Alla fine quel modulo per iptables serviva solo per matchare il traffico diretto verso il tunnel IPSec, non sarà bellissimo ma ho fatto andare bene un bel '-s 10.0.0.0/24 -d 192.168.1.0/24' e bona.

Per quanto riguarda la phase 2, ho scopiazzato un altra config da internet e ora sembra funzionare tutto dopo aver sistemato srcnat e firewall anche sul tik.

Domani giusto per sfizio testo il thoughput... ma alla fine mi serve solo per non esporre la iLo del mio server su internet 😂

edofullo Perfetto 😂

Userei volentieri Wireguard... ma uso RouterOS6 quindi nada.

ROS7 beta è ben lontano dal completamento di una versione completa e "stabile" purtroppo. Speriamo nel 2022 dai 😅

    Update: le performance sembrano ottime.

    Ottengo circa 9/45, però considerate che in download sono limitato dai 9 Mbps in up della DSL (nei weekend gli uffici accanto spengono il modem, altrimenti ho 5 in up...) mentre in download avrei circa 65 Mbps quindi direi che i 45 Mbps sono il limite massimo dell'hardware dello scolapasta nero (DGA4130), che infatti manda un (solo) core della CPU al 95% (pure IPSec è single core?)

    Il MikroTik penso faccia in hardware, quei 45 Mbps manco lo scalfiscono.

    Nota a margine: è davvero un peccato gli ISP facciano di tutto (anche spendendo denaro) per castrare via software le CPE che vendono a caro prezzo agli utenti, lasciassero la possibilità di installare il firmware originale o di accedere ad openwrt "base" probabilmente meno gente andrebbe sul modem libero.

    Soprattutto visto che l'hardware sembra buono.

    Se qualcuno vuole replicare quello che ho fatto posso mettere istruzioni più dettagliate.
    Anche tra due scolapasta/TIM HUB la cosa non dovrebbe esser (troppo) complicata.

      edofullo davvero un peccato gli ISP facciano di tutto (anche spendendo denaro) per castrare via software le CPE che vendono a caro prezzo agli utenti, lasciassero la possibilità di installare il firmware originale o di accedere ad openwrt "base" probabilmente meno gente andrebbe sul modem libero.

      è vero, basta vedere EOLO, il modem che forniscono adesso, gli hanno castrato il firmwere in maniera incredibile, il perché lo sanno solo loro.

          • [cancellato]

          • Messaggio #16

          QRDG gli hanno castrato il firmwere in maniera incredibile, il perché lo sanno solo loro.

          Perché più roba metti più l'utonto ci mette le manine piene di ditine dove non sa e più crea disservizi... che essendo su apparato venduto dal provider si traducono in chiamate al call center.
          Meno roba c'è meno l'utonto può rompere. Se vuole smanettare si compra il router che vuole e se spacca tutto chieda ai forum o ammiocuggino 😉

              [cancellato] Si ma comunque è un peccato.

              Potrebbero lasciare la possibilità di flashare un firmware custom (magari richiedendo lo sblocco al call center e facendo decadere la garanzia)

              Ricordiamo che almeno nel caso di TIM il modem è VENDUTO a 5€ per 48 mesi, non è dato in comodato.
              Purtroppo così invece poi finiscono nelle discariche perchè finito il loro uso non possono essere riutilizzati.

                  • [cancellato]

                  • Messaggio #18

                  edofullo Eh lo so... Ma le aziende ragionano con il soldo. Non con l'etica o l'ecologia purtroppo.

                  Dovrebbero più che altro dare la possibilità agli utenti smaliziati di sbloccare il firmware dietro manleva per problemi che dovessero emergere dalle configurazioni avanzate, ma di nuovo è un costo aziendale, sono procedure da implementare e complica i flussi di assistenza dei call center sottopagati che non fanno altro che seguire le checklist. 🙁

                      [cancellato] che non fanno altro che seguire le checklist.

                      Quando capiscono a grandi linee che check-list imbroccare😅, altrimenti è la fine.

                      edofullo
                      Il mio modem TIM TG789vac v2.. uno dei primi che distribuivano allora. In versione 1.0.0 che superato il mese di uptime faceva reboot, menomale che è stato aggiornato poi..
                      Pagato 5*48 mesi interamente è in box a prendere polvere.

                          [cancellato] non basta tipo mettere la sezione "avanzate"? con un avviso tipo: Attenzione! Le impostazioni in questa modalità se modificate erroneamente, possono portare al cattivo funzionamento del dispositivo e l'assenza parziale o totale delle connessione internet. Cliccando " AVANTI " la responsabilità delle azioni sarà solo tua.

                          Un messaggio del genere e via, poi se il tizio fa danni, quando chiama, vedi se ha modificato una di quelle impostazioni e gli dici che per sistemare deve rivolgersi all'assistenza tecnica "avanzata" a pagamento ed hai risolto, TIM in parte lo fa, con quella cavolata di TIM DOCTOR o una roba del genere.

                          In tutto questo c'è windtre che su alcune business da un aethra tutto bloccato, che ogni cosa che vuoi modificare, devi mandare un modulo...

                            edofullo Il MikroTik penso faccia in hardware, quei 45 Mbps manco lo scalfiscono.

                            La 4011 (ed anche altre routerboard in realtà) ha un chip per l’accelerazione hardware IPSec infatti

                              [cancellato] Perché più roba metti più l'utonto ci mette le manine piene di ditine dove non sa e più crea disservizi... che essendo su apparato venduto dal provider si traducono in chiamate al call center.
                              Meno roba c'è meno l'utonto può rompere.

                              Però con tutti gli zyxel di wind puoi fare di tutto e di più* (salvo bug) e non sembra questo crei particolari problemi.
                              Addirittura nella guida del VMG8823 spiegavano come modificare le soglie (SINR, RSSI) del band steering. E oggi ho scoperto come "ingannare" il modem e fargli vedere la /64 del tunnel di HE come 6RD, cosa impensabile con i modem (non fritz) degli altri BIG

                              * Limitazioni rispetto al firmware ufficiale ci sono, ma non sono eccessive, mancano un paio di funzioni e un paio di menu (tra cui il tr-069)

                                  Il tunnel funziona bene ma non mi è chiara una cosa: dovrebbe rimaner su indefinitamente o viene chiuso se non c'è scambio dati / ogni x minuti?

                                  Perchè non ho mai visto l'uptime oltre i 45 minuti

                                    • [cancellato]

                                    • Messaggio #24

                                    edofullo A logica, sta su. A meno che non ci sia incompatibilità sugli intervalli di refresh delle chiavi e una delle due parti chiuda la connessione se l'altra non le rinnova in tempo...

                                    Prova con un CHR e ti togli il dubbio, ma a logica dovrebbe rimanere UP.

                                      Update: il tunnel che cadeva era (probabilmente) dovuto a un mismatch dei tempi di rekeying sui due peers... un bel casino sto protocollo...

                                      Domandina: ma se volessi mendare nel tunnel più subnet che non possono essere supernettate?

                                      Perchè provando a creare due policy sul mikrotik e due connessioni su strongswan solo una sembra andare su correttamente (ovviamente mantenendo lo stesso peer), per l'altra esce un bel NO_PROPOSAL_CHOSEN (ovviamente la proposal è identica tra le due)

                                        handymenny E oggi ho scoperto come "ingannare" il modem e fargli vedere la /64 del tunnel di HE come 6RD

                                        racconta racconta…

                                            eutampieri
                                            Praticamente su he.net ho questo:

                                            Server IPv4 Address: A
Server IPv6 Address: B/64
Client IPv4 Address: C
Client IPv6 Address: D/64

                                            Sul modem ho quindi configurato questo:

                                            Service Provider IPv6 Prefix: D/64
IPv4 Mask Length: 0
Border Relay IPv4 Address: A

                                            In realtà funzionava anche mettendo B/64 al posto di D/64, non ho capito quale dei due fosse il più corretto.
                                            Ovviamente C devi aggiornarlo ogni volta che cambia il tuo ipv4

                                                • [cancellato]

                                                • Messaggio #30
                                                • Modificato

                                                edofullo ma se volessi mendare nel tunnel più subnet che non possono essere supernettate?

                                                Tunnel in routed mode con i due indirizzi della punto-punto e rotte statiche da entrambe le parti? 🤔

                                                edofullo provando a creare due policy sul mikrotik e due connessioni su strongswan solo una sembra andare su correttamente (ovviamente mantenendo lo stesso peer), per l'altra esce un bel NO_PROPOSAL_CHOSEN (ovviamente la proposal è identica tra le due)

                                                Se vuoi farlo con le policy mode devi creare due diverse phase 2 nella stessa asserzione di fase 1.
                                                Te l'ho detto che chi l'ha pensato era veramente un contorto...

                                                      Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                      P.I. IT16712091004 - info@fibraclick.it

                                                      ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile