Menu principale

DVA-5582 / DVA-5592 / DVA-5593 & VPN

Aperto da Pondera, 30 Agosto 2017, 15:37:01

Bardadda

Salve scusate se riapro la discussione ma io non riesco neanche ad avere la connessione VPN. anche perchè della "segreta" che vedo ella configurazione IPAD non la vedo nel modem.
Esiste un tutorial finale o delle schermate finali lato Modem e IPad o Windows 7. Grazie per l'aiuto

Feel

Salve, sto tendando di creare una vpn privata per sfruttare l'ip della mia linea anche dal mobile per vari motivi.
Accendendo alla pagina di configurazione del dva5582, creo un nuovo VPN Server, ho provate tante configurazioni anche alcune proposte in questo thread, ma quando vado a connettermi dal mio smartphone android mi risponde con "CONNESSIONE NON RIUSCITA"





Mi serve solo per navigare, non devo accedere a nessun pc, come posso risolvere?

roni261980

Citazione di: bucefalo il 13 Luglio 2018, 22:13:24
Citazione di: roni261980 il 12 Luglio 2018, 04:31:35@antifascista
Non ho dato dettagli perché l'unica differenza è quella.
Comunque la mia situazione: ipsec pura roadwarrior Android 8 vpn ncp client, ho acceso a tutta la rete di casa ma non riesco a navigare con l'ip del fisso

ciao..potresti indicarmi dove prendere questo client che tu usi? (su lato Android o su lato pc/router?  
grazie

Ciao. Scusa per la risposta in ritardo. Cerca su Google play NCP VPN CLIENT

mathley

Un saluto a tutti.
Spero di non andare OT.
Il mio obbiettivo è riuscire a eseguire un WOL over Intenet.
Data la scarsezza di documentazione mi sono cimentato in tutti i modi possibili per ottenere il risultato,
naturalmente fallendo. Premetto che in un modo o nell'altro sono riuscito a raggingere l'obbiettivo
praticamente con tutti i modem router che mi sono capitati. Praticamente tutti i dispositivi hanno richesto
una registrazione alla arp table da farsi tramite telnet. Solo un tp-link consentiva, da interfaccia web, un abbinamento
statico ip - mac che agiva a livello 2. Dato che in locale riesco ad accendere i dispositivi mi chiedevo se tramite
VPN riuscissi in qualche modo ad emulare le stesse condizioni della rete locale. Naturalmente sono riuscito
ad instaurare una VPN, RDP funziona correttamente. Ho fatto numerosi tentativi ma tutti a vuoto.
Quindi la domanda è: secondo voi, la VPN, è la strada giusta da seguire per riuscire ad accendere un PC da
remoto?

antifascista

Con la vpn saresti in rete locale. Dovresti verificare se dallo switch integrato del dlink passa o no il pacchetto wol...

roccod

Ciao a tutti. Vi scrivo da completo neofita di vpn e spero di non tediarvi ma avrei bisogno di questo tipo di informazione.
Da un paio di mesi sono passato a 3fiber ed ho a casa un modem DVA-5592 credo....o forse DVA-5582...al momento non so dirvelo perche' mi trovo all'estero. Ed e' proprio qui la questione ovvero.....vorrei sottoscrivere un abbonamento con una compagnia telefonica che da in comodato d'uso un apparato android tv per la visione di contenuti ondemand e in diretta del paese in cui mi trovo. Ho letto nel contratto di un amico qui che e' possibile utilizzare questo apparato solo nel paese di origine (immagino controllando l'indirizzo ip dal quale si connette). So che si riesce tramite le vpn a bypassare tale problema (forse). Ma non sapendo niente di vpn vi chiedo: dopo aver acquistato un servizio vpn in abbonamento devo impostare i parametri vpn sull'apparato o posso impostarlo sul modem di modo che qualsiasi connessione passi dal modem risulti attraverso la vpn? nel secondo caso e' possibile impostare tale vpn nel nostro modem?
Ho provato a guardare nelle impostazione dell'apparato ed ho trovato le impostazioni per immettere un indirizzo ip statico ma per tutto cio' che riguarda la vpn non vi e' traccia.
Grazie e spero mi diate risposte entro una settimana ... poi tornero' in Italia e non riusciro' piu' a sottoscrivere l'eventuale abbonamento.

gualtie

Citazione di: tea4two il 21 Giugno 2018, 07:49:41Perfetto, riuscito ad effettuare il collegamento con IPsec al router.....
Alcuni parametri però vanno cambiati...e finalmente ho capito la logica "DLINK" del roadWarrior.....

Quindi riepilogando.....
Impostazioni di antifascista, (che già funzionano) ma leggermente corrette per evitare errori nei log ;-)
Lato IOS utilizzo del client IPSEC Cisco nativo.

- tea4two

Ciao,
mi rivolgo in particolare a @antifascista e @tea4two, che mi pare abbiano la medesima mia configurazione
Ho un D-Link DVA-5592 con Firmware DVA-5592_A1_WI_20180405 
Ho avviato sul router un servizio IPSec, attenendomi alla configurazione proposta da @antifascista (non modificata, perché poi le modifiche suggerite da @tea4two non le ho viste pubblicate..).
IPsec, vedendo i log, parte regolarmente.
Lato client ho utilizzato due iPhoneX (uno con iOS in beta pubblica 12.6, l'altro con iOS 11.2.6) e due diversi iPad (un Pro con iOS beta 12.6 e un iPad Air 2 con iOS 11.4.1)
Ho utilizzato anche un Samsung A6 con Android 8
I dispositivi iOS utilizzati sia con connessione dati della sim 4G/3G che sotto il wifi del router. Il dispositivo Android solo in connessione Dati.
In tutti i tentativi fatti, il client non riesce a completare la negoziazione della Phase 1. 


Il log del router registra sempre la medesima sequenza di errore:

IPsec ERROR ERROR: no suitable proposal found.
IPsec ERROR [176.xxx.xxx.xxx] ERROR: failed to get valid proposal.
IPsec ERROR [176.xxx.xxx.xxx] ERROR: failed to pre-process ph1 packet (side: 1, status 1).
IPsec ERROR ARS 002 - Phase I negotiation failed for peer 176.xxx.xxxx.xxx[29405]
IPsec WARNING WARNING: Empty internal address.


Ci sono un paio di tentativi di instaurare il colloquio che terminano sempre con la sequenza di cui sopra
poi appare:
IPsec INFO [176.xxx.xxx.xxx] INFO: Hashing 176.xxx.xxx.xxx[29405] with algo #2
IPsec INFO [151.xxx.xxx.xxx] INFO: Hashing 151.xxx.xxx.xxx[500] with algo #2
IPsec INFO INFO: Adding xauth VID payload.
IPsec ERROR ARS 002 - Phase I negotiation failed for peer 176.xxx.xxx.xxx[29405] due to time up. (token)
IPsec WARNING WARNING: Empty internal address.
IPsec WARNING WARNING: Empty internal address.

mentre sul client con un popup (iOS) vengo avvisato che la negoziazione con il server è fallita.

Qualche spunto?

Grazie!

antifascista

@gualtie Dai log si vede che l'errore è nella fase 1 quindi rivedi le impostazioni di sicurezza della fase 1 magari mettendole identiche alla mia configurazione.

gualtie

Citazione di: tea4two il 21 Giugno 2018, 07:49:41Perfetto, riuscito ad effettuare il collegamento con IPsec al router.....
Alcuni parametri però vanno cambiati...e finalmente ho capito la logica "DLINK" del roadWarrior.....

Quindi riepilogando.....
Impostazioni di antifascista, (che già funzionano) ma leggermente corrette per evitare errori nei log ;-)
Lato IOS utilizzo del client IPSEC Cisco nativo.

- tea4two

Ciao,
mi rivolgo in particolare a @antifascista e @tea4two, che mi pare abbiano la medesima mia configurazione
Ho un D-Link DVA-5592 con Firmware DVA-5592_A1_WI_20180405 
Ho avviato sul router un servizio IPSec, attenendomi alla configurazione proposta da @antifascista (non modificata, perché poi le modifiche suggerite da @tea4two non le ho viste pubblicate..).
IPsec, vedendo i log, parte regolarmente.
Lato client ho utilizzato due iPhoneX (uno con iOS in beta pubblica 12.6, l'altro con iOS 11.2.6) e due diversi iPad (un Pro con iOS beta 12.6 e un iPad Air 2 con iOS 11.4.1)
Ho utilizzato anche un Samsung A6 con Android 8
I dispositivi iOS utilizzati sia con connessione dati della sim 4G/3G che sotto il wifi del router. Il dispositivo Android solo in connessione dati 4G.
In tutti i tentativi fatti, il client non riesce a completare la negoziazione della Phase 1. 


Il log del router registra sempre la medesima sequenza di errore:

IPsec ERROR ERROR: no suitable proposal found.
IPsec ERROR [176.xxx.xxx.xxx] ERROR: failed to get valid proposal.
IPsec ERROR [176.xxx.xxx.xxx] ERROR: failed to pre-process ph1 packet (side: 1, status 1).
IPsec ERROR ARS 002 - Phase I negotiation failed for peer 176.xxx.xxxx.xxx[29405]
IPsec WARNING WARNING: Empty internal address.


Ci sono un paio di tentativi di instaurare il colloquio che terminano sempre con la sequenza di cui sopra
poi appare:
IPsec INFO [176.xxx.xxx.xxx] INFO: Hashing 176.xxx.xxx.xxx[29405] with algo #2
IPsec INFO [151.xxx.xxx.xxx] INFO: Hashing 151.xxx.xxx.xxx[500] with algo #2
IPsec INFO INFO: Adding xauth VID payload.
IPsec ERROR ARS 002 - Phase I negotiation failed for peer 176.xxx.xxx.xxx[29405] due to time up. (token)
IPsec WARNING WARNING: Empty internal address.
IPsec WARNING WARNING: Empty internal address.

mentre sul client con un popup (iOS) vengo avvisato che la negoziazione con il server è fallita.

Qualche spunto?
(a richiesta posso postare immagini di configurazione e log completo)

Grazie!

Citazione di: antifascista il 19 Agosto 2018, 19:33:02@gualtie Dai log si vede che l'errore è nella fase 1 quindi rivedi le impostazioni di sicurezza della fase 1 magari mettendole identiche alla mia configurazione.

Ciao e grazie per la risposta!

Ho messo proprio le tue configurazioni, esattamente quelle, salvo errori.
Posto il tutto (il log è quello di un tentativo di connessione singolo fatto con iOS, ossia connettendomi appare tutto questo log. Nella schermata iniziale del log (parte C), la parte iniziale fino alle 16:02 è quella che appare appena avviato il servizio IPSec): 






















FERRARI81

Sono gli stessi errori che ottengo io, seguendo le impostazioni dagli screenshot di @antifascista

francescoz

Per risolvere l'errore bisogna verificare che sia per la Phase 1 che per la Phase 2 gli SA life time del client coincidano con quelli settati nel D-LINK.
Se usate Shrew Soft VPN dovete metterli uguali nel client, se usate IOS o Android non potendoli modificare sul telefono / tablet dovete mettere nella configurazione del D-LINK i valori di default che usano IOS e Android.

Quindi:
Phase 1 SA life time: 86400
Phase 2 SA life time: 10800

Facendo così sono riuscito a collegarmi sia con Android, sia con IOS che con Windows con Shrew Soft VPN.

Ricordatevi anche che il Diffie-Hellman Group della phase 2 deve essere su NONE per usare Android / IOS, mentre come ESP Encryption Algorithms potete lasciare il default 3DES o mettere per maggior sicurezza AES-CBC che funziona con tutti.

gualtie

Citazione di: francescoz il 27 Agosto 2018, 13:52:11Per risolvere l'errore bisogna verificare che sia per la Phase 1 che per la Phase 2 gli SA life time del client coincidano con quelli settati nel D-LINK.
Se usate Shrew Soft VPN dovete metterli uguali nel client, se usate IOS o Android non potendoli modificare sul telefono / tablet dovete mettere nella configurazione del D-LINK i valori di default che usano IOS e Android.

Quindi:
Phase 1 SA life time: 86400
Phase 2 SA life time: 10800

Facendo così sono riuscito a collegarmi sia con Android, sia con IOS che con Windows con Shrew Soft VPN.

Ricordatevi anche che il Diffie-Hellman Group della phase 2 deve essere su NONE per usare Android / IOS, mentre come ESP Encryption Algorithms potete lasciare il default 3DES o mettere per maggior sicurezza AES-CBC che funziona con tutti.

Grazie per la risposta, partendo dai settaggi che avevo postato (gli stessi di @antifascista) ho modificato secondo le tue istruzioni i life time delle Phase 1 e 2, ho anche aggiunto come algoritmo AES-CBC, mentre il DH della PH2 era già a NONE.
Ciononostante non ho ottenuto alcun cambiamento sul risultato. Il log è sempre quello che ho postato, così  come il messaggio di errore sulla mancata negoziazione che prendo sull'iPad.
Forse c'è qualcosa di diverso nella versione FW del mio router, o magari le altre impostazioni fatte da WIND (io il router ce l'ho da inizio luglio) hanno qualcosa di diverso e conflittevole rispetto alle vostre configurazioni.
Mi sa che sarò costretto a considerare un servizio VPN a pagamento, in attesa di poter capire come mai non funziona (ma non sono l'unico, vedendo sopra).
Ciao e grazie comunque 

FERRARI81

Io ho risolto con quanto consigliato da @francescoz , lasciando attivo solo AES-CBC (sia in phase 1, sia in 2) e per quanto riguarda le connessioni da Android il lifetime Phase 2 SA a 28800.

Una curiosità: una volta attivata la VPN ero convinto di affacciarmi ad internet con l'ip del mio telefono. Mi sono reso conto che, invece, l'ip era quello della mia connessione cellulare, nonostante risultassi collegato in vpn (sia nell'interfaccia del cellulare, sia nell'interfaccia del modem dove il tunnel tra i due device era attivo con gli ip giusti). Mi perdo qualcosa?

antifascista

@FERRARI81 Hai impostato il dns nella configurazione della vpn? Se non lo fai non splitta il tunnel ed uscirai su internet con ip della connessione di casa.
Che versione di Android e quale client hai usato con successo?

FERRARI81

Ho Android 7.1.2. Come client ho usato quello di "default" di Android, con IPSec Xauth PSK.

Se intendevi il dns che mi permette di indirizzare direttamente l'ip del mio router, sì
Se intendevi lato android ho specificato come dns 8.8.8.8 ... ne devo specificare un altro?
In più ci sono due campi "Domini di ricerca DNS" e "Indirizzi di inoltro (ad. es 10.0.0.0/8)" che non compilo

L'unico errore che rimane nei log del modem è "   ERROR: Cannot open "/etc/motd"    " (ma, come dicevo nel messaggio precedente, il tunnerl tra il mio cellulare e la vpn lo vedo attivo sia su cellulare, sia sul router)

Nel frattempo domani proverò da un computer con SO windows e un client

antifascista

@FERRARI81 Io con Android 8 non riesco...
Per il dns intendo quello che ti fa mettere il router quando scegli il pool di indirizzi per il tunnel. Tu che pool hai usato? Io ho messo 5 indirizzi in classe 10.0.0.x/24
Guarda sul log che non faccia errori quando abilita il NAT-T sul tunnel...

FERRARI81

Come nello screen postato da gualtie qui sopra. La casella DNS è in bianco, nel pool ho messo anch'io gli stessi tuoi indirizzi e tua classe.
Ho provato ora da un computer con il software ShrewSoft VPN: si riesce a collegare ed eredita l'ip del mio router

Quindi non so per quale motivo da Android rimanga l'ip della connessione cellulare (anche se, come dicevo prima, il tunnel si attiva ed errori nel log non ce ne sono a meno di un   ERROR: Cannot open "/etc/motd" )

antifascista

@FERRARI81 In quel campo metti il dns di Google così quando sei in vpn uscirai su internet con ip pubblico della connessione del dispositivo. Se non lo metti uscirai invece con ip pubblico della connessione di casa...

vincenzo12

Ciao, grazie alle informazioni che avete fornito sono riuscito anche io a configurare la VPN IPSEC fra Android e il modem.
Segnalo però la presenza di questo errore (4 volte di seguito) nei log:  IPsec ERROR ERROR: invalid transform-id=20 in ESP.

Inoltre vorrei andare su internet con l'IP del modem di casa: ho provato a inserire o togliere 8.8.8.8 dai DNS sia sulla configurazione Android che su modem (ho provato le 4 combinazioni) ma ho sempre l'indirizzo ip della connessione di Android...

Aggiungo che da Android ho selezionato IPSec Xauth PSK; sul modem IP Address: 192.168.6.1, 5 indirizzi (nei DHCP ho 3 pool su 192.168.1.x, 192.168.2.x e 192.168.3.x).

tea4two

Ciao a tutti, dopo un periodo di blackout dalla lista, riesco ad avere un pò di tempo......

Mi spiace, ma personalmente devo ricominciare tutto da capo.
I risultati che avevo ottenuto ed in parte pubblicati sul forum, sono andati in fumo a causa di un "necessario" RESET del modem.....

Ho fatto diverse prove, ma non riesco a trovare una configurazione funzionante.... :-(

Con nessun protocollo.....
Addirittura l'IPSEC non mi apre le porte sul router, risulta come sotto firewall..... anche se ho disabilitato il firewall....

Pertanto DIREI..... che se qualcuno mi aiuta, tempo permettendo, partirei da zero, a "costruire" un manuale VPN che tocchi i vari modi di collegamento (PPTP, L2TP, IPSEC) ed i vari dispositivi Wi,MAC, iOS, Android....

In ogni caso, ho visto che esiste un nuov firmware.....
Conviene aggiornare e partire da quello ?
Qualcuno lo ha già installato ?

DVA-5592_A1_WI_20180823

- tea4two

Licenza Creative Commons
Il contenuto dei messaggi del forum è distribuito con
Licenza Creative Commons Attribuzione Non commerciale 4.0
Tutti i marchi registrati citati appartengono ai legittimi proprietari