1 (edytowany przez mesmariusz 2023-01-20 09:53:37)

Temat: Klient VPN L2tp over IPsec dla OpenWrt

Cześć.

Mam serwer l2tp over ipsec na mikrotiku we Wrocławiu do którego łączę się mikrotikami z innych lokalizacji, spinając tym samym kilka lokalizacji w jedną sieć. Oczywiście w każdej lokalizacji adresacja lest inna, niemniej podsieci są transparentne i można między nimi swobodnie pingować. Co do samego łącza z internetem maszyny z danej lokalizacji korzystają z własnego połączenia internetowego (nie jest tak, że wszystko leci przez Wrocław).

Chciałbym dodać kolejne lokalizacje, gdzie głównym routerem jest sprzęt działający pod kontrolą OpenWrt, innymi słowy potrzebuję doinstalować (?) do OpenWrt i skonfigurować klienta l2tp over IPsec w sposób analogiczny jak wyżej.

Podpowie ktoś namiary na właściwy poradnik ?

Z góry dziękuję ślicznie.

2

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Ja nie mam takiego poradnika, zostaje chyba tylko posiłkowanie się wiki openwrt, typu https://openwrt.org/docs/guide-user/ser … anxl2tpvpn

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Dzięki. Spróbuję przetrzeć szlaki w takim razie :-)

A kojarzysz może jak ma się temat  wireguarda (kolejny VPN, pewnie jakąś nowość, bo wjechał razem z wersją 7 RouterOS-a).

Ponoć bardzo fajna i bezpieczna alternatywa dla L2TP IPsec, i niby nic nie stoi na przeszkodzie by postawić go obok / równolegle do L2TP IPsec, przynajmniej na czas przesiadki.

Muszę się zorientować jak jest z wireguardem w środowisku openwrt.

4

Odp: Klient VPN L2tp over IPsec dla OpenWrt

W środowisku openwrt i w linuksie nie ma problemów, "od lat" go używamy. Mikrotik dorobił się ostatnio wiregaurda, więc możesz go sprawdzić.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5 (edytowany przez mesmariusz 2023-01-20 11:51:49)

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Pobieżenie przejrzałem artykuł https://openwrt.org/docs/guide-user/ser … anxl2tpvpn ale widzę, że tam koncentracja na serwerze raczej, a mi OpenWrt w roli klienta potrzebny.

W temacie klientów informacja o tym, że są wbudowane w większość OS-ów.

Na końcu jeszcze wzmianka o klientach, ale raczej w kontekście podmontowania na kliencie zdalnego zasobu nfs, a trochę nie o to mi chodzi. 

W każdym razie lecę szukać dalej :-)

--- edit --

O, właśnie chyba coś znalazłem :-)

https://openthreat.ro/openwrt-l2tp-ipse … ik-server/

6 (edytowany przez mesmariusz 2023-01-20 13:20:47)

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Co do poradnika

https://openthreat.ro/openwrt-l2tp-ipse … mment-5121

utknąłem w tym miejscu:

root@OpenWrt:~# /etc/init.d/ipsec enable
-ash: /etc/init.d/ipsec: not found

Mimo, że wszystkie paczki zainstalowały się poprawnie, i wszystko szło bez problemu, coś ipsec nie domaga / brakuje go.

7

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Zainstaluj dodatkowo pakiet strongswan-ipsec, tam jest skrypt startowy (i inne pliki)

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

8

Odp: Klient VPN L2tp over IPsec dla OpenWrt

No właśnie też na to wpadłem w międzyczasie przeszukując pakiety ze stringiem ipsec w nazwie w GUI :-)

Próbując znaleźć rozwiązanie doinstalowałem paczkę:

opkg install strongswan-ipsec


Teraz ipsec pozwala się włączyć, ale niesety coś jest dalej nie tak:

root@OpenWrt:~# /etc/init.d/ipsec enable
root@OpenWrt:~# /etc/init.d/xl2tpd enable
root@OpenWrt:~# /etc/init.d/ipsec restart
WARNING: Strongswan is deprecating the ipsec CLI; please migrate to swanctl.
root@OpenWrt:~# /etc/init.d/xl2tpd restart
root@OpenWrt:~# ipsec restart
Stopping strongSwan IPsec failed: starter is not running
/usr/sbin/ipsec: exec: line 217: /usr/lib/ipsec/starter: not found
root@OpenWrt:~# ipsec up mikrotik
/usr/sbin/ipsec: line 292: /usr/lib/ipsec/stroke: not found

9

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Zainstaluj strongswan-mod-stroke

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

10

Odp: Klient VPN L2tp over IPsec dla OpenWrt

O widzisz :-)

Teraz to by wyglądało tak:

root@OpenWrt:~# opkg install strongswan-mod-stroke
Installing strongswan-mod-stroke (5.9.5-12.1) to root...
Downloading https://downloads.openwrt.org/releases/ … l_24kc.ipk
Configuring strongswan-mod-stroke.
root@OpenWrt:~# /etc/init.d/ipsec enable
root@OpenWrt:~# /etc/init.d/xl2tpd enable
root@OpenWrt:~# /etc/init.d/ipsec restart
WARNING: Strongswan is deprecating the ipsec CLI; please migrate to swanctl.
root@OpenWrt:~# /etc/init.d/xl2tpd restart
root@OpenWrt:~# ipsec restart
Stopping strongSwan IPsec...
Starting strongSwan 5.9.5 IPsec [starter]...
charon is already running (/var/run/charon.pid exists) -- skipping daemon start
root@OpenWrt:~# ipsec up mikrotik
connecting to 'unix:///var/run/charon.ctl' failed: No such file or directory
failed to connect to stroke socket 'unix:///var/run/charon.ctl'
root@OpenWrt:~#

11 (edytowany przez Cezary 2023-01-20 13:32:19)

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Charon startup via starter, as used in OpenWrt, has a hard-coded time limit of 10 seconds. When the limit is reached before the daemon is fully initialized, starter gives up and terminates charon (see the source code 5).

If you can start strongswan manually like this:

/etc/init.d/ipsec stop
let the device sit idle for 10..20 seconds
/etc/init.d/ipsec start
the router's CPU or storage might simply be too slow.

I am not sure if OpenWrt starts services in parallel, and if so, how they could be serialized.
Perhaps other daemons are trying to start at the same time, competing for resources.

To z https://forum.openwrt.org/t/ipsec-stron … ting/82097

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

12

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Dobra, widzę, że po restarcie ruszyło. Zaraz przepnę pod innego net providera (bo teraz próbuje się połączyć z VPN-em z wnętrza LAN) w każdym razie powiedzmy, że zabanglało :-)

  _______                     ________        __
|       |.-----.-----.-----.|  |  |  |.----.|  |_
|   -   ||  _  |  -__|     ||  |  |  ||   _||   _|
|_______||   __|_____|__|__||________||__|  |____|
          |__| W I R E L E S S   F R E E D O M
-----------------------------------------------------
OpenWrt 22.03.3, r20028-43d71ad93e
-----------------------------------------------------
root@OpenWrt:~# /etc/init.d/ipsec restart
WARNING: Strongswan is deprecating the ipsec CLI; please migrate to swanctl.
root@OpenWrt:~# /etc/init.d/xl2tpd restart
root@OpenWrt:~# ipsec restart
Stopping strongSwan IPsec...
Starting strongSwan 5.9.5 IPsec [starter]...
root@OpenWrt:~# ipsec up mikrotik
initiating Main Mode IKE_SA mikrotik[1] to WAN.WAN.WAN.WAN
generating ID_PROT request 0 [ SA V V V V V ]
sending packet: from LAN.LAN.LAN.LAN[500] to WAN.WAN.WAN.WAN[500] (180 bytes)
sending retransmit 1 of request message ID 0, seq 1
sending packet: from LAN.LAN.LAN.LAN[500] to WAN.WAN.WAN.WAN[500] (180 bytes)
sending retransmit 2 of request message ID 0, seq 1

Chyba jest git, zaraz testuję :-)

13

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Jak będzie działało to napisz jeszcze jednego posta z  opisem, co zainstalować, jak wygląda config itd.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

14

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Cześć.

Przez weekend mnie nie było. Jak najbardziej na koniec zbiorę informacje i wrzucę poradnik.

Na tę chwilę zastanawia mnie dlaczego, mimo zestawienia połączenia OpenWrt z Mikrotikiem, mikrotik nie widzi nawiązanego połączenia / nie tworzy nowego interfejsu:

OpenWrt:

https://i.imgur.com/rwWo1pD.png


Mikrotik:

https://i.imgur.com/tNmGI1Z.png
https://i.imgur.com/VLLpwtH.png

Na powyższym screenie widać podłączonych dwóch klientów (inne mikrotiki) a nie widać połączenia nawiąanego przez OpenWrt.

Ciekawe.

Dzisiaj idę w kimę, ale do tematu wrócę, i na koniec zrobi się ładny poradnik.

15 (edytowany przez mesmariusz 2023-01-29 01:56:49)

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Ciągle nie mam kiedy usiąść do tematu, ale wrzucę tu sobie notatkę, że:

- gdy nawiązuję połączenie VPN np. z telefonu (sprawdzone, działające), do logu mikrotika trafia:

https://i.imgur.com/2qcj7b2.png


- gdy nawiązuję połączenie VPN z OpenWrt, do logu mikrotika trafia:

https://i.imgur.com/mBCiqVi.png

Czyli coś utyka na pierwszej fazie łączenia.

Po nawiązaniu połączenia z OpenWrt pojawia się też linia w policies IPsec-a, więc sam IPsec wygląda na established (podobnie jak w przypadku trzech powyższych połączeń nawiązanych z innych maszyn / innych lokalizacji:

https://i.imgur.com/kp6tOjs.png

16

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Konfigurowałem niedawno wireguarda site 2 site na necie z ros 7, działa nawet ok,prędkości też ok, polecam bo to prostsze i uniwersalne niż IPsec l2tp

Dom : router https://i.imgur.com/IuB6Zwy.png | TP-LINK T1700G-28TQ |Zyxel XGS-1210-12 | 6x Ruckus r310 unleashed  + Ruckus icx7150-c12p | Truenas scale 124TB 25Gb| Xpenology 12TB | apc smart ups 750 lcd smile 100Mb/s - 25Gb/s
Podróżne : GL.Inet MT3000  +1TB hdd
Działka : rb260gs 1j wdm 1Gb+ ruckus r310 + nb m5 + kilka kamer ip  + panel 285Wp + lifepo4 12v 60Ah .

17

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Jedyna "zaleta" ipseca to to że jest wbudowany w Mac i Windows, więc nie trzeba nic instalować. Ale po za tym to zawsze unikałem ipseca na rzecz innych vpnów.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

18

Odp: Klient VPN L2tp over IPsec dla OpenWrt

może o to chodzi , że w rb jest hw offloading ipsec, w tym wypadku ma to sens.

Dom : router https://i.imgur.com/IuB6Zwy.png | TP-LINK T1700G-28TQ |Zyxel XGS-1210-12 | 6x Ruckus r310 unleashed  + Ruckus icx7150-c12p | Truenas scale 124TB 25Gb| Xpenology 12TB | apc smart ups 750 lcd smile 100Mb/s - 25Gb/s
Podróżne : GL.Inet MT3000  +1TB hdd
Działka : rb260gs 1j wdm 1Gb+ ruckus r310 + nb m5 + kilka kamer ip  + panel 285Wp + lifepo4 12v 60Ah .

19

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Mam problem z forwardingiem do tego całego l2pt ipsec. Otóż chce ustanowić dla znajomego połączenie bo coś tam musi podziałać. Sewer znajduję się na teltonika rut955. W sieci lokalnej jak łącze się z tektoniką przez wan wszystko śmiga zestawia się połączenie. Tak samo jest jak teltonika jest na publicznym Ip przez ppoe. Ale tak nie chcę żeby było. Chce żeby router opewnrt z publicznym adresem IP przekierował mi porty na teltonikę:

port 500 UDP IPSEC ISAKMP

protocol 50 IPSEC ESP

port 4500 UDP IPSEC NAT TRAVERSAL

port 1701 UDP L2TP


Więc zrobiłem:

config redirect
    option target 'DNAT'
    option src 'wan'
    option dest 'lan'
    option src_dport '1701'
    option dest_ip '192.168.1.160'
    option dest_port '1701'
    option name 'RUT955 test l2pt'
    option proto 'tcp udp'

config redirect
    option target 'DNAT'
    option src 'wan'
    option dest 'lan'
    option src_dport '4500'
    option dest_ip '192.168.1.160'
    option dest_port '4500'
    option name 'RUT955 test ipsec'
    option proto 'tcp udp'

config redirect
    option target 'DNAT'
    option src 'wan'
    option dest 'lan'
    option src_dport '500'
    option dest_ip '192.168.1.160'
    option dest_port '500'
    option name 'RUT955 test ipsec 500'
    option proto 'tcp udp'

config redirect
    option target 'DNAT'
    option src 'wan'
    option dest 'lan'
    option src_dport '50'
    option dest_ip '192.168.1.160'
    option dest_port '50'
    option name 'RUT955'
    option proto 'tcp udp'



I to zrobiłem i nie chcę działać. Zarówno na OpenWrt Chaos Calmer 15.05.1 jak i na OpenWrt 18.06-SNAPSHOT r7911-f65330d27d. Co może być nie tak? Ewidentnie wspólny mianownik to openwrt wink

20

Odp: Klient VPN L2tp over IPsec dla OpenWrt

We współczesnym firewallu jeszcze standardowo są

config rule
         option name             Allow-IPSec-ESP
         option src              wan
         option dest             lan
         option proto            esp
         option target           ACCEPT
 
 config rule
         option name             Allow-ISAKMP
         option src              wan
         option dest             lan
         option dest_port        500
         option proto            udp
         option target           ACCEPT
Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

21

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Wypróbowałem na Twoim najnowszym chyba 22.03 na mf286d są te opcje fakt ale i tak nie działa. Nie działa też jak zrobię DMZ. Niesamowite o co tu chodzi

22 (edytowany przez mar_w 2023-02-08 09:31:52)

Odp: Klient VPN L2tp over IPsec dla OpenWrt

Manual Openwrt mówi żeby stosować max 11 znaków w nazwie, a nie pisać poematy wink
PS,Ale to w "zonie" smile

A weź na moment proto all.
EDIT:

config redirect
    option target 'DNAT'
    option src 'wan'
    option dest 'lan'
    option src_dport '50'
    option dest_ip '192.168.1.160'
    option dest_port '50'
    option name 'RUT955'
    option proto 'tcp udp'

a czy przypadkiem port 50 to nie jest protokół ESP ?

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *