IPFire 2.13 - Core 66

General questions.
User avatar
Arne.F
Core Developer
Core Developer
Posts: 8522
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: IPFire 2.13 - Core 66

Post by Arne.F » March 7th, 2013, 9:27 am

Gibts was höheres als 2.6 zu Auswahl?

Ich denk mal das passt immernoch.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

Goodie
Posts: 60
Joined: October 11th, 2011, 11:01 am

Re: IPFire 2.13 - Core 66

Post by Goodie » March 7th, 2013, 9:39 am

Hallo

Leider musste ich feststellen, das unser Roadwarrior-VPN (PSK) seit dem Update auch nicht mehr funktioniert.  :-[ Als Client-Software verwenden wir Safenet und NCP. Bei  beiden bleibt der Verbindungsaufbau bei Phase 2 hängen.

Die Ipfire meldet aber einen korrekten Verbindungsaufbau:
10[IKE] IKE_SA roadwarrior[5] established between 88.20.86.146[88.20.86.146].. .185.126.192.46[10.0.7.7]
10[IKE] IKE_SA roadwarrior[5] established between 88.20.86.146[88.20.86.146].. .185.126.192.46[10.0.7.7]
12[IKE] 85.126.192.46 is initiating a Main Mode IKE_SA
12[IKE] 85.126.192.46 is initiating a Main Mode IKE_SA

Die Meldung ist immer doppelt. Eine andere IPfire (2.11 core64) ist gesprächiger.
Warum wurden die Debug-Optionen aus der GUI entfernt?

Fazit: Probleme nachdem Update auf v2.13:
1. Net2Net PSK VPN zwischen Ipfire 2.11 und 2.13 funktioniert nur noch mit ikev1
2. Roadwarrior VPN funktioniert auf der Ipfire 2.13 gar nicht mehr

Das Update war ein Schuss ins Knie. Mit dem 1. Problem können wir leben, da wir einfach die ältere Ipfire upgedatet hätten und dann hätte es hoffentlich auch mit ikev2 funktioniert. Aber das 2. Problem ist ein KO-Kriterium. Solange das nicht funktioniert sehe ich keine Zukunft mit v2.13 bei uns.  :'(

LG

frickelpit
Posts: 297
Joined: April 18th, 2011, 7:34 am

Re: IPFire 2.13 - Core 66

Post by frickelpit » March 7th, 2013, 10:05 am

Zum Thema Net2Net kann ich nix sagen. Bei Roadwarrior mit ikev2 hat bei mir folgender Eintrag in der ipsec.user.conf geholfen:

leftauth=pubkey

Ohne den Eintrag bleibt der Verbindungsaufbau in Phase1 kommentarlos hängen.

Gruß
Pit

Goodie
Posts: 60
Joined: October 11th, 2011, 11:01 am

Re: IPFire 2.13 - Core 66

Post by Goodie » March 7th, 2013, 10:17 am

Danke, den Tipp hatte ich schon ausprobiert. Ich habe zum Testen momentan nur den Safenet-Client und der kann nur ikev1.
Wo kann ich das Logging höher schalten. Im Moment sind die Information nur spärlich und aus der GUI sind die Debug-Optionen verschwunden. Warum auch immer. Meiner Meinung nach ein Rückschritt.

frickelpit
Posts: 297
Joined: April 18th, 2011, 7:34 am

Re: IPFire 2.13 - Core 66

Post by frickelpit » March 7th, 2013, 11:01 am

Wo kann ich das Logging höher schalten.

In der ipsec.conf einfach "charondebug=..." mit # auskommentieren und ipsec neu starten. Änderungen im Webinterface setzen diesen manuellen Eingriff wieder zurück.

Gruß
Pit

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8522
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: IPFire 2.13 - Core 66

Post by Arne.F » March 7th, 2013, 11:46 am

1. Net2Net PSK VPN zwischen Ipfire 2.11 und 2.13 funktioniert nur noch mit ikev1

Komisch. Ich hab auf jeden fall einen IKEv2 Cert-Tunnel von meiner 2.13 zu einer 2.11 laufen. Bei PSK bin ich nicht sicher ob noch einer der Peers bei mir noch 2.11 ist.

Die Debug-Optionen der GUI galten nur für Pluto und haben keine Wirkung bei Strongswan 5 darum haben wir die entfernt.

charon hat sehr viel mehr Debugsettings aber halt nur in der config und nicht in der gui.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

Goodie
Posts: 60
Joined: October 11th, 2011, 11:01 am

Re: IPFire 2.13 - Core 66

Post by Goodie » March 7th, 2013, 12:08 pm

Arne.F wrote:Die Debug-Optionen der GUI galten nur für Pluto und haben keine Wirkung bei Strongswan 5 darum haben wir die entfernt.

charon hat sehr viel mehr Debugsettings aber halt nur in der config und nicht in der gui.


Ok, das leuchtet mir ein.

Dann werde ich mal das Logging höher drehen und auf hilfreiche Informationen hoffen.

groby29
Posts: 99
Joined: May 31st, 2012, 3:19 pm
Location: Hannover
Contact:

Re: IPFire 2.13 - Core 66

Post by groby29 » March 8th, 2013, 9:49 am

.....update verlief problemlos...

Seither habe ich habe von CPU Last fast null, nun immer fast 20 Prozent.
Dienste kann normal nix hängen, habe schon alles deinstalliert und mehrfach Neustart aufgeführt.
Ich habe quasi nur noch ein Grundsystem.

Was ich ebenfalls nun habe, ist eine alle 5 sekunden wiederkehrende Festplattenaktivität. Früher war die quasi so gut wie nie am Arbeiten...
Nun ist sie deutlich am Akkern...
Logs und solche Späße habe ich "alles" abgeschaltet ...

Hm...Ich würde auch lieber ein Downgrade machen ...
Image

Jorge3711
Posts: 37
Joined: October 5th, 2012, 8:40 am

Re: IPFire 2.13 - Core 66

Post by Jorge3711 » March 8th, 2013, 1:56 pm

Arne.F wrote:Alle die wegen IPsec auf das nächste core warten muss ich erstmal entäuschen. Da sind zwar einige andere Sachen gefixt aber für Strongswan hab ich bisher nicht mal die Spur einer Idee. Alle Logs die ich bisher erhalten hab sagen einfach nichts aus.

Das ist natürlich blöd für die Fehlersuche.

Tendiere aber so langsam zu Kernel oder Hardware/Treiber Problemen da es im Netz kaum Rückmeldungen zu Strongswan5 Problemen gibt.

Jan_B: auf was für Hardware läuft der IPFire? Hat der Prozessor evtl. AES-NI Extensions oder so was.


Ich bin/war von der Problematik auch betroffen. Der betroffene IPFire läuft auf dieser Maschine. Wenn noch weitere Informationen benötigt werden, nur zu. Die Platte mit der 2.13 Core 66 Installation liegt hier auf dem Schreibtisch.
Image

Jan_B
Posts: 83
Joined: June 28th, 2011, 10:43 am
Location: Bremen

Re: IPFire 2.13 - Core 66

Post by Jan_B » March 8th, 2013, 6:44 pm

Arne.F wrote:
Jan_B: auf was für Hardware läuft der IPFire? Hat der Prozessor evtl. AES-NI Extensions oder so was.


Hi Arne,

diese Hardware: http://fireinfo.ipfire.org/profile/2d63 ... 9513582562

Brauchst du spezifischere Infos?

Gruß
Jan
Image
Image
Image
Image

sun
Posts: 29
Joined: October 10th, 2009, 8:36 pm

Re: IPFire 2.13 - Core 66

Post by sun » March 9th, 2013, 5:06 pm

Hallo,

sorry für das späte reply. War auf Dienstreise.

herby wrote:In welchem Abschnitt von strongswan.conf hast Du denn die DNS Server eingetragen?
Funktioniert denn ein Ping auf die Server im Intranet?


Code: Select all

charon {
        threads = 16
        plugins {
                sql {
                        loglevel = -1
                }
        }
        dns1 = 192.168.42.202
        dns2 = 192.168.42.1
}


Die 192.168.42.202 ist der DNS server im Intranet (Green). 192.168.202.1 die IPFire. 192.168.44.1 mein iPhone über den IPSEC Tunnel.

Ich habe mir das ganze heute noch mal angesehen und das Problem in meiner Konfiguration gelöst. Vielleicht hat jemand anderes ja auch noch Probleme mit dem iOS zu IPFire Tunnel also dokumentiere ich es hier mal. Hilfreich waren mir eine DNS lookup App fürs iPhone und Wireshark auf einem PC.

Ich hatte bei mir ja bereits
alt:
rightsubnet=vhost:%no,%priv
neu:
rightsubnet=192.168.44.0/24

an der Konfiguration geändert, damit der Tunnel überhaupt aufgebaut wurde.
Dadurch bekommt jetzt aber mein iPhone keine IP mehr im "green" subnetz (192.168.42.x) sondern ist in einem eigenen (192.168.44.x). Das zog folgende Probleme nach sich:

a) Meine bind9 DNS server auf 192.168.42.202 war bisher so konfiguriert, das er NUR Adressen von clients aus dem eigenen Subnetz auflöste.
  • Ich musste musste hier die Konfiguration um das neue subnetz hinter dem Tunnel erweitern.
-> Danach funktionierte die Namensauflösung für alle inter & intranet Adressen sowohl im forward als auch reverse lookup. Einfach nachgewiesen mit der iPhone DNS lookup APP.

b) Auch mit gelöstem DNS lookup konnte ich weiterhin mit dem Safari Browser auf dem iPhone keine Web Seiten laden. Es kam aber immerhin im Safari "kontrolliert" eine Fehlermeldung der  ipfire das ein Konfigurationsproblem bzgl der Zugriffsrechte vorlag. Problem hier war auch wieder das das iPhone am Ende des Tunnels jetzt in seinem eigenen subnetz ist. Abschalten des ipfire proxies ergab das das Problem hier liegt. Geändert werden musste.
  • Das neue Subnetz unter "Erlaubte Subnetze ergänzen".
  • "Deaktiviere internen Proxy nach Green" setzen.
-> Seitdem kann ich alle Seiten in Safari wieder vom iPhone im internet und intranet sowohl per url als auch ip-url öffnen. 

Vielleicht hilft's ja jemandem.

Gruß,

sun
Last edited by sun on March 9th, 2013, 9:41 pm, edited 1 time in total.

nightshift

Re: IPFire 2.13 - Core 66

Post by nightshift » March 9th, 2013, 6:16 pm

sun wrote:[...]
-> Fast alle im intranet per url öffnen. Die beiden Ausnahmen bei denen zwar DNS Auflösung in eine IP Adresse funktioniert die Seiten aber nicht per url sondern nur per url-ip geladen werden können sind meine Fritzbox und die ipfire. Woran das liegt habe ich noch nicht herausbekommen. 

Vielleicht hilft's ja jemandem.

Gruß,

sun


Hallo sun,

Meine Fire hängt an einer Fritzbox 6390 (Cable) und holt sich ihre Domain anscheinend von der Fritzbox laut Übersicht unter "Status".

Sie ist sowohl unter ihrer "richtigen" domain "fire.sac-net" als auch unter
"fire.fritz.box" erreichbar, anscheinend setzt die Fritz ihren Namen als Top und Second-Level Domain. :(
Leider ist dies in der von KD gelieferten Fritz nicht änderbar.

Hatte auch schon einen Alias in der hosts gesetzt auf fritzbox.sac-net,
klappte aber nur sporadisch.

Gruß,

nightshift
Last edited by nightshift on March 9th, 2013, 6:19 pm, edited 1 time in total.

sun
Posts: 29
Joined: October 10th, 2009, 8:36 pm

Re: IPFire 2.13 - Core 66

Post by sun » March 9th, 2013, 9:58 pm

Hallo Nightshift,

Wenn DNS klappt kann es ja eigentlich kein Unterschied sein ob ich per IP Adresse zugreife oder per URL. Ich habe mir noch mal den Verlauf im iPhone Safari angesehen. Tippfehler in den beiden URL's. Jeweils ein Buchstabe. Ich brauch echt ne Lesebrille oder ein Smartphone mit größerem Display.
  • Der Tunnel iPhone zu IPFire geht bei mir jetzt mit dem Strongswan 5 wie bei dem alten 4er

Gruß,

sun

User avatar
HectoPascal
Posts: 236
Joined: July 25th, 2011, 4:58 pm
Location: DE

Re: IPFire 2.13 - Core 66

Post by HectoPascal » March 10th, 2013, 6:39 am

Ich habe einen RT2870USB als HostAP. Läuft nach dem Update genauso gut wie vorher (nur 802.11g/2.4.GHz, Tx-Power Einstellungen reagieren leider immer noch nicht). Wenn ich auf '802.11gn' stelle, erscheint im kernel log bei cfg80211 irgendwas mit 5GHz Frequenzen (siehe Bild). Das IPFire Frontend (siehe Bild) zeigt mir aber nur das reguläre 2.4GHz Netz und dessen Kanäle an. Ich bekomme auch keine Verbindung zu meinem Smartphone im 5GHz Netz. Funktioniert 5GHz (oder 802.11n im 2.4GHz Bereich) schon bei irgendjemandem erfolgreich? Sollten die Kanäle dann nicht dort auftauchen? Laut Linux Wireless sollte der RT2870 voll unterstützt werden. Oder stellt der 'master' mode einen Sonderfall dar?

Code: Select all

rt2800usb              12795  0
rt2800lib              45828  1 rt2800usb
rt2x00usb               7758  1 rt2800usb
rt2x00lib              30632  3 rt2800usb,rt2800lib,rt2x00usb
compat                  6999  4 sch_fq_codel,rt2800usb,mac80211,cfg80211


Image Image
Image
16GB CompactFlash (2GB root, 14GB samba, UDMA/33 mod), ext4/writeback journal, RT2870 hostap, Headless (no gfx, keyboard), VDSL

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8522
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: IPFire 2.13 - Core 66

Post by Arne.F » March 11th, 2013, 2:24 pm

Wenn ich auf '802.11gn' stelle, erscheint im kernel log bei cfg80211 irgendwas mit 5GHz Frequenzen

Das kommt immer. Das sind die 4 in Deutschland erlaubten Funkbänder. Leider ist davon das meiste nur mir Radar-Detection verwendbar was der Hostapd aber nicht kann. Darum gehen im 5Ghz nur Kanal 36-48.

Laut deinem Bild geht TX Power, du hast "0" angefordert und er hat auf 0 db geschaltet. Mit "auto" nimmt er den Maximalwert. Oder mit "2mW" würde er 2mW nehmen.

Dein Stick kann das 5GHz Band nicht sonst würde er auch die hohen Känale anbieten. (rt2870 ist soweit ich weis ein reiner 2.4Ghz Chip)
Last edited by Arne.F on March 11th, 2013, 2:30 pm, edited 1 time in total.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

Post Reply