bez zgodności modułów nie uruchomisz ipsec. Moduły muszą być tej samej wersji co kernel.

RPC powiedz mi co to za pakiet ten kmod-crypto-aead, nie mogę go znaleźć w repo openwrt 10.3, a jest tylko w kamikaze.
Cezar, jeżeli byłbyś tak uprzejmy przygotować te pakiety to będę wdzięczny. Jeżeli mi się gui nie zmieści we flashu,
to pozostanę przy konsoli, trochę więcej do rozeznania, ale możliwości zdecydowania większe. Czy wiesz jakie są efekty kiedy skończy się miejsce we flashu? W  WAP54g to się sprzęt "zatrzaskiwał" i cały system przechodził w read-only.

P.S.
Panowie, tak poza tematem to szacuneczek dla Was za ten software, z bylejakiego routerka robi się fajny i uniwersalny sprzęcik.

Witam.

Ja również próbuje zestawić tunel między openWRT Gargoyle z ecco... (wr1043nd), a Netgear fvs318.
Korzystam z opisu na stronie http://rpc.one.pl/index.php/lista-artyk … -statyczne

Zainstalowałem wszystkie pakiety z repozytoriów. kmod-crypto-authenc  i kmod-ipsec4 od Cezarego (do jadra -27). kmod-crypto-aead - nie zainstalowany bo go nie ma.

I  mam następujący komunikat:

root@Gargoyle:~# /etc/racoon/start_vpn
Uruchamiam tunel ipsec racoon...
pfkey_open: Address family not supported by protocol
racoon: something error happened while pfkey initializing.

Czy to jest spowodowane brakiem tego modułu?

racoon.conf

path pre_shared_key "/etc/racoon/psk.txt";
#path certificate "/etc/racoon/certs";

log info;
listen
{
isakmp 78.131.142.72 [500];
isakmp_natt 78.131.142.72 [4500];
strict_address;
}

remote 83.15.166.226 {
exchange_mode main;
doi ipsec_doi;
situation_identity_only;
lifetime time 28800 sec;
my_identifier address;
passive off;
initial_contact on;
#       ike_frag=on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
generate_policy on;
}

sainfo anonymous {
pfs_group 2;
lifetime time  3600 sec;
encryption_algorithm 3des ;
authentication_algorithm hmac_sha1, hmac_md5  ;
compression_algorithm deflate;
}

@roland nie załadowane moduły od ipsec - pewnie brak
@lukaszp z tego co pamiętam to w backfire nie musiałem go instalować bo go nie było ale działało na pewno

lsmod. Nie Ismod.  (L małe, nie I). Zainstaluj więc normalny obraz backfire.

Tak/nie. Czyste openwrt nie  ma pewnych fukcjonalności gargoyle - ograniczenia/limity/takiego gos i kilka innych rzeczy. Natomiast wifi czy sieci możesz sobie  /etc/config/ ustawić.

Możesz także luci zainstalować - ustawić jak chcesz, potem odinstalować.

To nie ograniczenia, po prostu w openwrt robisz to samodzielnie , gardoyle ma to "z urzędu". Nowy build Gargoyle będzie, jak uporam się z paroma sprawami.

No właśnie po to powstał extroot żebyś mógł sobie instalować co i ile chcesz. na pendrive czy karcie pamięci.

Jak to nie ma w czym, a vi?

1 w nocy Jaki masz adres wan? Bo post pisałeś z innego adresu...

Witam ponownie,
Chciałbym zrelacjonować dla potomności efekty pracy nad IPsec'iem.
Udało mi się w zasadzie bez problemów uruchomić tunel wg instrukcji ze strony www.rpc.one.pl
@Cezary,
Dzięki za przygotowanie obrazu gargoyla z modułami IPsec
@RPC
Kolego, super instrukcja, śmiga

Pozostaje mi jeszcze ustawienie extroota w taki sposób, żeby się ładowały ustawienia z karty wbudowanej w modem 3g, a potem żeby się uaktywniał WAN via 3G i dalej zestawiał tunel IPSec. ale to już poza tematem.

Roland napisz jak Ci idzie z tunelem..

Witam,
Mam problem z tunelem (a może nie z tunelem), mianowicie zestawia mi się połączenie szyfrowane poprawnie(wg logów)

2011-02-08 19:55:50: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
2011-02-08 19:55:50: INFO: @(#)This product linked OpenSSL 0.9.8p 16 Nov 2010 (http://www.openssl.org/)
2011-02-08 19:55:50: INFO: Reading configuration from "/etc/racoon/racoon.conf"
2011-02-08 19:55:50: INFO: 83.220.*.58[4500] used as isakmp port (fd=7)
2011-02-08 19:55:50: INFO: 83.220.*.58[4500] used for NAT-T
2011-02-08 19:55:50: INFO: 83.220.*.58[500] used as isakmp port (fd=8)
2011-02-08 19:55:50: INFO: 83.220.*.58[500] used for NAT-T
2011-02-08 19:55:51: INFO: respond new phase 1 negotiation: 83.220.*.58[500]<=>217.97.*.174[500]
2011-02-08 19:55:51: INFO: begin Identity Protection mode.
2011-02-08 19:55:51: INFO: received Vendor ID: DPD
2011-02-08 19:55:51: WARNING: ignore INITIAL-CONTACT notification, because it is only accepted after phase1.
2011-02-08 19:55:51: INFO: ISAKMP-SA established 83.220.*.58[500]-217.97.*.174[500] spi:d2b2d33baab7f023:64ad5bf77492154f
2011-02-08 19:55:51: INFO: respond new phase 2 negotiation: 83.220.*.58[500]<=>217.97.*.174[500]
2011-02-08 19:55:51: INFO: no policy found, try to generate the policy : 172.20.35.0/27[0] 192.168.223.0/27[0] proto=any dir=in
2011-02-08 19:55:51: INFO: IPsec-SA established: ESP/Tunnel 217.97.*.174[0]->83.220.*.58[0] spi=110188001(0x69155e1)
2011-02-08 19:55:51: INFO: IPsec-SA established: ESP/Tunnel 83.220.*.58[500]->217.97.*.174[500] spi=4180554083(0xf92e3163)
2011-02-08 19:55:51: ERROR: such policy does not already exist: "172.20.35.0/27[0] 192.168.223.0/27[0] proto=any dir=in"
2011-02-08 19:55:51: ERROR: such policy does not already exist: "172.20.35.0/27[0] 192.168.223.0/27[0] proto=any dir=fwd"
2011-02-08 19:55:51: ERROR: such policy does not already exist: "192.168.223.0/27[0] 172.20.35.0/27[0] proto=any dir=out"

Teraz do sedna, zdalny host może pingować, może się zalogować za pomocą SSH, adres LAN mojego routera(wan 83.220.*.58 LAN - 192.168.223.1), a ja z mojego routera nie mogę pingować adresu LAN (172.20.35.1) routera po drugiej stronie tunelu.
Nie wiem co mogę jeszcze poprawić albo przekonfigurować. Zasady przepisałem, po uprzedniej adaptacji na moje potrzeby, ze strony kolegi RPC

/etc/config/firewall dodałem

config rule
option src              wan
option proto            esp
option target           ACCEPT

config rule
option src              wan
option proto            ah
option target           ACCEPT

config rule
option src              wan
option proto            ipcomp
option target           ACCEPT

config rule
option dest_port        500
option proto            udp
option target           ACCEPT

config rule
option dest_port        4500
option proto            udp
option target           ACCEPT

config include
option path /etc/firewall.user

Oraz konfiguracja pliku /etc/firewall.user

iptables -I forwarding_rule -p tcp --src 172.20.35.0/27 -j ACCEPT
iptables -I forwarding_rule --dst 172.20.35.0/27 -j ACCEPT
iptables -t nat -I postrouting_rule -s 192.168.223.0/27 -d 172.20.35.0/27 -j ACCEPT
iptables -t nat -I postrouting_rule -p ipcomp -j ACCEPT
iptables -t nat -I postrouting_rule -p ah -j ACCEPT
iptables -t nat -I postrouting_rule -p esp -j ACCEPT

Macie może jakieś sugestie? Działa tunel, ale nie do końca

Jeszcze pyanie, co mogą oznaczać te 3 ostatnie linie z Error w logu ipsec'a?
W googlach piszą, że to w gruncie rzeczy nie są błędy, ale  jakieś warrningi..