[Suche] Empfehlung für Router mit Kabel Deutschland unter openWRT

ATD

Zitat von kls

Ich habe mal versuchsweise auf modp3072 umgestellt (sowohl auf racoon als auch auf cougar), aber damit kam der Tunnel nicht zustande. Muß ich da außer modp2048 zu modp3072 zu ändern noch etwas machen?

Dann lasse es so, wie gehabt, eine Orgie aus Versuchen bringt niemanden weiter. Die Wahrscheinlichkeit einer Attacke ist gegen null.

Ich arbeite gewöhnlich auf potenter Router-Hardware mit AES256, SHA256, DH Gruppen aus der neuen Spezifikation für Phase 1 IKEv2 und Phase 2 läuft mit MD5. Das ist aber nicht meine Empfehlung für Deine Hardware! Kann dazu führen, dass die Übertragungsgeschwindigkeit drastisch einbricht oder es treten unerklärliche Effekte auf.

Albert

kls

Ich habe jetzt OpenWrt völlig neu aufgesetzt, "opkg update && opkg install strongswan-default ipset" gemacht und nur die Dateien /etc/config/firewall, /etc/firewall.user, /etc/ipsec.secrets und /etc/ipsec.conf von der alten Installation übernommen. Restart von firewall und ipsec funktioniert ohne Fehler. Der Tunnel zu racoon entsteht und es gehen auch Daten hinein, aber es kommen offensichtlich keine zurück:

ipsec statusall

Code

root@cougar:/etc# ipsec statusall
no files found matching '/etc/strongswan.d/*.conf'
Status of IKE charon daemon (strongSwan 5.3.3, Linux 3.18.20, mips):
  uptime: 60 seconds, since Dec 12 15:25:28 2015
  malloc: sbrk 135168, mmap 0, used 123712, free 11456
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 3
  loaded plugins: charon aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey sshkey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default stroke updown xauth-generic
Listening IP addresses:
  188.192.78.43
  192.168.1.1
  fdc9:7c9a:d2b5::1
Connections:
      racoon:  %any...88.198.76.220  IKEv1/2
      racoon:   local:  [cougar.tvdr.de] uses pre-shared key authentication
      racoon:   remote: [racoon.tvdr.de] uses pre-shared key authentication
      racoon:   child:  192.168.1.0/24 === dynamic TUNNEL
     panther:  %any...panther.tvdr.de,0.0.0.0/0,::/0  IKEv1/2
     panther:   local:  [cougar.tvdr.de] uses pre-shared key authentication
     panther:   remote: [panther.tvdr.de] uses pre-shared key authentication
     panther:   child:  192.168.1.0/24 === 192.168.100.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
      racoon[1]: ESTABLISHED 59 seconds ago, 188.192.78.43[cougar.tvdr.de]...88.198.76.220[racoon.tvdr.de]
      racoon[1]: IKEv2 SPIs: 996238f7fdb69c9c_i* 9b9a760d4763e575_r, pre-shared key reauthentication in 2 hours
      racoon[1]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
      racoon{1}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: c6196b42_i c5caf40f_o
      racoon{1}:  AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 4366 bytes_o (39 pkts, 1s ago), rekeying in 45 minutes
      racoon{1}:   192.168.1.0/24 === 88.198.76.220/32

Alles anzeigen

Die Ausgabe "0 bytes_i, 4366 bytes_o" in der vorletzten Zeile sagt wohl, daß zwar 4366 Bytes von cougar Richtung racoon gegangen sind (von einem 'ping'), aber keine Daten zurückgekommen sind.

Bevor ich jetzt mein schönes, sauberes System mit allen möglichen Paketen "verunreinige", wollte ich erst nochmal nachfragen, ob du eine Idee hast, woran das liegen könnte. Ich habe ja eigentlich genau das gemacht, was du auch gemacht hast - und bei dir geht es ja...

Klaus

ATD

Das hatte ich nach dem Neuinstallation auch. Ein reboot hat das Problem gelöst.

Wenn nicht, dann zeige bitte die oben genannten Dateien.

Albert

kls

Reboot hat leider nicht geholfen.

/etc/config/firewall

Code

#/etc/config/firewall
config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option family 'ipv4'
        option target 'ACCEPT'


config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'


config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'


config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fe80::/10'
        option src_port '547'
        option dest_ip 'fe80::/10'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'


config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'


config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'


config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'


config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'


config zone
        option name 'vpn'
        option network ' '
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option subnet '88.198.76.220/32 192.168.100.0/24'


config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'


config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'


config forwarding
        option src 'vpn'
        option dest 'lan'


config forwarding
        option src 'lan'
        option dest 'vpn'


config forwarding
        option src 'lan'
        option dest 'wan'


config include
        option path '/etc/firewall.user'
        option reload 1

Alles anzeigen

/etc/firewall.user

Code

#/etc/firewall.user


iptables -t nat -A prerouting_wan_rule -m policy --dir in --pol ipsec -j ACCEPT
iptables -t nat -A postrouting_wan_rule -m policy --dir out --pol ipsec -j ACCEPT
iptables -A forwarding_rule -m policy --dir in --pol ipsec -m conntrack --ctstate N -j zone_vpn_forward
iptables -A input_wan_rule -m policy --dir in --pol ipsec -m conntrack --ctstate N -j ACCEPT

/etc/ipsec.conf

Code

conn %default
        leftid=@cougar.tvdr.de
        left=%defaultroute
        leftsubnet=192.168.1.0/24
        leftfirewall=no
        authby=secret
        auto=start
        #keyexchange=ikev1
        aggressive=yes
        ike=aes128-sha1-modp2048
        esp=aes128-sha1-modp2048


conn racoon
        rightid=@racoon.tvdr.de
        right=88.198.76.220


conn panther
        rightid=@panther.tvdr.de
        right=%panther.tvdr.de
        rightsubnet=192.168.100.0/24

Alles anzeigen

Die /etc/ipsec.secrets poste ich verständlicherweise nicht, aber ohne die würde ja der Tunner überhaupt nicht entstehen.

Klaus

ATD

Zitat von kls

Die /etc/ipsec.secrets poste ich verständlicherweise nicht, aber ohne die würde ja der Tunner überhaupt nicht entstehen.

Schon klar, aber Syntax: @cougar.tvdr.de @racoon.tvdr.de : PSK "wurst" !?

Geht es wenn /etc/init.d/firewall stop ist?

Ist die /etc/ipsec.conf wirklich wie gehabt (ohne rightsubnet)?

War früher in der /etc/config/firewall racoon mit Adresse oder mit Adresse/Subnet eingetragen?

/etc/init.d/firewall stop
ipsec reload
ipsec restart
ipsec statusall
traceroute und ping
/etc/init.d/firewall start
traceroute und ping

Ich werde zum Kaffee geladen. Bis dann.

Albert

kls

Zitat von ATD

Schon klar, aber Syntax: @cougar.tvdr.de @racoon.tvdr.de : PSK "wurst" !?

Ja, genau so.

Zitat

Geht es wenn /etc/init.d/firewall stop ist?

Damit geht gar nichts (auch kein Zugriff auf andere externe Hosts).

Zitat

Ist die /etc/ipsec.conf wirklich wie gehabt (ohne rightsubnet)?

Die Datei (wie auch alle anderen) habe ich 1:1 vom alten System übernommen.

Zitat

War früher in der /etc/config/firewall racoon mit Adresse oder mit Adresse/Subnet eingetragen?

Es hatte beides funktioniert. Ich habe es jetzt auch auf dem neu aufgesetzten System in beiden Varianten probiert, ohne Erfolg.

Zitat

/etc/init.d/firewall stop
ipsec reload
ipsec restart
ipsec statusall
traceroute und ping
/etc/init.d/firewall start
traceroute und ping

Alles anzeigen

Bringt alles nichts. Nur wenn ich ipsec stoppe und die Zeile "option subnet '88.198.76.220/32 192.168.100.0/24'" in /etc/config/firewall auskommentiere, kann ich racoon erreichen - dann allerdings freilich nicht über das VPN.

Klaus

ATD

Mit "option subnet '88.198.76.220 192.168.100.0/24'" auch nicht?

Möglich das Du in der /etc/ipsec.conf bei racoon auch noch rightsubnet=88.198.76.220/32 eintrage musst.

Albert

ATD

Ist nun strongswan-mod-kernel-libipsec installiert oder nicht?

Sichere strongswan.conf und versuche es mit der aus Post 196.

Ist in /etc/strongswan.d/charon aes.conf vorhanden?

Wenn alles nicht hilft, dann müssen wir den Firewall mit uci im Schrittbetrieb inspizieren.

Ich bin für eine halbe Stunde weg.

Albert

kls

Zitat von ATD

Mit "option subnet '88.198.76.220 192.168.100.0/24'" auch nicht?

Nein, auch damit geht es nicht.

Zitat

Möglich das Du in der /etc/ipsec.conf bei racoon auch noch rightsubnet=88.198.76.220/32 eintrage musst.

Hab ich probiert, ändert aber auch nichts.

Klaus

kls

Zitat von ATD

Ist nun strongswan-mod-kernel-libipsec installiert oder nicht?

Nein, ich habe nur das installiert, was du gesagt hattest.
Soll ich das mal installieren?
Aber warum klappt es dann bei dir ohne das? Oder ist das bei dir doch installiert?

Zitat

Sichere strongswan.conf und versuche es mit der aus Post 196.

Auch damit geht es nicht.

Zitat

Ist in /etc/strongswan.d/charon aes.conf vorhanden?

Ja, ist vorhanden.

Klaus

ATD

Bei Firewall restart keine Fehlermeldung auf fehlende ipset?

Albert

ATD

Schrittbetrieb.

Zonenprüfung:

uci show firewall.@zone[0] von 0 bis 3, wobei es nur insgesamt drei geben dürfte.

Prüfung auf Forward:

uci show firewall.@forwarding[0] auch hier dürften nur drei geben.

Albert

ATD

Gib mal die folgenden vier Befehle an der Console ein, aber bitte nur ein einziges mal und dann nie wieder!

iptables -t nat -A prerouting_wan_rule -m policy --dir in --pol ipsec -j ACCEPT
iptables -t nat -A postrouting_wan_rule -m policy --dir out --pol ipsec -j ACCEPT
iptables -A forwarding_rule -m policy --dir in --pol ipsec -m conntrack --ctstate NEW -j zone_vpn_forward
iptables -I input_wan_rule -m policy --dir in --pol ipsec -m conntrack --ctstate NEW -j ACCEPT

und /etc/init.d/firewall restart.

Albert

kls

Zitat von ATD

Bei Firewall restart keine Fehlermeldung auf fehlende ipset?

Nein. Das Einzige, was kommt, ist "Warning: Section @zone[0] (vpn) has no device, network, subnet or extra options", aber das kam, glaube ich, auch vorher schon.

Klaus

kls

root@cougar:/etc# uci show firewall.@zone[0]
firewall.cfg12dc81=zone
firewall.cfg12dc81.name='vpn'
firewall.cfg12dc81.network=' '
firewall.cfg12dc81.input='ACCEPT'
firewall.cfg12dc81.output='ACCEPT'
firewall.cfg12dc81.forward='ACCEPT'
root@cougar:/etc# uci show firewall.@zone[1]
firewall.cfg14dc81=zone
firewall.cfg14dc81.name='lan'
firewall.cfg14dc81.network='lan'
firewall.cfg14dc81.input='ACCEPT'
firewall.cfg14dc81.output='ACCEPT'
firewall.cfg14dc81.forward='ACCEPT'
root@cougar:/etc# uci show firewall.@zone[2]
firewall.cfg16dc81=zone
firewall.cfg16dc81.name='wan'
firewall.cfg16dc81.network='wan' 'wan6'
firewall.cfg16dc81.input='REJECT'
firewall.cfg16dc81.output='ACCEPT'
firewall.cfg16dc81.forward='REJECT'
firewall.cfg16dc81.masq='1'
firewall.cfg16dc81.mtu_fix='1'
root@cougar:/etc# uci show firewall.@zone[3]
uci: Entry not found
root@cougar:/etc# uci show firewall.@forwarding[0]
firewall.cfg18ad58=forwarding
firewall.cfg18ad58.src='vpn'
firewall.cfg18ad58.dest='lan'
root@cougar:/etc# uci show firewall.@forwarding[1]
firewall.cfg1aad58=forwarding
firewall.cfg1aad58.src='lan'
firewall.cfg1aad58.dest='vpn'
root@cougar:/etc# uci show firewall.@forwarding[2]
firewall.cfg1cad58=forwarding
firewall.cfg1cad58.src='lan'
firewall.cfg1cad58.dest='wan'
root@cougar:/etc# uci show firewall.@forwarding[3]
uci: Entry not found

Wobei das ohne die Zeile mit dem subnet ist, weil sonst keine Verbindung zu racoon möglich ist.

Klaus

kls

Zitat von ATD

Gib mal die folgenden vier Befehle an der Console ein, aber bitte nur ein einziges mal und dann nie wieder!

iptables -t nat -A prerouting_wan_rule -m policy --dir in --pol ipsec -j ACCEPT
iptables -t nat -A postrouting_wan_rule -m policy --dir out --pol ipsec -j ACCEPT
iptables -A forwarding_rule -m policy --dir in --pol ipsec -m conntrack --ctstate NEW -j zone_vpn_forward
iptables -I input_wan_rule -m policy --dir in --pol ipsec -m conntrack --ctstate NEW -j ACCEPT

und /etc/init.d/firewall restart.

Das ist doch, bis auf das -I statt -A in der letzten Zeile, genau das, was in der /etc/firwall.user steht, oder?
Hat jedenfalls auch nichts geändert.

Klaus

ATD

Zitat von kls

Das ist doch, bis auf das -I statt -A in der letzten Zeile, genau das, was in der /etc/firwall.user steht, oder?

Sorry, natürlich -A nicht -I.

Wo wir noch Unterschiede hatten, das war strongswan-mod-kernel-libipsec. Bei mir ist es NICHT installiert.

opkg list_installed strongswan*

Code

login as: root
root@192.168.220.1's password:




BusyBox v1.23.2 (2015-07-25 06:35:11 CEST) built-in shell (ash)


  _______                     ________        __
 |       |.-----.-----.-----.|  |  |  |.----.|  |_
 |   -   ||  _  |  -__|     ||  |  |  ||   _||   _|
 |_______||   __|_____|__|__||________||__|  |____|
          |__| W I R E L E S S   F R E E D O M
 -----------------------------------------------------
 CHAOS CALMER (15.05, r46767)
 -----------------------------------------------------
  * 1 1/2 oz Gin            Shake with a glassful
  * 1/4 oz Triple Sec       of broken ice and pour
  * 3/4 oz Lime Juice       unstrained into a goblet.
  * 1 1/2 oz Orange Juice
  * 1 tsp. Grenadine Syrup
 -----------------------------------------------------
root@OpenWrt:~# opkg list_installed strongswan*
strongswan - 5.3.3-1
strongswan-charon - 5.3.3-1
strongswan-default - 5.3.3-1
strongswan-mod-aes - 5.3.3-1
strongswan-mod-attr - 5.3.3-1
strongswan-mod-constraints - 5.3.3-1
strongswan-mod-des - 5.3.3-1
strongswan-mod-dnskey - 5.3.3-1
strongswan-mod-fips-prf - 5.3.3-1
strongswan-mod-gmp - 5.3.3-1
strongswan-mod-hmac - 5.3.3-1
strongswan-mod-kernel-netlink - 5.3.3-1
strongswan-mod-md5 - 5.3.3-1
strongswan-mod-nonce - 5.3.3-1
strongswan-mod-pem - 5.3.3-1
strongswan-mod-pgp - 5.3.3-1
strongswan-mod-pkcs1 - 5.3.3-1
strongswan-mod-pubkey - 5.3.3-1
strongswan-mod-random - 5.3.3-1
strongswan-mod-rc2 - 5.3.3-1
strongswan-mod-resolve - 5.3.3-1
strongswan-mod-revocation - 5.3.3-1
strongswan-mod-sha1 - 5.3.3-1
strongswan-mod-sha2 - 5.3.3-1
strongswan-mod-socket-default - 5.3.3-1
strongswan-mod-sshkey - 5.3.3-1
strongswan-mod-stroke - 5.3.3-1
strongswan-mod-updown - 5.3.3-1
strongswan-mod-x509 - 5.3.3-1
strongswan-mod-xauth-generic - 5.3.3-1
strongswan-mod-xcbc - 5.3.3-1
strongswan-utils - 5.3.3-1
root@OpenWrt:~#

Alles anzeigen

Bitte abgleichen.

Albert

ATD

Gib mir mal eine Komplettausgabe unter Spoiler mit iptables -nvL.

Albert

kls

Zitat von ATD

Sorry, natürlich -A nicht -I.

Dann ist das ja auf jeden Fall hier in Verwendung.

Zitat

Wo wir noch Unterschiede hatten, das war strongswan-mod-kernel-libipsec. Bei mir ist es NICHT installiert.

Bei mir auch nicht. Ich hatte es zwischenzeitlich mal testweise installiert, aber damit gab es jede Menge Fehlermeldungen. Hab's wieder entfernt.

Die Liste der strongswan* Pakete sieht bei mir genauso aus wie bei dir.

Klaus

ATD

Hast Du was auf racoon geändert, bzw. besteht die Möglichkeit racoon neu zu starten? Wer weiß, ob auf der Gegenseite etwas klemmt.

Albert

[Suche] Empfehlung für Router mit Kabel Deutschland unter openWRT

Jetzt mitmachen!

Benutzer online in diesem Thema