Womit implementiert AVM das IPsec VPN?

Doedeluser

Neuer User
Mitglied seit
26 Jun 2008
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich stelle mir gerade obige Frage.
Hätte erwartet, das sie die native 2.6er IPsec-Kernel-Implementierung in Verbindung mit den ipsec-tools (racoon/setkey) nutzen.
Jedoch habe ich keine der beiden Binarys in deren Image gefunden.

Ich habe selbst versucht die ipsec-tools in Freetz zu integrieren, jedoch scheitert das kompilieren sobald ich ./configure den pfad zu den ohio kernel sources mitteile.
Wenn ich das nicht tue und ./configure somit die kernel-header meines Desktoprechners nimmt klappt das Kompilieren komischerweise.
Logischerweise machen die falschen kernel-header dann Probleme auf meinem Speedport (W701V).

Ich wollte eigentlich nicht soweit gehen und die Firmware meines Routers austauschen.
Daher wollte ich die binaries statisch kompilieren und sie nach jedem reboot runterladen und starten - mit OpenVPN klappt das ja sehr gut.
Da ich die Firmware nicht austauschen möchte kann ich auch nicht sagen ob sauber kompilierte binaries überhaupt laufen würden.
racoon/setkey sind ja auf Kernelunterstützung angewiesen - k.A. ob der Kernel der Telekom-Firmware alles Nötige integriert hat.

Besteht hier im Forum überhaupt Interesse die ipsec-tools zum Laufen zu bringen wo AVM ja bereits eine VPN Lösung per IPsec integriert hat?

Ach, eins noch:
Gibts eine Liste mit allen möglichen Variablen/Macros, die man in <package>.mk verwenden kann?

Gruß vom Doedeluser
 
In den Firmwares befindet sich ein Programm "avmike", das vermutlich zumindest den Aufbau der Verbindung (IKE-Protokoll) übernimmt.

Ob für den Datenverkehr selbst der Kernel oder auch etwas eigenes verwendet wird, weiß ich nicht.
 
Danke für Deine Antwort.

Dann ist "avmike" wohl der IKE daemon und wäre damit die Entsprechung für "racoon".
Vielleicht kann jmd. checken ob auf seiner FritzBox "avmike" läuft wenn ein VPN eingerichtet ist.
Es wäre auch sehr nett, wenn jmd. mal die Ausgabe von "avmike -h" oder ähnliches posten könnte, evtl. verraten ja mögliche Parameter mehr.
Das ist bei mir leider nicht möglich da meinem Speedport die nötigen libraries fehlen.

Bliebe noch offen, womit die Security Policy im Kernel manipuliert wird damit der Kernel weiss welche pakete authentifiziert und/oder verschlüsselt werden sollen.
Falls das nicht auch "avmike" übernimmt müsste sich noch eine Entsprechung für "setkey" in der Firmware befinden.

Meine anderen Fragen hat leider noch niemand beantwortet. :-(
Liegt vielleicht auch am etwas einseitigen Betreff.
 
Vielleicht liegt es am Betreff, vielleicht auch daran, daß der größte Teil mit Freetz keinen erkennbaren Bezug hat.

Zur Frage nach den Makefiles:
In make/README.Makefiles git es eine kurze Beschreibung, außerdem gibt es Informationen im Freetz Wiki.
 
Vielleicht liegt es am Betreff, vielleicht auch daran, daß der größte Teil mit Freetz keinen erkennbaren Bezug hat.
Ja, da hast du sicher recht.
Da bin ich wohl falsch Eingestiegen.
Danke, das du trotzdem so zeitnah geantwortet hast.

Ursprünglich hatte ich vor die ipsec-tools für Freetz zum Laufen zu bringen, um halt VPNs per IPsec aufbauen zu können.
Das "vpnc" package ist ja "nur" ein Cisco client.
Nun, wo AVM eine eigene Lösung hat wundert es mich, das sie scheinbar auf nichts Bestehendes zurückgegriffen haben - jedenfalls nix aus dem Open Source Bereich.
Daher mein Interesse.

Für Interessierte hänge ich mal meinen (sehr rudimentären) ipsec-tools patch an.
Ich bin immer noch daran interessiert es zum laufen zu bringen - sollte es noch jmd. geben kann er sich gern bei mir melden.
 

Anhänge

  • add_ipsec-tools.patch.tar.gz
    1.9 KB · Aufrufe: 13
Zuletzt bearbeitet:
Hallo,

AVM hat in letzter Zeit immer öfter solche Dinge selbst implementiert, anstatt auf Open Source zu setzen. Webserver (inkl. https), IPSec, TR069, Telefon-Daemons, WLAN Tools, CAPI Treiber - alles in Eigenarbeit. Offenbar wollen sie sich nicht in die Karten gucken lassen. :noidea:
 
hallo,

ich wusste gar nicht, dass es von AVM IPSec gibt. Würde mich interessieren! Ich finde auf meiner 7270 auch /bin/avmike

Aber ich finde auf der weboberfläche der box nirgends irgendwas über vpn oder ipsec ? wo finde ich denn da infos drüber ?
 
Ich bin immer noch daran interessiert es zum laufen zu bringen - sollte es noch jmd. geben kann er sich gern bei mir melden.
Alter Thread zwar, aber nachdem ich mich gestern schon am iked von shrew versucht habe und irgendwie keine Config dafür hinbekam stolperte ich über diesen hier. Und wo ich schon dabei war, habe ich das Paket mal zumindest zum Kompilieren überredet ;-).
Mal sehen, ob ich das zum Laufen bekomme...

Jörg
 

Anhänge

  • ipsec.patch.gz
    2.2 KB · Aufrufe: 11
Mit "replace kernel" und dabei gewählen ipsec-Optionen konnte ich schonmal einen mit Zertifikaten abgesicherten Tunnel zwischen zwei Eumexen aufbauen ;-)

Jörg
 
[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
Hallo Jörg,

ich habe die quellen damals wenig später auch übersetzt bekommen.
Beim test auf der box verweigert racoon allerdings den start mit der meldung das der PF_KEY socket nicht geöffnet werden konnte (oder so ähnlich).
Das weisst stark darauf hin das (zumindest) der Telekom kernel ohne die PF_KEY option gebaut wurde.
Diese ist für racoon leider essentiell ...

Alternativ habe ich vor einigen Wochen avmike auf die box gebracht.
Obwohl alles gut aussieht - netstat zeigt drei neue LISTEN ports wenn avmike läuft (500, 4500 und 2000-irgendwas) - zeigt avmike absolut keine reaktion.
Weder in der Konsole noch an der IPSec gegenstelle.

Weitere Zeit konnte ich seit dem nicht mehr investieren.
Schade eigentlich, denn OpenVPN läuft tadellos und VPN per IPSec ist das einzige was mir noch fehlt.


gruß vom Doedeluser

[Beitrag 2:]
Ich vergaß noch zu erwähnen, das ich mich bisher nicht "getraut" habe die Firmware meiner tcom Box durch Freetz auszutauschen.
Sie bietet prinzipiell alles was ich benötige und OpenVPN ließ sich sehr gut nachrüsten.
Damit gibts für mich keine Möglichkeit das PF_KEY feature im Kernel nachzurüsten.
Aus dem Grund hab ich die ipsec-tools damals auf Eis gelegt und vor einiger Zeit mit avmike gespielt.

Ich habe übrigens avmike aus der .57er Firmware benutzt welche zumindest beim Start des deamons noch Ausgaben liefert.
Die sahen - soweit ich's beurteilen kann - gut aus.
Aber wie oben schon erwähnt zeigt avmike keinerlei Reaktion wenn ich versuche eine Verbindung zum Router aufzubauen.

Ich frage mich auch wofür avmike den dritten Port (2xxx) öffnet.
Möglicherweise wird über diesen das Verhalten von avmike von einem anderen Prozess gesteuert.
Vielleicht muss avmike über diesen Port erst mitgeteilt werden das er auf Anfragen reagieren soll.
Ist aber natürlich alles Spekulation.

Gruß vom Doedeluser
 
AVM hat in letzter Zeit immer öfter solche Dinge selbst implementiert, anstatt auf Open Source zu setzen. Webserver (inkl. https), IPSec, TR069, Telefon-Daemons, WLAN Tools, CAPI Treiber - alles in Eigenarbeit. Offenbar wollen sie sich nicht in die Karten gucken lassen. :noidea:
Oder es gibt halt ganz einfach nichts brauchbares bei Opensource. Könnte auch sein, oder?
 
Oder es gibt halt ganz einfach nichts brauchbares bei Opensource. Könnte auch sein, oder?

Dann doch eher die Sache mit den Karten. Denn es gibt mehr als genug gute Ansätze und Lösungen, auch im OpenSource-Bereich.
 
Beim test auf der box verweigert racoon allerdings den start mit der meldung das der PF_KEY socket nicht geöffnet werden konnte (oder so ähnlich).
Das weisst stark darauf hin das (zumindest) der Telekom kernel ohne die PF_KEY option gebaut wurde.
Diese ist für racoon leider essentiell ...
Wie wäre es denn, wenn du es mit racoon nochmal versuchst, und vorher die entsprechenden Module lädst? Ich habe mir mal erlaubt, die für eine xx.04.57-er Firmware zu bauen und anzuhängen...

Jörg
 

Anhänge

  • modules_ipsec.tgz
    64.6 KB · Aufrufe: 9
Das ist echt nett von Dir!
Ich hatte diese Idee damals verworfen da ich keine Ahnung habe wie ich die dem Kernel unterschieben kann.
Soweit mir bekannt ist /lib/modules/ read-only.
Hat dazu noch jmd. einen Vorschlag.
Sollte ich die Modules laden können werden die ipsec-tool natürlich wieder verdammt interessant.

Gruß vom Doedeluser
 
Die Dateien nach /var/tmp/... entpacken und mit "insmod <modul>" laden sollte klappen.

Jörg
 
Leider lässt sich kein Module laden :-(
Ich bekomme immer:
insmod: cannot insert `kernel/net/key/af_key.ko': Success (2): Success

Ich habe die von Dir gebauten probiert und auch selbst gebaute - beide ohne Erfolg.
Scheinen irgendwie nicht zum Kernel zu passen.
Leider geben weder insmod noch dmesg nähere Auskunft zum Fehler.

Ich hab folgendes auf der box laufen
$uname -a
Linux Speedport_W_701V_33-04-56 2.6.13.1-ohio #1 Mon Apr 7 13:44:00 CEST 2008 mips unknown
Sollte .56 <-> .57 das Problem sein?

Gruß vom Doedeluser
 
Zuletzt bearbeitet:
Ich habe die Module nochmal aus dem TCOM-Sourcen gebaut, die sind identisch. Auch der "vermagic=2.6.13.1-ohio gcc-3.4" ist bei den Modulen so, wie bei den in der FW der 701 vorhandenen. Hast du auch mal ein anderes Modul probiert?
Wenn es nicht mehr Ausgaben gibt (über fehlende Symbole oder so) weiß ich dann auch nicht weiter, wo es hakt.

Jörg
 
Hallo Jörg,

ich habe die Module nach /var/tmp/... kopiert und versucht mit insmod zu laden.
Ich habe natürlich auch die anderen Module probiert - mit dem selben Erfolg.
Insmod -v gibt auch nicht mehr Hinweise und dmesg wie gesagt auch nicht.
Keine Meldung über fehlende Symbole oder ähnliches.
Muss/kann man bei den Boxen einen debug Modus aktivieren, wo mehr geloggt wird?
/var/log/ ist leer bei mir.

Wie hast Du eigentlich die Module direkt aus den tcom Sourcen gebaut?
Das aktuelle freetz bietet ja nur noch die Möglichkeit für alien Hardware zu kompilieren, also aus den orginal AVM Sourcen.
Hast Du eine ältere freetz Version ausgecheckt, oder hast du die aktuelle build environment gehackt?
Ich lern' ja immer gern was dazu. :)

Welche tcom Sourcen hast du genommen?
Die tcom Seite leitet mich auf andere Sourcen als z.B. freetz heruntergeladen hat.

Wär' verdammt schade, wenn das laden der Module nicht klappt.
Du hast mich nämlich wieder angefixed! ;-)
 
Die Module habe ich dann mit einer älteren freetz-Version auf der Platte gebaut (1.0.2 wenn ich mich recht erinnere), in der noch der 701 auswählbar war. Dort "replace kernel", die Module im "make kernel-menuconfig" gewählt und dann "make kernel-precompiled". Version müsste ich jetzt passen, habe ich nicht im Kopf. Ich meine, das wäre "GPL-r8508-8mb_26.tar.bz2" als source gewesen...

Ich hoffe, dass mir ein Kollege demnächst einen 701 mitbringt, dann könnte ich auch mal etwas testen. Vielleicht hilft ja eine serielle Konsole, sofern die Speedports die auch haben...


Jörg
 
Zuletzt bearbeitet:

Statistik des Forums

Themen
246,506
Beiträge
2,253,240
Mitglieder
374,319
Neuestes Mitglied
Arisue
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.