1 Temat przez QmQ (edytowany przez QmQ 2015-10-19 14:07:11)

  • QmQ
  • Użytkownik
  • Nieaktywny
  • Skąd: Warszawa
  • Zarejestrowany: 2010-12-03
  • Posty: 87

Temat: Android VPN z certyfikatem i hasłem + broadcast

Witam,

Klient: Android 4.4.4+ (najlepiej żeby działało bez dogrywania aplikacji - na czystym Androidzie, bo jest taka opcja, obsługuje jak widzę PPTP, L2TP, IPSec)
Serwer: OpenWRT BB (mogę zaktualizować jeśli trzeba)

Nie wiem czy to w ogóle możliwe, ale zakładam, że tak. Chciałbym tak ustawić router (lub coś [co?] dograć), żeby móc się z dowolnego IP połączyć telefonem z serwerem i zestawić sobie bezpieczne połączenie z domowym LANe. Dla bezpieczeństwa (oraz wygody) najlepiej byłoby, gdyby klient musiał mieć odpowiedni certyfikat oraz był zapytany o hasło. Po połączeniu zakładam, że cały ruch do/z telefonu szedłby przez tunel. Fajnie również byłoby, żeby telefon widoczny był normalnie w LANie i vice versa - żeby on LAN widział, w tym broadcasty. Tzn. mówiąc wprost: funkcjonalnie IDENTYCZNIE jakby był podłączony do tegoż LANu przez WiFi czy coś. Nie musi być możliwości łączenia wielu urządzeń.

Możliwe? Jakieś podpowiedzi, linki, wskazówki będą mile widziane. Pełna odpowiedź z obrazkami też wink

Pozdrawiam,
QmQ

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,893

Odp: Android VPN z certyfikatem i hasłem + broadcast

Zwykły vpn, na ipsecu, np. http://eko.one.pl/?p=openwrt-ipsec choć ja opisywałem user/pass, więc sobie zmień konfigurację. Broadcasty nie będą domyślnie leciały, podobno można to pluginem ForeCast załatwić w strongswanie - nie wiem, nie próbowałem.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez QmQ

  • QmQ
  • Użytkownik
  • Nieaktywny
  • Skąd: Warszawa
  • Zarejestrowany: 2010-12-03
  • Posty: 87

Odp: Android VPN z certyfikatem i hasłem + broadcast

Mhm, to czytałem.

1. Czy jak chcę statyczny IP to mogę nie instalować mod-dhcp?
2. Czemu aż tyle portów trzeba otworzyć? 500 to rozumiem, ale po co 4500? I to oba TCP+UDP.

Pozdrawiam,
QmQ

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,893

Odp: Android VPN z certyfikatem i hasłem + broadcast

1. tak
2. bo taki jest protokół ipsecowy?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez QmQ

  • QmQ
  • Użytkownik
  • Nieaktywny
  • Skąd: Warszawa
  • Zarejestrowany: 2010-12-03
  • Posty: 87

Odp: Android VPN z certyfikatem i hasłem + broadcast

1. OK
2. O, faktycznie smile To jakoś OpenVPN z jednym portem UDP wygląda bardziej "elegancko"

Poczytałem na stronie OpenWRT, tam jest to czego szukałem, tylko nie wiedziałem że to się nazywa "konfiguracja road warrior". Przy okazji spróbuję to poustawiać i będę pytać jakby co. Dla potomności - mówię o tym:
http://wiki.openwrt.org/doc/howto/vpn.ipsec.roadwarrior

Pozdrawiam,
QmQ

6 Odpowiedź przez QmQ

  • QmQ
  • Użytkownik
  • Nieaktywny
  • Skąd: Warszawa
  • Zarejestrowany: 2010-12-03
  • Posty: 87

Odp: Android VPN z certyfikatem i hasłem + broadcast

opkg install strongswan-default skończyło się tak:

Configuring kmod-crypto-authenc.
kmod: failed to insert /lib/modules/3.10.49/authenc.ko
Configuring kmod-crypto-rng.
Configuring kmod-crypto-wq.
Configuring kmod-crypto-iv.
Configuring kmod-crypto-des.
Configuring kmod-crypto-hmac.
Configuring kmod-crypto-md5.
Configuring kmod-lib-zlib.
Configuring kmod-crypto-deflate.
kmod: failed to insert /lib/modules/3.10.49/deflate.ko
Configuring kmod-crypto-cbc.
Configuring kmod-ipsec.
Configuring kmod-iptunnel4.
Configuring kmod-ipsec4.
kmod: failed to insert /lib/modules/3.10.49/esp4.ko
Configuring kmod-iptunnel6.
Configuring kmod-ipsec6.
kmod: failed to insert /lib/modules/3.10.49/esp6.ko

i wisi tak. Router póki co działa, bo zalogowałem się drugą sesją i ps mówi:

  PID USER       VSZ STAT COMMAND
    1 root      1392 S    /sbin/procd
    2 root         0 SW   [kthreadd]
    3 root         0 RW   [ksoftirqd/0]
    5 root         0 SW<  [kworker/0:0H]
    6 root         0 SW   [kworker/u2:0]
    7 root         0 SW<  [khelper]
   59 root         0 SW<  [writeback]
   62 root         0 SW<  [bioset]
   64 root         0 SW<  [kblockd]
   92 root         0 SW   [kworker/0:1]
   96 root         0 SW   [kswapd0]
  143 root         0 SW   [fsnotify_mark]
  174 root         0 SW<  [ath79-spi]
  183 root         0 SW   [kworker/u2:2]
  258 root         0 SW<  [deferwq]
  269 root         0 SW   [khubd]
  307 root         0 SW   [scsi_eh_0]
  308 root         0 SW   [usb-storage]
  354 root         0 SW<  [kworker/0:1H]
  376 root         0 SWN  [jffs2_gcd_mtd3]
  444 root       880 S    /sbin/ubusd
  445 root       772 S    /sbin/askfirst ttyS0 /bin/ash --login
  762 root         0 SW<  [cfg80211]
  933 root         0 SW   [jbd2/sda1-8]
  934 root         0 SW<  [ext4-dio-unwrit]
 1079 root      1036 S    /sbin/logd -S 16
 1100 root      1480 S    /sbin/netifd
 1134 root      1156 S    /usr/sbin/odhcpd
 1176 root      1152 S    /usr/sbin/dropbear -F -P /var/run/dropbear.1.pid -p 22 -K 300
 1459 root      1360 S    udhcpc -p /var/run/udhcpc-eth0.2.pid -s /lib/netifd/dhcp.script -f -t 0 -i eth0.2 -C
 1510 root      2148 S    /usr/sbin/uhttpd -f -h /www -r OpenWrt -x /cgi-bin -u /ubus -t 60 -T 30 -k 20 -A 1 -n 3 -N 100 -R -p 0.0.
 1555 root      2464 S    /usr/sbin/smbd -D
 1557 root      2560 S    /usr/sbin/nmbd -D
 1561 root       856 S    xl2tpd
 1588 root      1368 S    {watchcat.sh} /bin/sh /usr/bin/watchcat.sh period 21600 30 8.8.8.8 1080
 1621 nobody     928 S    /usr/sbin/dnsmasq -C /var/etc/dnsmasq.conf -k
 1774 root      1364 S    /usr/sbin/ntpd -n -p 0.openwrt.pool.ntp.org -p 1.openwrt.pool.ntp.org -p 2.openwrt.pool.ntp.org -p 3.open
 3026 root         0 SW   [kworker/0:2]
 3037 root      1352 S    sleep 1080
 3038 root      1220 S    /usr/sbin/dropbear -F -P /var/run/dropbear.1.pid -p 22 -K 300
 3039 root      1364 S    -ash
 3109 root      3956 S    opkg install strongswan-default
 3342 root         0 SW   [kworker/u2:1]
 3671 root         0 SW   [kworker/0:0]
 3764 root         0 SW<  [crypto]
 3846 root      1360 S    sh -c //usr/lib/opkg/info/kmod-ipsec6.postinst configure
 3847 root      1384 S    {kmod-ipsec6.pos} /bin/sh //usr/lib/opkg/info/kmod-ipsec6.postinst configure
 3849 root      1360 S    ash
 3859 root       888 D    insmod xfrm6_tunnel
 3861 root      1220 S    /usr/sbin/dropbear -F -P /var/run/dropbear.1.pid -p 22 -K 300
 3862 root      1364 S    -ash
 3914 root      1360 R    ps w

Pewnie coś zwisło bo te poprzednie moduły nie weszły, ale czemu? Mogę mieć za mało miejsca?

Filesystem                Size      Used Available Use% Mounted on
rootfs                    1.6M      1.4M    124.0K  92% /
/dev/root                 5.3M      5.3M         0 100% /rom
tmpfs                    14.1M      2.1M     12.0M  15% /tmp
/dev/mtdblock3            1.6M      1.4M    124.0K  92% /overlay
overlayfs:/overlay        1.6M      1.4M    124.0K  92% /
tmpfs                   512.0K         0    512.0K   0% /dev
/dev/sda1                 1.8T    486.0G      1.2T  28% /hdd
Pozdrawiam,
QmQ

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,893

Odp: Android VPN z certyfikatem i hasłem + broadcast

Masz mało miejsca, ale też być może wystarczy zrestartować  załadują się poprawnie.

PS. Czemu używasz starego systemu?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez QmQ

  • QmQ
  • Użytkownik
  • Nieaktywny
  • Skąd: Warszawa
  • Zarejestrowany: 2010-12-03
  • Posty: 87

Odp: Android VPN z certyfikatem i hasłem + broadcast

A może po restarcie już nie wstanie? smile Robię to zdalnie, więc wolałbym uniknąć komplikacji [żona w domu, nie będzie zadowolona jak nie będzie Internetu wink ]

Czemu starego? Bo kiedyś wgrałem, poustawiałem i działa. Przy tej częstotliwości aktualizacji musiałbym w kółko wgrywać. A czy nowy jest istotnie lepszy? Tzn. poza tym, że nowy są jakieś plusy? Szybszy/mniejszy/bezpieczniejszy?

Pozdrawiam,
QmQ

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,893

Odp: Android VPN z certyfikatem i hasłem + broadcast

Bezpieczniejszy. Ponad to taka zabawa zdalnie jest średnim pomysłem wink

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez QmQ (edytowany przez QmQ 2015-10-21 08:55:41)

  • QmQ
  • Użytkownik
  • Nieaktywny
  • Skąd: Warszawa
  • Zarejestrowany: 2010-12-03
  • Posty: 87

Odp: Android VPN z certyfikatem i hasłem + broadcast

Wiem, ale akurat żona mnie o coś prosiła, a ja zapomniałem tongue A muszę być telefonem w LANie, żeby to zrobić. Heh, miałem się zająć VPNem przy okazji w domu, a wyszło, że przydałby się teraz smile

Dobra, odinstalowałem to, dogadam się z żoną inaczej wink

A jest jakaś metoda, żeby opkg sprawdziło i wywaliło paczki, które wgrało jako zależności z czymś, a które już nie są potrzebne?

Pozdrawiam,
QmQ

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,893

Odp: Android VPN z certyfikatem i hasłem + broadcast

--autoremove przy odinstalowaniu paczki, ale średnio to działa.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez QmQ

  • QmQ
  • Użytkownik
  • Nieaktywny
  • Skąd: Warszawa
  • Zarejestrowany: 2010-12-03
  • Posty: 87

Odp: Android VPN z certyfikatem i hasłem + broadcast

To znam, ale jak już usunięta jest paczka, która wgrała zależności to nie ma co podać jako argument.

Pozdrawiam,
QmQ

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,893

Odp: Android VPN z certyfikatem i hasłem + broadcast

Zainstaluj jeszcze raz i odinstaluj smile

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona