so:



    Das Log ist sehr gesprächig. Wenn Du magst oder wenig Platz, dann ändern.


    Wie auch immer, wenn Du neu installierst, dann sollten wir VORHER die /etc/ipsec.conf unter die Lupe nehmen!


    Hättest Du Dir nicht für die Sache eine Woche ohne Fußball aussuchen können!? :-)


    Albert

    Da fehlt vielleicht noch eine entsprechende FW-Regel.


    So ist es. :-)


    Zusammenfassung:


    1. OpenWRT in der VM Aufgesetzt, konfiguriert (Passwort, SSH, Interfaces, Zeit).
    2. opkg update && opkg install strongswan-default ipset bringt alle benötigte Pakete.
    3. /etc/strongswan.conf nicht geändert, /etc/ipsec.conf (leftfirewall=no !) und /etc/ipsec.secrets angepasst, Tunnel steht.
    4. /etc/config/firewall und /etc/firewall.user erstellt, reboot.




    Das wäre mal eine aussagekräftige Anleitung, findest Du nicht? Wozu auf drei verschiedenen Internetseiten beschreiben, was nicht funktioniert?


    Die /etc/config/firewall ist neu, tausche sie aus (IP ersetzen!). Sie behebt Deine restlichen Probleme. ;-)


    Möchtest Du auch einen Tunnel von cougar nach panther?


    Albert

    Albert, du bist der Größte!!!


    Wenn Du es meinst. :-)


    Was noch nicht geht ist racoon von einem Rechner im lokalen Netz (also "hinter" dem Router) anzusprechen:


    Das geht bei mir. Wie sind die IP Einstellungen von Deinem MacBook-Pro? (MacBook!?)


    Und auch von racoon aus kann ich keinen Rechner "hinter" dem Router (also z.B. 192.168.1.220) ansprechen.


    Wenn du auch dafür noch eine Lösung finden könntest, dann wäre es perfekt! :-)


    Das muss ich noch testen. Ich setze in VM OpenWRT neu auf (dauert ca. 15 Minuten), denn es geht viel schlanker als angenommen, dann berichte ich.


    Albert

    Klaus, ich stufe es jetzt als Beta ein, aber teste selbst.


    Wie bei der Rotorsteuerung wollte ich mich nicht geschlagen geben. So ist es mir gelungen, ohne den "Script" eine reine Zonen Forwarding mit einfachen Mitteln zu bewältigen.


    1. Tunnel steht! (Geht ggf. viel einfacher. Wenn Du magst, dann schreibe ich was dazu.)
    2. leftfirewall=no ! iptables Zonen Forward ohne störende Elemente.
    3. Deine Änderungen (Diffs) behältst Du, geht aber auch eleganter.


    Was Du noch brauchst, das steht hier:



    IP auf racoon setzen! Das war's schon. ;-)


    Albert

    Klaus, heute hatte ich ein wenig Zeit (Hotline geschoben). Soweit sind wir schon:



    Traceroute und Ping von OpenWRT Console an die 30 km entfernter Drucker hinter einem Funkwerk Router.


    Lasse mir noch ein paar Tage Zeit. Vielleicht gibt es diese Woche schon die endgültige Lösung.


    Albert

    Eine Fehlermeldung haben wir noch bei "52 ip6tables -F zone_vpn_ACCEPT". Das kannst Du mit ip6tables -N zone_vpn_ACCEPT aus der Post 174 bereinigen.


    Eine kurze Inspektion zeigt aber logische Fehler (Reihenfolge / Zuordnung), auch wenn wir nahezu null Fehlermeldungen mehr bekommen. Daran müssen wir noch arbeiten. ;.)


    Hilfreich wäre, wenn Du die aktuelle /etc/config/firewall und /etc/firewall.user zeigen würdest. Wenn ich sie in der VM einbaue, dann könnte ich mit LuCI die Abarbeitungsreihenfolge besser betrachten.


    Es eilt nicht!


    Albert

    Klaus, ich habe die Ausgabe doch noch genauer inspiziert. So schlecht sieht es nicht aus.


    Die "config_get zone "cfg026e19" zone vpn" ist der fehlenden /etc/config/ipsec geschuldet, denke ich. Nimm sie aus der Post 100.


    Für die:


    Code
    1. iptables -F zone_vpn_ACCEPT
    2. ip6tables -F zone_vpn_ACCEPT


    trage erstmal einmalig auf der Console folgendes ein:


    Code
    1. iptables -N zone_vpn_ACCEPT
    2. ip6tables -N zone_vpn_ACCEPT


    Bei -N gilt, was ich in der Post 177 unter VORSICHT geschrieben habe!


    Danach ersetzt Du in der Script die:


    -I input -> -I INPUT
    -I forward -> -I FORWARD


    Firewall restart!?


    Albert