• [cancellato]

  • Messaggio #7
  • Modificato

edofullo Eh, comunque IPSec è lo standard de facto per le Lan2Lan nell'enterprise, quindi a funzionare funziona. È che chi l'ha pensato quella volta era un masochista...

edofullo Ho provato pure a mettere iptables su input accept dalla parte dello scolpasta ed accettare il protocollo GRE sul mikrotik, niente da fare.

Prova in rete locale... tanto se il link va su te ne accorgi. Da qui espandi, hai la fortuna che hai la FTTH Tim quindi ti basta uno switchettino e puoi tirar su N PPPoE per simulare N case diverse.
Alla peggio, wireshark e PCAP a destra e a sinistra... Occhio che sia GRE IP e non GRE TAP (incapsula L2).

        [cancellato] Prova in rete locale... tanto se il link va su te ne accorgi. Da qui espandi, hai la fortuna che hai la FTTH Tim quindi ti basta uno switchettino e puoi tirar su N PPPoE per simulare N case diverse.
        Alla peggio, wireshark e PCAP a destra e a sinistra... Occhio che sia GRE IP e non GRE TAP (incapsula L2).

        Il problema è che comunque passo per internet, quindi comunque dovrei (o almeno, sarebbe meglio) cifrare i pacchetti in transito. Comunque proverò, non avevo pensato alle PPPoE multiple.

        Comunque scopiazzando la config da questo ragazzo su ilpuntotecnico sono riuscito a fare salire la phase 1 direttamente scolapasta-mikrotik (però con gli IP hardcoded per ora)

        Ora devo capire perchè non sale la phase 2...

            • [cancellato]

            • Messaggio #9

            edofullo Ora devo capire perchè non sale la phase 2...

            Ocio ai parametri di encryption e alle chiavi PSK.

              Ho paura di ver capito il problema... Il modulo iptables-mod-ipsec delle repo per lo scolapasta in realtà è "vuoto" nonostante esista il pacchetto.

              Quindi devo provare a forzare l'installazione dai repo ufficiale (però devo trovare l'architettura giusta...) oppure provare a ricompilarlo.

              Ecchepalle...

                Alla fine quel modulo per iptables serviva solo per matchare il traffico diretto verso il tunnel IPSec, non sarà bellissimo ma ho fatto andare bene un bel '-s 10.0.0.0/24 -d 192.168.1.0/24' e bona.

                Per quanto riguarda la phase 2, ho scopiazzato un altra config da internet e ora sembra funzionare tutto dopo aver sistemato srcnat e firewall anche sul tik.

                Domani giusto per sfizio testo il thoughput... ma alla fine mi serve solo per non esporre la iLo del mio server su internet 😂

                edofullo Perfetto 😂

                Userei volentieri Wireguard... ma uso RouterOS6 quindi nada.

                ROS7 beta è ben lontano dal completamento di una versione completa e "stabile" purtroppo. Speriamo nel 2022 dai 😅

                  Update: le performance sembrano ottime.

                  Ottengo circa 9/45, però considerate che in download sono limitato dai 9 Mbps in up della DSL (nei weekend gli uffici accanto spengono il modem, altrimenti ho 5 in up...) mentre in download avrei circa 65 Mbps quindi direi che i 45 Mbps sono il limite massimo dell'hardware dello scolapasta nero (DGA4130), che infatti manda un (solo) core della CPU al 95% (pure IPSec è single core?)

                  Il MikroTik penso faccia in hardware, quei 45 Mbps manco lo scalfiscono.

                  Nota a margine: è davvero un peccato gli ISP facciano di tutto (anche spendendo denaro) per castrare via software le CPE che vendono a caro prezzo agli utenti, lasciassero la possibilità di installare il firmware originale o di accedere ad openwrt "base" probabilmente meno gente andrebbe sul modem libero.

                  Soprattutto visto che l'hardware sembra buono.

                  Se qualcuno vuole replicare quello che ho fatto posso mettere istruzioni più dettagliate.
                  Anche tra due scolapasta/TIM HUB la cosa non dovrebbe esser (troppo) complicata.

                    edofullo davvero un peccato gli ISP facciano di tutto (anche spendendo denaro) per castrare via software le CPE che vendono a caro prezzo agli utenti, lasciassero la possibilità di installare il firmware originale o di accedere ad openwrt "base" probabilmente meno gente andrebbe sul modem libero.

                    è vero, basta vedere EOLO, il modem che forniscono adesso, gli hanno castrato il firmwere in maniera incredibile, il perché lo sanno solo loro.

                        • [cancellato]

                        • Messaggio #16

                        QRDG gli hanno castrato il firmwere in maniera incredibile, il perché lo sanno solo loro.

                        Perché più roba metti più l'utonto ci mette le manine piene di ditine dove non sa e più crea disservizi... che essendo su apparato venduto dal provider si traducono in chiamate al call center.
                        Meno roba c'è meno l'utonto può rompere. Se vuole smanettare si compra il router che vuole e se spacca tutto chieda ai forum o ammiocuggino 😉

                            [cancellato] Si ma comunque è un peccato.

                            Potrebbero lasciare la possibilità di flashare un firmware custom (magari richiedendo lo sblocco al call center e facendo decadere la garanzia)

                            Ricordiamo che almeno nel caso di TIM il modem è VENDUTO a 5€ per 48 mesi, non è dato in comodato.
                            Purtroppo così invece poi finiscono nelle discariche perchè finito il loro uso non possono essere riutilizzati.

                                • [cancellato]

                                • Messaggio #18

                                edofullo Eh lo so... Ma le aziende ragionano con il soldo. Non con l'etica o l'ecologia purtroppo.

                                Dovrebbero più che altro dare la possibilità agli utenti smaliziati di sbloccare il firmware dietro manleva per problemi che dovessero emergere dalle configurazioni avanzate, ma di nuovo è un costo aziendale, sono procedure da implementare e complica i flussi di assistenza dei call center sottopagati che non fanno altro che seguire le checklist. 🙁

                                    [cancellato] che non fanno altro che seguire le checklist.

                                    Quando capiscono a grandi linee che check-list imbroccare😅, altrimenti è la fine.

                                    edofullo
                                    Il mio modem TIM TG789vac v2.. uno dei primi che distribuivano allora. In versione 1.0.0 che superato il mese di uptime faceva reboot, menomale che è stato aggiornato poi..
                                    Pagato 5*48 mesi interamente è in box a prendere polvere.

                                        [cancellato] non basta tipo mettere la sezione "avanzate"? con un avviso tipo: Attenzione! Le impostazioni in questa modalità se modificate erroneamente, possono portare al cattivo funzionamento del dispositivo e l'assenza parziale o totale delle connessione internet. Cliccando " AVANTI " la responsabilità delle azioni sarà solo tua.

                                        Un messaggio del genere e via, poi se il tizio fa danni, quando chiama, vedi se ha modificato una di quelle impostazioni e gli dici che per sistemare deve rivolgersi all'assistenza tecnica "avanzata" a pagamento ed hai risolto, TIM in parte lo fa, con quella cavolata di TIM DOCTOR o una roba del genere.

                                        In tutto questo c'è windtre che su alcune business da un aethra tutto bloccato, che ogni cosa che vuoi modificare, devi mandare un modulo...

                                          edofullo Il MikroTik penso faccia in hardware, quei 45 Mbps manco lo scalfiscono.

                                          La 4011 (ed anche altre routerboard in realtà) ha un chip per l’accelerazione hardware IPSec infatti

                                            [cancellato] Perché più roba metti più l'utonto ci mette le manine piene di ditine dove non sa e più crea disservizi... che essendo su apparato venduto dal provider si traducono in chiamate al call center.
                                            Meno roba c'è meno l'utonto può rompere.

                                            Però con tutti gli zyxel di wind puoi fare di tutto e di più* (salvo bug) e non sembra questo crei particolari problemi.
                                            Addirittura nella guida del VMG8823 spiegavano come modificare le soglie (SINR, RSSI) del band steering. E oggi ho scoperto come "ingannare" il modem e fargli vedere la /64 del tunnel di HE come 6RD, cosa impensabile con i modem (non fritz) degli altri BIG

                                            * Limitazioni rispetto al firmware ufficiale ci sono, ma non sono eccessive, mancano un paio di funzioni e un paio di menu (tra cui il tr-069)

                                                Il tunnel funziona bene ma non mi è chiara una cosa: dovrebbe rimaner su indefinitamente o viene chiuso se non c'è scambio dati / ogni x minuti?

                                                Perchè non ho mai visto l'uptime oltre i 45 minuti

                                                  • [cancellato]

                                                  • Messaggio #24

                                                  edofullo A logica, sta su. A meno che non ci sia incompatibilità sugli intervalli di refresh delle chiavi e una delle due parti chiuda la connessione se l'altra non le rinnova in tempo...

                                                  Prova con un CHR e ti togli il dubbio, ma a logica dovrebbe rimanere UP.

                                                    Update: il tunnel che cadeva era (probabilmente) dovuto a un mismatch dei tempi di rekeying sui due peers... un bel casino sto protocollo...

                                                    Domandina: ma se volessi mendare nel tunnel più subnet che non possono essere supernettate?

                                                    Perchè provando a creare due policy sul mikrotik e due connessioni su strongswan solo una sembra andare su correttamente (ovviamente mantenendo lo stesso peer), per l'altra esce un bel NO_PROPOSAL_CHOSEN (ovviamente la proposal è identica tra le due)

                                                      handymenny E oggi ho scoperto come "ingannare" il modem e fargli vedere la /64 del tunnel di HE come 6RD

                                                      racconta racconta…

                                                          Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                          P.I. IT16712091004 - info@fibraclick.it

                                                          ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile