VPN over IPSec

17. 9. 2016 10:39:28

Ahoj,

Ma tu nekdo funkcni VPN skrze IPSec (pres openswan/superswan) a dokazal by mi poradit s konfiguraci vuci iOS klientovi, nebo doporuceni na jiny funkcni reseni Linux<->iOS kde potrebuju aby veskery odchozi traffic byl skrze IP VPNky?

Diky, H.

17. 9. 2016 10:39:28

https://webtrh.cz/diskuse/vpn-over-ipsec/#reply1224393

TomasX

(4 hodnocení)

17. 9. 2016 11:26:57

použij softether a nemusíš to konfigurovat, dokážu poradit ale i ruční konfigurací, používám l2tp/ipsec běžně.

Mysli na to, že iOS neumí force vpn (či spolehlivý reconnect) pokud není managovaný vzdáleně.

Proč to potřebuješ?

17. 9. 2016 11:26:57

https://webtrh.cz/diskuse/vpn-over-ipsec/#reply1224392

Jan Horák (Gransy)

(22 hodnocení)

17. 9. 2016 11:37:15

Softether sem nejak nepobral, s kazdym startem mi prepise konfigurak co se mu snazim upravit :)

Co resim: mam na spousty veci pristupy jen z konkretni jedine IP adresy, a jsem velmi casto v terenu. Doposud to resim skrze klasickou proxy, ale to neni stastny reseni (zvlaste pri pouzivani na telefonu). Tedy chci jit cestou VPNky skrze kterou budu posilat cely provoz a tedy veskery provoz potece skrze danou IP a tim padem budu mit pristup kam potrebuji.

Stav do ktereho jsem se dostal je:

cannot respond to IPsec SA request because no connection is known for x.y.z.a:17/1701...37.48.10.30:17/%any===100.90.236.29/32

Kde x.y.z.a - IP serveru

37.48.10.30 - T-Mobile LTE

100.90.236.29 - netusim :)

A konfigurace:

conn L2TP-PSK-noNAT

authby=secret

pfs=no

auto=add

keyingtries=3

rekey=no

type=transport

left=x.y.z.a

leftprotoport=17/1701

right=%any

rightprotoport=17/%any

(Zatim to resim vuci PSK, nez to vubec zprovoznim do funkcniho stavu)

17. 9. 2016 11:37:15

https://webtrh.cz/diskuse/vpn-over-ipsec/#reply1224391

TomasX

(4 hodnocení)

17. 9. 2016 11:49:18

chápu, softetheru můžeš dát kondig staticky při startu.

Mysli na to, že se budeš muset před každým použitím pořád znovu na vpn připojovat, je to dost nešikovné.

Hm, ta poslední neznámá ip je tvoje interní síť, btw. Tahle hláška znamená, že ti neprotekli mezi klientem a serverem žádná data, ověř prostupnost portu a správné nastavení sítí. Debuguj to ideálně z linux klienta, jinak budeš pořád bloudit, iOS ti toho moc neřekne

17. 9. 2016 11:49:18

https://webtrh.cz/diskuse/vpn-over-ipsec/#reply1224390

Jan Horák (Gransy)

(22 hodnocení)

17. 9. 2016 12:51:57

Napsal TomášX;1325206
Mysli na to, že se budeš muset před každým použitím pořád znovu na vpn připojovat, je to dost nešikovné.

Jak to myslis? Predpokladal jsem (a tak mi funguje klasicka openvpn) ze po navazani spojeni se to udrzuje, dokud nezmenim ISP, kdy se pak musi udelat reconnect

Napsal TomášX;1325206
Hm, ta poslední neznámá ip je tvoje interní síť, btw. Tahle hláška znamená, že ti neprotekli mezi klientem a serverem žádná data, ověř prostupnost portu a správné nastavení sítí. Debuguj to ideálně z linux klienta, jinak budeš pořád bloudit, iOS ti toho moc neřekne

Na strane serveru to propustny je, na strane mobilu je pouze jen LTE pres T-Mobile. Nicmene to nefuguje ani v pripade Wifi, ale to je fakt ze muzu debugovat pres pocitac, nicmene pro me vysledek musi byt funkcni na iOS.

Vzhledem k tomu, ze jsou i v AppStore aplikace na nejaky public VPN, tak predpokladam, ze musi existovat i jednodussi reseni, ale moc se mi nedarilo neco smysluplnyho a funkcniho najit :/

17. 9. 2016 12:51:57

https://webtrh.cz/diskuse/vpn-over-ipsec/#reply1224389

TomasX

(4 hodnocení)

17. 9. 2016 13:19:13

z hlediska sítí je role ISP irelevantní, buď je spojení navázáno na IP adresu, síť (subnet) či funguje určitá nedetermistická geolokace. OpenVPN má vlastního klienta chování při přerušení spojení na věcí implementace klienta, iOS má vlastního klienta pro L2TP s IPSec šifrováním a je pouze na něm, jak se chová při přerušení spojení. Bohužel jeho chování je takové, že spojení neobnoví a musíš ručně v nastavení se znovu připojit. Tohle chování ale zle změnit vynucením VPN pro každé spojení, na to je ale potřeba nahrát upravenou verzi operačního systému se zadrátovaným VPN (Apple na to poskytuje integrační nástroje a určení jsou firmy, důvodem je bezpečnost, nastavení, které je součástí operačního systému nelze jednoduše vypnout a nemusí se řešit složité vypínání v uživatelském režimu.

VPN v appStoru jsou pouze applety do systémového VPN a možnosti mají stejně omezené, jen některé na to jdou proprietární cestou, moc jsem je ale netestoval, povětšinou jsou svázány s konkrétním poskytovatelem a to já nerad.

Ta chybová hláška řiká, že se nepodařilo navázat spojení. Nejprve se připoj na počítači a až poté to zkoušejí zprovoznit na iOS. Pošli konfiguraci sítě, bridge, frewall atd. atd.

17. 9. 2016 13:19:13

https://webtrh.cz/diskuse/vpn-over-ipsec/#reply1224388

Vladimír Smitka

(4 hodnocení)

17. 9. 2016 22:14:00

Napsal jsem nedavno navody na toto tema:

IKEv2 VPN v cloudu snadno a rychle – Lynt.cz

https://lynt.cz/blog/l2tp-vpn-v-aws-snadno-a-rychle

17. 9. 2016 22:14:00

https://webtrh.cz/diskuse/vpn-over-ipsec/#reply1224387

willie aames

17. 11. 2016 08:55:23

Dolů odstranit sečíst na obou stranách, a ujistěte se, že oba jsou dole ve stejnou dobu. Jakýkoli tunel, který používá stejný klíč, (na jedné straně), bude muset být ddau'd současně. Podívejte se na barf příkaz, mohlo by to pomoci. Měl jsem stejný problém při použití vyhrazené IP VPN

17. 11. 2016 08:55:23

https://webtrh.cz/diskuse/vpn-over-ipsec/#reply1224386

amy jeff

28. 11. 2016 09:07:29

Má vlastní IP VPN podporován protokol IPsec? Ale IPSec na nastavení iphone je snadné.

28. 11. 2016 09:07:29

https://webtrh.cz/diskuse/vpn-over-ipsec/#reply1224385

amy jeff

2. 1. 2017 11:03:11

Má vlastní IP VPN podporován protokol IPsec? Ale IPSec na nastavení iphone je snadné.

2. 1. 2017 11:03:11

https://webtrh.cz/diskuse/vpn-over-ipsec/#reply1224384