Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- it:software:softether [2022/12/05 15:52] – Petr Nosek
+++ it:software:softether [2023/12/10 14:35] (aktuální) – Petr Nosek
@@ Řádek 122: / Řádek 122: @@
 {{:it:software:pasted:20221205-165026.png?400}}
+===== Problém s Androidem 14 =====
+Při pokusu o přidání VPN sítě v Android 14 jsem narazil na problém. Je možné přidat pouze tyto typy VPN:
+  * IKEv2/IPSec MSCHAPv2
+  * IKEv2/IPSec PSK
+  * IKEv2/IPSec RS
+Takže výše uvedený postup nebude pro Android 14 fungovat. Zdá se, že tento problém už je od Android 13 a podle diskusí to vypadá, že podpora L2TP/IPSec PSK byla odstraněna.
+Bohužel k datu 10.12.2023 nemá SoftEtherVPN implementovánu podporu pro IKEv2. Už vznikly první pokus o [[https://github.com/NovaVPN/SoftEtherVPN|implementaci IKEv2]]. V [[https://github.com/NovaVPN/SoftEtherVPN/issues/1|diskusi]] jsem objevil, že se někdo ptá na licenci. To navazuje na [[https://github.com/SoftEtherVPN/SoftEtherVPN/issues/13|žádost o implementaci IKEv2 do SoftEther]]. Vývojář ke konci k datu 31.října 2023 píše, že sice nemá moc času, ale začíná postupně se začleněním kódu.
+Tak je zde reálná šance, že se podpora do IKEv2 do SoftEhter dostane, zůstává však otázkou, kdy to bude.
+Hledal jsem možnosti, jak dostat VPN do nového telefonu. [[https://www.abclinuxu.cz/blog/Max_Devaine/2020/6/zapomente-na-openvpn-pouzivame-ikev2-uvod|Tento článek]] dává slušný přehled o možnostech. Autor píše o projektu [[https://strongswan.org/|strongSwan]], který by měl podporu IKEv2 mít implementovanou.
+Protože mám starší jádro, tak mě bohužel patrně čeká kompilace jádra kvůli [[https://docs.strongswan.org/docs/5.9/install/kernelModules.html|potřebným modulům]].
+[[https://github.com/hwdsl2/setup-ipsec-vpn/tree/master|Tady je projekt]], který by měl pomoct s konfigurací, nicméně používá se s forkem Libreswan.
+Další možnou alternativou na prozkoumání je [[https://www.wireguard.com/|WireGuard]]. To by znamenalo nainstalovat si aplikace [[https://play.google.com/store/apps/details?id=com.wireguard.android|WireGuard]] do telefonu a obejít tak problém s IKEv2.
+==== WireGuard ====
+U WireGuardu mám zase problém, že nelze nastavit VPN v režimu bridge, ale jako oddělená síť. WireGuard umí pouze Layer3. Aby bylo možné se připojit do sítě skrz Layer2, je potřeba použít GRETAP.
+O tom píšou tyto články:
+* https://notes.superlogical.ch/pages/note_wg/nolayer2/
+* https://gist.github.com/zOrg1331/a2a7ffb3cfe3b3b821d45d6af00cb8f6
+* https://www.abclinuxu.cz/poradna/linux/show/468903
+* https://www.root.cz/clanky/tunelujeme-ethernet-pres-wireguard-pomoci-protokolu-geneve/
+Zdá se, že tento přístup má své limity. První limit je v tom, že tak propojím pouze 2 zařízení a nějaký management více zařízení bude komplikovaný. A druhý - hlavní problém - že toto propojení se patrně nepodaří provést skrz Android aplikaci.
+==== Problematika s L2TP a Android 14 ====
+Postupně jsem došel k závěru, že nemá smysl se snažit implementovat L2TP - tedy VPN přes Network Layer 2. Podpora byla vyřazena z Androidu a už se nevrátí.
+Mít VPN v režimu bridge už není cesta. Cesta je implementace VPN skrze Network Layer 3 a použít například VPN Wireshark. Bude to fungovat tak, že po připojení do sítě VPN, budu mít jiný rozsah IP adres než v lokální síti. Abych se dostal do lokální sítě, mám tyto možnosti:
+. Routované VPN (s použitím Statických nebo Dynamických Rout):
+  * V tomto případě, když se připojíte přes VPN, získáte IP adresu z rozsahu, který je určen pro VPN klienty (např. 192.168.235.0/24).
+  * Na VPN serveru pak musíte nastavit routovací pravidla, která umožní komunikaci mezi sítí VPN klientů a vaší interní sítí (192.168.234.0/24).
+  * To znamená, že VPN server bude fungovat jako router mezi dvěma sítěmi.
+. NAT (Network Address Translation):
+  * Nečíslovaný seznamTato metoda spočívá v tom, že VPN server bude překládat IP adresy mezi VPN klienty a interní sítí.
+  * Při použití NAT, mohou být všechna zařízení v interní síti viditelná pro VPN klienty, ale komunikace bude vypadat, jako by pocházela od VPN serveru.
+  * Provedete NAT konfiguraci na serveru tak, aby překládal adresy z VPN rozsahu (192.168.235.0/24) na adresy interní sítě (192.168.234.0/24).
+  * Toto se obvykle provádí pomocí iptables v Linuxu. Příklad pravidla by mohl být: **iptables -t nat -A POSTROUTING -s 192.168.235.0/24 -o eth0 -j MASQUERADE**, kde eth0 je síťové rozhraní připojené k interní síti.
+. Split Tunneling:
+  * Split tunneling umožňuje, aby část provozu šla přes VPN a část mimo ni.
+  * Můžete nastavit, aby veškerý provoz směřující do vaší interní sítě šel přes VPN, zatímco veškerý ostatní internetový provoz šel mimo VPN.
+  * To umožňuje přístup k interním zdrojům bez zbytečného zatěžování VPN spojení.
+. Přístup k Specifickým Službám nebo Zařízením:
+  * Pokud potřebujete přistupovat pouze k některým konkrétním službám nebo zařízením v interní síti, můžete použít port forwarding nebo podobné techniky na VPN serveru.
+  * Tímto způsobem můžete umožnit přístup k určitým službám (např. webový server, FTP, atd.) prostřednictvím VPN.
+V mém případě jdu cestou číslo 2 - NAT konfigurace VPN serveru.
+Jak to funguje?
+  * Když se VPN klient připojí, získá IP adresu z rozsahu 192.168.235.0/24.
+  * Když klient pošle požadavek na zařízení v interní síti (192.168.234.0/24), požadavek projde přes VPN server.
+  * VPN server použije NAT k překladu adresy z VPN rozsahu na adresu v interní síti, takže požadavek vypadá, jako by pocházel z VPN serveru.
+  * Odpověď od interního zařízení je poslána zpět na VPN server, který pak překládá adresu zpět a odesílá odpověď VPN klientovi.