Menu principale

DVA-5582 / DVA-5592 / DVA-5593 & VPN

Aperto da Pondera, 30 Agosto 2017, 15:37:01

.fega.

Citazione di: antifascista il 25 Marzo 2018, 21:35:43Per quanto riguarda Android ho fatto dei test con il 6 il 7 e l' 8 e il client nativo fallisce sempre; con un altro client, ncp vpn, si è collegato una volta sola con android 7 ma il tunnel non scambiava traffico pertanto sono giunto alla conclusione che il client nativo di Android è fa lasciar perdere

Grazie, io ho provato con VPN Cilla e fa la stessa cosa si connette senza errori ma non riesco a raggiungere la LAN.

antifascista

@.fega. Che versione di Android con vpncilla? Con la 8 non va.
Ho scritto al team di ncpvpn e ho mandato il log degli errori come mi hanno richiesto. Vi terrò informati...

.fega.

Android 7.0 con EMUI 5.1.1

Citazione di: antifascista il 25 Marzo 2018, 21:35:43niente dh sulla seconda fase

Come l'hai configurato?
A  me non l'accetta, provato sia con il wizard che manualmente.
Se metto NONE non posso fare applica.

Lila

@antifascista , sto riprovando ipsec con road warrior. Domande stupide che mi bloccano:
Wan interface:  lascio in bianco? (tunnel endpoints)
identifier type FQDN ?
indentifier uno a mia scelta?
Starting address deve essere nel pool del router?

antifascista

@.fega." Sulla fase 2 ti fa mettere dh none se trovi la correta combinazione di algoritmo e cifratura; metti sha1 sha2 128 e des 3 des.
@"Lila Ean metti la tua wan che sarebbe quella con ip pubblico della tua connessione, come user user FQDN e scegli xAuth e come pool metti un range di indirizzi diversi dalla lan; se non ricordo male ti propone un pool di 3 che puoi aumentare a tua scelta (io ne ho messi 5 da 10.10.10.51 a 10.10.10.55) e mi raccomando metti i dns che vuoi così da abilitare lo split tunnel.

jaky75

Ciao a tutti,
ecco la mia configurazione fatta per connettere il router a windows 7 via IPsec:

Configuro Windows 7 utilizzando queste istruzioni: https://kb.iweb.com/hc/en-us/articles/230267328-Configuring-new-VPN-L2TP-IPSec-connections-in-Windows-7
 
Configuro il Router DVA 5592 con FW 2018 tenendo presente che non ho configurato nessun server PPTP o L2TP:



Parto con IPsec wizart:




Riepilogo poi ok.
Edito il profilo e cambio "Agressive" con "Main" (modalita supportata da windows 7):



Abilito l'ipsec (rosso) poi applica, se tutto ok vedo enabled (verde)



Se tutto ok nel file di log, dopo aver premuto applica vedo:

25/03/2018 17:35:39    IPsec    INFO    INFO: 151.34.111.145[500] used as isakmp port (fd=7)
25/03/2018 17:35:39    IPsec    INFO    INFO: 151.34.111.145[500] used for NAT-T
25/03/2018 17:35:39    IPsec    INFO    INFO: 151.34.111.145[4500] used as isakmp port (fd=6)
25/03/2018 17:35:39    IPsec    INFO    INFO: 151.34.111.145[4500] used for NAT-T
25/03/2018 17:35:39    IPsec    INFO    INFO: Resize address pool from 0 to 5
25/03/2018 17:35:39    IPsec    INFO    INFO: IPsec started

Dopo ver tentato la connessione IPsec con windows 7 nel log del DVA trovo:
25/03/2018 17:53:19    IPsec    ERROR    ARS 002 - Phase I negotiation failed for peer 151.22.120.104[9756]
25/03/2018 17:53:19    IPsec    ERROR    [151.22.120.104] ERROR: failed to pre-process ph1 packet (side: 1, status 1).
25/03/2018 17:53:19    IPsec    ERROR    [151.22.120.104] ERROR: failed to get valid proposal.
25/03/2018 17:53:19    IPsec    ERROR    ERROR: no suitable proposal found.
25/03/2018 17:53:19    IPsec    ERROR    ERROR: invalid DH group 19.
25/03/2018 17:53:19    IPsec    ERROR    ERROR: invalid DH group 20.
25/03/2018 17:53:19    IPsec    INFO    [151.22.120.104] INFO: Selected NAT-T version: RFC 3947
25/03/2018 17:53:19    IPsec    INFO    INFO: received Vendor ID: FRAGMENTATION
25/03/2018 17:53:19    IPsec    INFO    INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
25/03/2018 17:53:19    IPsec    INFO    INFO: received Vendor ID: RFC 3947
25/03/2018 17:53:19    IPsec    INFO    INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
25/03/2018 17:53:19    IPsec    INFO    INFO: begin Identity Protection mode.
25/03/2018 17:53:19    IPsec    INFO    INFO: respond new phase 1 negotiation: 151.34.111.145[500]<=>151.22.120.104[9756]


Considerazione: nel log l'errore è sul DH group 19 e 20 che sono rispettivamente 256 bit elliptic curve e 384 bit elliptic curve che il router NON gestisce. Infatti nelle impostazioni del router trovo solo MODP che non utilizza la crittografia con il metodo della curva elittica ma lineare.....



Per cui non mi torna il significato di questo errore anche perchè windows 7 nella sua configurazione standard non utilizza le curve elittiche.

Ho provato a impostare diverse combinazioni sia su windows che sul router ma nulla!!!

Al momento sono fermo qui......


Informazioni/letture utili:
http://rockhoppervpn.sourceforge.net/ref_tips_win7.html  (è riferito a linux ma parla delle impostazioni di default di wondows)
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd125380(v=ws.10)

Con windows 7 è possibile cambiare le impistazioni di default utilizzando Windows Firewall with Advanced Security. Per farlo cercare ed eseguire " Windows Firewall with Advanced Security".  Tasto destro su " Windows Firewall with Advanced Security" dell'albero di sx e selezionare "properties". Scegliere il folder "IPsec"

utilizzare il tasto customize .........

Lila

@jaky75  i tuoi screenshot del wizard sono stati ridotti e non riesco a leggere nulla delle configurazioni.

jaky75

Citazione di: Lila il 28 Marzo 2018, 05:49:46@jaky75  i tuoi screenshot del wizard sono stati ridotti e non riesco a leggere nulla delle configurazioni.

ho modificato le immagini, ora dovrebbero essere ok. :s

antifascista

@jaky75 Quella che hai creato su windows7 è una ipsec/l2tp, il router supporta ipsec pura quindi non ti andrà mai. Configura una ipsec pura con il wizard impostando il group e la preshared key del group poi ti farà creare gli utenti del group e spunta Xauth proponendoti già admin ma ti consiglio di creare i tuoi; poi regolati di conseguenza algoritmi e cifrature. Lascia perdere il client integrato di Microsoft e usane uno di terze parti, ti basterebbe cisco vpn client perché il tipo di vpn è Cisco Ipsec Xauth.

jaky75

Citazione di: antifascista il 28 Marzo 2018, 10:39:51@jaky75 Quella che hai creato su windows7 è una ipsec/l2tp, il router supporta ipsec pura quindi non ti andrà mai. Configura una ipsec pura con il wizard impostando il group e la preshared key del group poi ti farà creare gli utenti del group e spunta Xauth proponendoti già admin ma ti consiglio di creare i tuoi; poi regolati di conseguenza algoritmi e cifrature. Lascia perdere il client integrato di Microsoft e usane uno di terze parti, ti basterebbe cisco vpn client perché il tipo di vpn è Cisco Ipsec Xauth.

@antifascista: se ho capito bene mi dici, attraverso il wizard, di impostare il group che poi mi farà creare gli utenti, francamente non ho capito dove si imposta il group.
Ho già fatto delle prove aggiungendo utenti nuovi una volta impostato Xauth oppure creandoli prima nella pagina security ma questo group non mi torna ??? .

antifascista

@jaky75 Il group è quello che lui chiama identifier (guarda il tuo screenshot) e poi subito sotto ti fa scrivere la preshared key. Metti user FQDN e lascia la modalità aggressive.
Ti ribadisco che comunque stiamo parlando di una ipsec pura...

jaky75

Citazione di: antifascista il 28 Marzo 2018, 16:17:10@jaky75 Il group è quello che lui chiama identifier (guarda il tuo screenshot) e poi subito sotto ti fa scrivere la preshared key. Metti user FQDN e lascia la modalità aggressive.
Ti ribadisco che comunque stiamo parlando di una ipsec pura...

@antifascista: ok grazie mille, ora vedo di cercare un ipsec client puro magari open source  per W7.  Grazie ancora per la dritta!


.fega.

@antifascista grazie ci provo anche io!

.fega.

Ho provato impostando le stesse opzioni nel programma ma ottengo sempre

ERROR: failed to pre-process ph1 packet (side: 1, status 1).

Possibile che nessuno riesce a superare la prima fase?
Ma poi se IKEv2 Encryption Algorithms, Authentication Algorithms e Diffie-Hellman Groupson uguali non dovrebbe andare?

Ho seguito il wizard e ho usato una classe ip diversa da 192.168.1.xxx

antifascista

@.fega. Posta le configurazioni lato router e lato pc...
A me funziona.

Lila

Citazione di: antifascista il 28 Marzo 2018, 10:39:51@jaky75 Quella che hai creato su windows7 è una ipsec/l2tp, il router supporta ipsec pura quindi non ti andrà mai.

Grazie, adesso comincio a capire!

antifascista

Ciao a tutti, di seguito gli screenshot della mia configurazione IPsec funzionante con client nativo di IOS:

https://ibb.co/bTkvn7
https://ibb.co/m0Hmun
https://ibb.co/fzFjfS
https://ibb.co/h511S7

jaky75

Citazione di: antifascista il 30 Marzo 2018, 15:15:59@.fega. Posta le configurazioni lato router e lato pc...
A me funziona.

Nemmeno a me funziona.
Mi sa che non si va da nessuna parte.


@antifascista  se a te tra pc e router funziona perché non ci posti la  configurazione che la  proviamo?

antifascista

@jaky75 Scusa ma lo hai letto il mio post?!!

Licenza Creative Commons
Il contenuto dei messaggi del forum è distribuito con
Licenza Creative Commons Attribuzione Non commerciale 4.0
Tutti i marchi registrati citati appartengono ai legittimi proprietari