Temat: openvpn kodowanie sha1

Dotyczy openwrt na tp-link740n
Jak mogę sprawdzić czy w routerze mam zainstalowane encryption sha1 lub md5
W etc/modules.d/ znalazłem crypto-ase. Wie może ktoś jaki to jest Cipher ase 128 , aes 192 ,aes 256 Czy wszystkie ?

Na stronie openwrt  http://wiki.openwrt.org/doc/howto/vpn.client.pptp  znalazłem

If you need to use encryption or compression, add the following lines to /etc/modules:
ppp_mppe_mppc
arc4
sha1

Czy na openwrt tp-link740n można uruchomić encryption sha1 lub md5 ?
Jeśli można to proszę o wskazówki jak

2

Odp: openvpn kodowanie sha1

Wszystkie trzy są wspierane przez aes.

sha1/md5 masz w modułach, po prostu je zainstaluj.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: openvpn kodowanie sha1

przypuszczam że chodzi o kmod-crypto-sha1 dla tp-link740n nie mogę znaleźć. Użyć  z trunk ?

4

Odp: openvpn kodowanie sha1

A jakiej wersji openwrt w ogóle używasz?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5

Odp: openvpn kodowanie sha1

Dokładnie jest to Tp-link740n v4.23 Testuję na dwóch jedna z twojej strony. Drugie ze strony openwrt zmienione z zainstalowanym openvpn. Możemy się skoncentrować na twojej wersji jeśli masz ochotę pomóc. Co bym chciał zrobić. W zależności ile wystarczy miejsca.
1. Uruchomić openvpn (server wymaga user pass oraz sh1 lub md5 oraz cipher aes)
2. Uruchomić interface WiFi
3. Uruchomić luci.
Najważniejsze jest uruchomienie punkt1.
Wgrywam wersję z http://ecco.selfip.net/attitude_adjustm … pgrade.bin i próbuję od początku

6

Odp: openvpn kodowanie sha1

Te moduły są i dla backfire i dla AA, więc jakim cudem ich znaleźć nie możesz?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

7

Odp: openvpn kodowanie sha1

Zainstalowałem w twojej wersji kmod-crypto-sha1.  Nie wiem dlaczego za pierwszym razem mi się to nie udało. Próbuję uruchomić.

8

Odp: openvpn kodowanie sha1

Moduły są wgrywane z modules-boot.d/  czy modules.d/ ?

9

Odp: openvpn kodowanie sha1

modules.d, i ładują się same przy starcie systemu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

10

Odp: openvpn kodowanie sha1

Brakuje mi miejsca do zainstalowania libopenssl mam 232kb potrzebuję 618
Które pakiety mogę odinstalować:
base-files - 117-r34302
busybox - 1.19.4-5
dnsmasq - 2.62-2
dropbear - 2011.54-2
firewall - 2-53
iw - 3.6-1
kernel - 3.3.8-1-3b70fc7d412617eb97c6bdc7d8fb7844
kmod-ath9k - 3.3.8+2012-09-07-3
kmod-crypto-aes - 3.3.8-1
kmod-crypto-core - 3.3.8-1
kmod-crypto-hash - 3.3.8-1
kmod-crypto-sha1 - 3.3.8-1
kmod-ipt-conntrack - 3.3.8-1
kmod-ledtrig-timer - 3.3.8-1
kmod-lib-crc-ccitt - 3.3.8-1
kmod-pppoe - 3.3.8-1
kmod-pppox - 3.3.8-1
kmod-tun - 3.3.8-1
libc - 0.9.33.2-1
libgcc - 4.6-linaro-1
libip4tc - 1.4.10-4
libubox - 2012-10-31.1-407f7a0bb3272ee03f2eb05391ce8b94238fa92e
libuci - 2012-03-28.1-1
lua - 5.1.4-8
mtd - 18.1
netifd - 2012-10-19-a9fd870450e82f31cba681651656276dfc1c39ac
opkg - 618-2
px5g - 1
swconfig - 10
ubus - 2012-06-01-a62e2f8c15a65efb1a82404d8f31e3bfc1cbe7d9
ubusd - 2012-06-01-a62e2f8c15a65efb1a82404d8f31e3bfc1cbe7d9
uci - 2012-03-28.1-1
uhttpd - 40
wpad-mini - 20120910-1
wput - 0.6.2-1

11

Odp: openvpn kodowanie sha1

Żaden. Jeżeli czegoś sam nie instalowałeś to nie możesz tego odinstalować, nie zwolni to miejsca.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

12

Odp: openvpn kodowanie sha1

Właśnie zauważyłem  odinstalowałem  iw zamiast zwiększyć to się  zmniejszyło z 232 do 228. Jak najprościej wgrać od nowa oprogramowanie do tp-link740n v4.23 lub wszystko wyczyścić tak jak po wgraniu. Nie pamiętam czy wgrywałem coś do rutera ?
Chodzi o wersję z twojej strony. Jest  zainstalowana i zainstalować ponownie.

13

Odp: openvpn kodowanie sha1

firstboot zrób, będziesz miał czysty system jak po wgraniu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

14

Odp: openvpn kodowanie sha1

Zrobiłem firstboot.  Próbuję zainstalować sha1.  Dostaję komunikat o błędach. 
Muszę ręcznie pobrać i umieścić moduły w katatogach ?

root@OpenWrt:~# opkg install kmod-crypto-sha1
Installing kmod-crypto-sha1 (3.3.8-1) to root...
Downloading http://ecco.selfip.net/attitude_adjustm … /kmod-cryp                           to-sha1_3.3.8-1_ar71xx.ipk.
Installing kmod-crypto-hash (3.3.8-1) to root...
Downloading http://ecco.selfip.net/attitude_adjustm … /kmod-cryp                           to-hash_3.3.8-1_ar71xx.ipk.
Configuring kmod-crypto-hash.
sed: 02-crypto-hash: No such file or directory
Configuring kmod-crypto-sha1.
sed: 09-crypto-sha1: No such file or directory
Collected errors:
* extract_archive: Cannot create symlink from ./etc/modules-boot.d/02-crypto-ha                           sh to '../modules.d/02-crypto-hash': No such file or directory.
* wfopen: /etc/modules.d/02-crypto-hash: No such file or directory.
* wfopen: /lib/modules/3.3.8/crypto_hash.ko: No such file or directory.
* wfopen: /etc/modules.d/09-crypto-sha1: No such file or directory.
* wfopen: /lib/modules/3.3.8/sha1_generic.ko: No such file or directory.
root@OpenWrt:~# opkg install kmod-crypto-sha1

Przed poleceniem firstboot zainstalowało poprawnie sh1.

15

Odp: openvpn kodowanie sha1

Ty masz flash znów zapełniony...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

16

Odp: openvpn kodowanie sha1

Zrobiłem firstboot następnie reeboot routera i zainstalowało sh1

17

Odp: openvpn kodowanie sha1

Jest nadzieja że się uda. Zainstalowałem sh1 i openvpn pozostało 384kb miejsca wolnego. Będę próbował później lub w poniedziałek. Dziękuję za pomoc. Poinformuję czy się udało lub będę pisał o pomoc.

18

Odp: openvpn kodowanie sha1

Mam większy problem oto config który używam do łączenia z serwerem.

client

dev tap
proto tcp
remote 172.30.5.250 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
ca /etc/openvpn/ca.crt
#cert /etc/openvpn/c2.crt
#key /etc/openvpn/c2.key
script-security 2
verb 5
auth-user-pass
auth-nocache

Na maszynie z innym linuxem nie openwrt dostaję taki komunikat i działa

Tue Dec 18 15:03:09 2012 us=670970 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue Dec 18 15:03:09 2012 us=684893 Control Channel MTU parms [ L:1575 D:140 EF:40 EB:0 ET:0 EL:0 ]
Tue Dec 18 15:03:09 2012 us=686996 Data Channel MTU parms [ L:1575 D:1450 EF:43 EB:4 ET:32 EL:0 ]
Tue Dec 18 15:03:09 2012 us=687899 Local Options String: 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_CLIENT,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Tue Dec 18 15:03:09 2012 us=688329 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1575,tun-mtu 1532,proto TCPv4_SERVER,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Tue Dec 18 15:03:09 2012 us=689117 Local Options hash (VER=V4): '10f35004'
Tue Dec 18 15:03:09 2012 us=689832 Expected Remote Options hash (VER=V4): 'a917298a'
Tue Dec 18 15:03:09 2012 us=691105 Attempting to establish TCP connection with 172.30.5.250:1194 [nonblock]
Tue Dec 18 15:03:10 2012 us=694439 TCP connection established with 172.30.5.250:1194
Tue Dec 18 15:03:10 2012 us=694986 Socket Buffers: R=[87380->131072] S=[16384->131072]
Tue Dec 18 15:03:10 2012 us=695531 TCPv4_CLIENT link local: [undef]
Tue Dec 18 15:03:10 2012 us=696036 TCPv4_CLIENT link remote: 172.30.5.250:1194
WRTue Dec 18 15:03:10 2012 us=700827 TLS: Initial packet from 172.30.5.250:1194, sid=d8e47f97 c9d1eb6d
WRWRRWRTue Dec 18 15:03:10 2012 us=821080 VERIFY OK: depth=1, /C=GB/ST=World/L=World/O=VPN_World/CN=VPN_World_CA/emailAddress=cert@wpn_world
Tue Dec 18 15:03:10 2012 us=837949 VERIFY OK: nsCertType=SERVER
Tue Dec 18 15:03:10 2012 us=838528 VERIFY OK: depth=0, /C=GB/ST=World/L=World/O=VPN_World/CN=server/name=server/emailAddress=cert@wpn_world
WRWWWWRRRRRWWWWRRRRRTue Dec 18 15:03:13 2012 us=924959 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Dec 18 15:03:13 2012 us=925595 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Dec 18 15:03:13 2012 us=927378 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Dec 18 15:03:13 2012 us=927997 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
WTue Dec 18 15:03:13 2012 us=929250 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Tue Dec 18 15:03:13 2012 us=930607 [server] Peer Connection Initiated with 172.30.5.250:1194
Tue Dec 18 15:03:15 2012 us=74967 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
WRTue Dec 18 15:03:15 2012 us=79941 PUSH: Received control message: 'PUSH_REPLY,ping 20,ping-restart 60,route-gateway 10.144.144.6,ifconfig 10.144.144.7 255.255.255.0'
Tue Dec 18 15:03:15 2012 us=81269 OPTIONS IMPORT: timers and/or timeouts modified
Tue Dec 18 15:03:15 2012 us=81711 OPTIONS IMPORT: --ifconfig/up options modified
Tue Dec 18 15:03:15 2012 us=82102 OPTIONS IMPORT: route-related options modified
Tue Dec 18 15:03:15 2012 us=87938 TUN/TAP device tap0 opened
Tue Dec 18 15:03:15 2012 us=88854 TUN/TAP TX queue length set to 100
Tue Dec 18 15:03:15 2012 us=90073 /sbin/ifconfig tap0 10.144.144.7 netmask 255.255.255.0 mtu 1500 broadcast 10.144.144.255
Tue Dec 18 15:03:15 2012 us=114693 Initialization Sequence Completed

Na openWrt dostaje taki komunikat

Mon Dec 10 11:53:45 2012 us=189650 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon Dec 10 11:53:45 2012 us=199635 Control Channel MTU parms [ L:1575 D:140 EF:40 EB:0 ET:0 EL:0 ]
Mon Dec 10 11:53:45 2012 us=200823 Socket Buffers: R=[87380->131072] S=[16384->131072]
Mon Dec 10 11:53:45 2012 us=201929 Data Channel MTU parms [ L:1575 D:1450 EF:43 EB:4 ET:32 EL:0 ]
Mon Dec 10 11:53:45 2012 us=202901 Attempting to establish TCP connection with 172.30.5.250:1194 [nonblock]
Mon Dec 10 11:53:46 2012 us=204452 TCP connection established with 172.30.5.250:1194
Mon Dec 10 11:53:46 2012 us=204888 TCPv4_CLIENT link local: [undef]
Mon Dec 10 11:53:46 2012 us=205182 TCPv4_CLIENT link remote: 172.30.5.250:1194
WRMon Dec 10 11:53:46 2012 us=207414 TLS: Initial packet from 172.30.5.250:1194, sid=7eceedb9 0d710fef
WRWWRRRWRMon Dec 10 11:53:46 2012 us=301665 VERIFY OK: depth=1, /C=GB/ST=World/L=World/O=VPN_World/CN=VPN_World_CA/emailAddress=cert@wpn_world
Mon Dec 10 11:53:46 2012 us=310546 VERIFY OK: nsCertType=SERVER
Mon Dec 10 11:53:46 2012 us=311542 VERIFY OK: depth=0, /C=GB/ST=World/L=World/O=VPN_World/CN=server/name=server/emailAddress=cert@wpn_world
WRWWWWRRRRRWWWRRMon Dec 10 11:53:47 2012 us=946444 Connection reset, restarting [0]
Mon Dec 10 11:53:47 2012 us=948666 TCP/UDP: Closing socket
Mon Dec 10 11:53:47 2012 us=949921 SIGUSR1[soft,connection-reset] received, process restarting
Mon Dec 10 11:53:47 2012 us=950940 Restart pause, 5 second(s)
Mon Dec 10 11:53:52 2012 us=951929 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon Dec 10 11:53:52 2012 us=952868 Re-using SSL/TLS context
Mon Dec 10 11:53:52 2012 us=954239 Control Channel MTU parms [ L:1575 D:140 EF:40 EB:0 ET:0 EL:0 ]
Mon Dec 10 11:53:52 2012 us=955012 Socket Buffers: R=[87380->131072] S=[16384->131072]
Mon Dec 10 11:53:52 2012 us=955396 Data Channel MTU parms [ L:1575 D:1450 EF:43 EB:4 ET:32 EL:0 ]
Mon Dec 10 11:53:52 2012 us=955676 Attempting to establish TCP connection with 172.30.5.250:1194 [nonblock]
Mon Dec 10 11:53:53 2012 us=956364 TCP connection established with 172.30.5.250:1194
Mon Dec 10 11:53:53 2012 us=956682 TCPv4_CLIENT link local: [undef]
Mon Dec 10 11:53:53 2012 us=956877 TCPv4_CLIENT link remote: 172.30.5.250:1194
WRMon Dec 10 11:53:53 2012 us=958085 TLS: Initial packet from 172.30.5.250:1194, sid=54494582 d562769c


Na intrenecie znalazłem poszlakę że to może być problem z domyślnymi kodekami wiec dodałem ale nic to nie zmieniło.
cipher AES-128-CBC
auth sha1

Gdzie mogę szukać błędu ????
Na czym się koncentrować ?

19

Odp: openvpn kodowanie sha1

Zacznij od ustawienia poprawnej daty w routerze. Może certyfikat masz ważny po 10 dopiero.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

20

Odp: openvpn kodowanie sha1

Sprawdzałem to nie problem w dacie

21

Odp: openvpn kodowanie sha1

A mogę postawić tunel z konsoli jakąś komendą ifconfig tun0  żeby sprawdzić czy to nie problem z stawianiem tunelu.  Wydaje mi się że problem może być w tym że tunel nie jest automatycznie dodawany do bridga lub nie jest mu przyznawany adres ip

22

Odp: openvpn kodowanie sha1

openvpn --mktun --dev tap0
ifconfig tap0 1.2.3.4 up

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

23

Odp: openvpn kodowanie sha1

tap0      Link encap:Ethernet  HWaddr 52:47:88:2D:F7:7A
          inet addr:1.2.3.4  Bcast:1.255.255.255  Mask:255.0.0.0
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Uruchamia się z konsoli.
Problem jest chyba nierozwiązywalny. Server jest na Mikrotiku i w logach jest komunikat  unknow auth alg . Z tego co czytałem to nikomu się nie udało połączyć.

Na linuksie który się łączy są takie komunikaty
Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key   -  zakładam że w openwrt to potrafi
Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication  - zakładam że openwrt to potrafi

Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA - tutaj nie wiem o co chodzi. Czy jest odpowiedni openssl czy coś innego ?

24

Odp: openvpn kodowanie sha1

W logach microtika czy openwrt?

Wymuś w konfigu coś generycznego i zobacz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

25

Odp: openvpn kodowanie sha1

W logach Mikrotika
Wygląda że niezależnie jakie ustawię cipher i auth w linuxie lub openwrt to mikrotik przez chwilę używa własnego

Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
chyba jest to z:
AES ciphersuites from RFC3268, extending TLS v1.0

Potem Mikrotik ustanawia kodowanie ustawione w konfigu klienta.

Jak mogę sprawdzić czy na linuxie i openwrt jest takie kodowanie   AES ciphersuites from RFC3268, extending TLS v1.0 ??