VPN Site2Site, come non impazzire?

[cancellato] · 8 mag 2021

edofullo è nornale che con solo IPSec ne sul mikrotik ne sul pfsense venga creata una interfaccia per il tunnel?

Sì, se lo usi in policy mode sì. In routed mode compare la sua interfaccia e necessita di due IP punto-punto come un qualsiasi altro link.
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/routed-vti.html
Personalmente sono d'accordo con Linus Torvalds nel dire che l'implementazione di IPSec fa cagare.

edofullo Il mio problema principale (oltre alle limitazioni dello scolpasta, anche sbloccato) è l'IP dinamico da una delle due parti.

Cerca IPSec road warrior e trovi tutto. Dalla parte con IP statico imposti di accettare client con IP 0.0.0.0/0 nella phase 1 e via.

edofullo Provato con un pfsense (che si tira su la sua pppoe) e il link sale, non sono andato oltre però.

Firewall da qualche parte che tagliano?

edofullo · 8 mag 2021

[cancellato] Personalmente sono d'accordo con Linus Torvalds nel dire che l'implementazione di IPSec fa cagare.

Perfetto

Userei volentieri Wireguard... ma uso RouterOS6 quindi nada.

[cancellato] Cerca IPSec road warrior e trovi tutto. Dalla parte con IP statico imposti di accettare client con IP 0.0.0.0/0 nella phase 1 e via.

Ottimo grazie

[cancellato] Firewall da qualche parte che tagliano?

Ho provato pure a mettere iptables su input accept dalla parte dello scolpasta ed accettare il protocollo GRE sul mikrotik, niente da fare.

[cancellato] · 8 mag 2021

edofullo Eh, comunque IPSec è lo standard de facto per le Lan2Lan nell'enterprise, quindi a funzionare funziona. È che chi l'ha pensato quella volta era un masochista...

edofullo Ho provato pure a mettere iptables su input accept dalla parte dello scolpasta ed accettare il protocollo GRE sul mikrotik, niente da fare.

Prova in rete locale... tanto se il link va su te ne accorgi. Da qui espandi, hai la fortuna che hai la FTTH Tim quindi ti basta uno switchettino e puoi tirar su N PPPoE per simulare N case diverse.
Alla peggio, wireshark e PCAP a destra e a sinistra... Occhio che sia GRE IP e non GRE TAP (incapsula L2).

edofullo · 8 mag 2021

[cancellato] Prova in rete locale... tanto se il link va su te ne accorgi. Da qui espandi, hai la fortuna che hai la FTTH Tim quindi ti basta uno switchettino e puoi tirar su N PPPoE per simulare N case diverse.
Alla peggio, wireshark e PCAP a destra e a sinistra... Occhio che sia GRE IP e non GRE TAP (incapsula L2).

Il problema è che comunque passo per internet, quindi comunque dovrei (o almeno, sarebbe meglio) cifrare i pacchetti in transito. Comunque proverò, non avevo pensato alle PPPoE multiple.

Comunque scopiazzando la config da questo ragazzo su ilpuntotecnico sono riuscito a fare salire la phase 1 direttamente scolapasta-mikrotik (però con gli IP hardcoded per ora)

Ora devo capire perchè non sale la phase 2...

[cancellato] · 8 mag 2021

edofullo Ora devo capire perchè non sale la phase 2...

Ocio ai parametri di encryption e alle chiavi PSK.

edofullo · 8 mag 2021

Ho paura di ver capito il problema... Il modulo iptables-mod-ipsec delle repo per lo scolapasta in realtà è "vuoto" nonostante esista il pacchetto.

Quindi devo provare a forzare l'installazione dai repo ufficiale (però devo trovare l'architettura giusta...) oppure provare a ricompilarlo.

Ecchepalle...

gandalf2016 · 8 mag 2021

edofullo mamma mia

edofullo · 8 mag 2021

Alla fine quel modulo per iptables serviva solo per matchare il traffico diretto verso il tunnel IPSec, non sarà bellissimo ma ho fatto andare bene un bel '-s 10.0.0.0/24 -d 192.168.1.0/24' e bona.

Per quanto riguarda la phase 2, ho scopiazzato un altra config da internet e ora sembra funzionare tutto dopo aver sistemato srcnat e firewall anche sul tik.

Domani giusto per sfizio testo il thoughput... ma alla fine mi serve solo per non esporre la iLo del mio server su internet

LLSan83 · 9 mag 2021

edofullo Perfetto

Userei volentieri Wireguard... ma uso RouterOS6 quindi nada.

ROS7 beta è ben lontano dal completamento di una versione completa e "stabile" purtroppo. Speriamo nel 2022 dai

edofullo · 9 mag 2021

Update: le performance sembrano ottime.

Ottengo circa 9/45, però considerate che in download sono limitato dai 9 Mbps in up della DSL (nei weekend gli uffici accanto spengono il modem, altrimenti ho 5 in up...) mentre in download avrei circa 65 Mbps quindi direi che i 45 Mbps sono il limite massimo dell'hardware dello scolapasta nero (DGA4130), che infatti manda un (solo) core della CPU al 95% (pure IPSec è single core?)

Il MikroTik penso faccia in hardware, quei 45 Mbps manco lo scalfiscono.

Nota a margine: è davvero un peccato gli ISP facciano di tutto (anche spendendo denaro) per castrare via software le CPE che vendono a caro prezzo agli utenti, lasciassero la possibilità di installare il firmware originale o di accedere ad openwrt "base" probabilmente meno gente andrebbe sul modem libero.

Soprattutto visto che l'hardware sembra buono.

Se qualcuno vuole replicare quello che ho fatto posso mettere istruzioni più dettagliate.
Anche tra due scolapasta/TIM HUB la cosa non dovrebbe esser (troppo) complicata.

QQRDG · 9 mag 2021

edofullo davvero un peccato gli ISP facciano di tutto (anche spendendo denaro) per castrare via software le CPE che vendono a caro prezzo agli utenti, lasciassero la possibilità di installare il firmware originale o di accedere ad openwrt "base" probabilmente meno gente andrebbe sul modem libero.

è vero, basta vedere EOLO, il modem che forniscono adesso, gli hanno castrato il firmwere in maniera incredibile, il perché lo sanno solo loro.

[cancellato] · 9 mag 2021

QRDG gli hanno castrato il firmwere in maniera incredibile, il perché lo sanno solo loro.

Perché più roba metti più l'utonto ci mette le manine piene di ditine dove non sa e più crea disservizi... che essendo su apparato venduto dal provider si traducono in chiamate al call center.
Meno roba c'è meno l'utonto può rompere. Se vuole smanettare si compra il router che vuole e se spacca tutto chieda ai forum o ammiocuggino

edofullo · 9 mag 2021

[cancellato] Si ma comunque è un peccato.

Potrebbero lasciare la possibilità di flashare un firmware custom (magari richiedendo lo sblocco al call center e facendo decadere la garanzia)

Ricordiamo che almeno nel caso di TIM il modem è VENDUTO a 5€ per 48 mesi, non è dato in comodato.
Purtroppo così invece poi finiscono nelle discariche perchè finito il loro uso non possono essere riutilizzati.

[cancellato] · 9 mag 2021

edofullo Eh lo so... Ma le aziende ragionano con il soldo. Non con l'etica o l'ecologia purtroppo.

Dovrebbero più che altro dare la possibilità agli utenti smaliziati di sbloccare il firmware dietro manleva per problemi che dovessero emergere dalle configurazioni avanzate, ma di nuovo è un costo aziendale, sono procedure da implementare e complica i flussi di assistenza dei call center sottopagati che non fanno altro che seguire le checklist.

gandalf2016 · 9 mag 2021

[cancellato] che non fanno altro che seguire le checklist.

Quando capiscono a grandi linee che check-list imbroccare, altrimenti è la fine.

edofullo
Il mio modem TIM TG789vac v2.. uno dei primi che distribuivano allora. In versione 1.0.0 che superato il mese di uptime faceva reboot, menomale che è stato aggiornato poi..
Pagato 5*48 mesi interamente è in box a prendere polvere.

QQRDG · 9 mag 2021

[cancellato] non basta tipo mettere la sezione "avanzate"? con un avviso tipo: Attenzione! Le impostazioni in questa modalità se modificate erroneamente, possono portare al cattivo funzionamento del dispositivo e l'assenza parziale o totale delle connessione internet. Cliccando " AVANTI " la responsabilità delle azioni sarà solo tua.

Un messaggio del genere e via, poi se il tizio fa danni, quando chiama, vedi se ha modificato una di quelle impostazioni e gli dici che per sistemare deve rivolgersi all'assistenza tecnica "avanzata" a pagamento ed hai risolto, TIM in parte lo fa, con quella cavolata di TIM DOCTOR o una roba del genere.

In tutto questo c'è windtre che su alcune business da un aethra tutto bloccato, che ogni cosa che vuoi modificare, devi mandare un modulo...

x_term · 9 mag 2021

edofullo Il MikroTik penso faccia in hardware, quei 45 Mbps manco lo scalfiscono.

La 4011 (ed anche altre routerboard in realtà) ha un chip per l’accelerazione hardware IPSec infatti

Hhandymenny · 9 mag 2021

[cancellato] Perché più roba metti più l'utonto ci mette le manine piene di ditine dove non sa e più crea disservizi... che essendo su apparato venduto dal provider si traducono in chiamate al call center.
Meno roba c'è meno l'utonto può rompere.

Però con tutti gli zyxel di wind puoi fare di tutto e di più* (salvo bug) e non sembra questo crei particolari problemi.
Addirittura nella guida del VMG8823 spiegavano come modificare le soglie (SINR, RSSI) del band steering. E oggi ho scoperto come "ingannare" il modem e fargli vedere la /64 del tunnel di HE come 6RD, cosa impensabile con i modem (non fritz) degli altri BIG

* Limitazioni rispetto al firmware ufficiale ci sono, ma non sono eccessive, mancano un paio di funzioni e un paio di menu (tra cui il tr-069)

edofullo · 10 mag 2021

Il tunnel funziona bene ma non mi è chiara una cosa: dovrebbe rimaner su indefinitamente o viene chiuso se non c'è scambio dati / ogni x minuti?

Perchè non ho mai visto l'uptime oltre i 45 minuti

[cancellato] · 10 mag 2021

edofullo A logica, sta su. A meno che non ci sia incompatibilità sugli intervalli di refresh delle chiavi e una delle due parti chiuda la connessione se l'altra non le rinnova in tempo...

Prova con un CHR e ti togli il dubbio, ma a logica dovrebbe rimanere UP.