it:software:softether

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze		 Předchozí verze
it:software:softether [2023/12/10 09:22] Petr Nosekit:software:softether [2023/12/10 14:35] (aktuální) Petr Nosek
Řádek 127: Řádek 127:
  
 Při pokusu o přidání VPN sítě v Android 14 jsem narazil na problém. Je možné přidat pouze tyto typy VPN: Při pokusu o přidání VPN sítě v Android 14 jsem narazil na problém. Je možné přidat pouze tyto typy VPN:
- +  
-* IKEv2/IPSec MSCHAPv2 +  * IKEv2/IPSec MSCHAPv2 
-* IKEv2/IPSec PSK +  * IKEv2/IPSec PSK 
-* IKEv2/IPSec RSA  +  * IKEv2/IPSec RS
  
 Takže výše uvedený postup nebude pro Android 14 fungovat. Zdá se, že tento problém už je od Android 13 a podle diskusí to vypadá, že podpora L2TP/IPSec PSK byla odstraněna. Takže výše uvedený postup nebude pro Android 14 fungovat. Zdá se, že tento problém už je od Android 13 a podle diskusí to vypadá, že podpora L2TP/IPSec PSK byla odstraněna.
Řádek 142: Řádek 142:
 Protože mám starší jádro, tak mě bohužel patrně čeká kompilace jádra kvůli [[https://docs.strongswan.org/docs/5.9/install/kernelModules.html|potřebným modulům]]. Protože mám starší jádro, tak mě bohužel patrně čeká kompilace jádra kvůli [[https://docs.strongswan.org/docs/5.9/install/kernelModules.html|potřebným modulům]].
  
-  +[[https://github.com/hwdsl2/setup-ipsec-vpn/tree/master|Tady je projekt]], který by měl pomoct s konfigurací, nicméně používá se s forkem Libreswan. 
 + 
 + 
 +Další možnou alternativou na prozkoumání je [[https://www.wireguard.com/|WireGuard]]. To by znamenalo nainstalovat si aplikace [[https://play.google.com/store/apps/details?id=com.wireguard.android|WireGuard]] do telefonu a obejít tak problém s IKEv2. 
 + 
 + 
 +==== WireGuard ==== 
 + 
 +U WireGuardu mám zase problém, že nelze nastavit VPN v režimu bridge, ale jako oddělená síť. WireGuard umí pouze Layer3. Aby bylo možné se připojit do sítě skrz Layer2, je potřeba použít GRETAP.  
 + 
 +O tom píšou tyto články: 
 + 
 +* https://notes.superlogical.ch/pages/note_wg/nolayer2/ 
 +* https://gist.github.com/zOrg1331/a2a7ffb3cfe3b3b821d45d6af00cb8f6  
 +* https://www.abclinuxu.cz/poradna/linux/show/468903 
 +* https://www.root.cz/clanky/tunelujeme-ethernet-pres-wireguard-pomoci-protokolu-geneve/ 
 + 
 +Zdá se, že tento přístup má své limity. První limit je v tom, že tak propojím pouze 2 zařízení a nějaký management více zařízení bude komplikovaný. A druhý - hlavní problém - že toto propojení se patrně nepodaří provést skrz Android aplikaci.  
 + 
 + 
 +==== Problematika s L2TP a Android 14 ==== 
 + 
 +Postupně jsem došel k závěru, že nemá smysl se snažit implementovat L2TP - tedy VPN přes Network Layer 2. Podpora byla vyřazena z Androidu a už se nevrátí.  
 + 
 +Mít VPN v režimu bridge už není cesta. Cesta je implementace VPN skrze Network Layer 3 a použít například VPN Wireshark. Bude to fungovat tak, že po připojení do sítě VPN, budu mít jiný rozsah IP adres než v lokální síti. Abych se dostal do lokální sítě, mám tyto možnosti: 
 + 
 +1. Routované VPN (s použitím Statických nebo Dynamických Rout): 
 + 
 +  * V tomto případě, když se připojíte přes VPN, získáte IP adresu z rozsahu, který je určen pro VPN klienty (např. 192.168.235.0/24). 
 +  * Na VPN serveru pak musíte nastavit routovací pravidla, která umožní komunikaci mezi sítí VPN klientů a vaší interní sítí (192.168.234.0/24). 
 +  * To znamená, že VPN server bude fungovat jako router mezi dvěma sítěmi. 
 + 
 +2. NAT (Network Address Translation): 
 + 
 +  * Nečíslovaný seznamTato metoda spočívá v tom, že VPN server bude překládat IP adresy mezi VPN klienty a interní sítí. 
 +  * Při použití NAT, mohou být všechna zařízení v interní síti viditelná pro VPN klienty, ale komunikace bude vypadat, jako by pocházela od VPN serveru. 
 +  * Provedete NAT konfiguraci na serveru tak, aby překládal adresy z VPN rozsahu (192.168.235.0/24) na adresy interní sítě (192.168.234.0/24). 
 +  * Toto se obvykle provádí pomocí iptables v Linuxu. Příklad pravidla by mohl být: **iptables -t nat -A POSTROUTING -s 192.168.235.0/24 -o eth0 -j MASQUERADE**, kde eth0 je síťové rozhraní připojené k interní síti. 
 + 
 +3. Split Tunneling: 
 +  * Split tunneling umožňuje, aby část provozu šla přes VPN a část mimo ni. 
 +  * Můžete nastavit, aby veškerý provoz směřující do vaší interní sítě šel přes VPN, zatímco veškerý ostatní internetový provoz šel mimo VPN. 
 +  * To umožňuje přístup k interním zdrojům bez zbytečného zatěžování VPN spojení. 
 + 
 +4. Přístup k Specifickým Službám nebo Zařízením: 
 +  * Pokud potřebujete přistupovat pouze k některým konkrétním službám nebo zařízením v interní síti, můžete použít port forwarding nebo podobné techniky na VPN serveru. 
 +  * Tímto způsobem můžete umožnit přístup k určitým službám (např. webový server, FTP, atd.) prostřednictvím VPN. 
 + 
 + 
 +V mém případě jdu cestou číslo 2 - NAT konfigurace VPN serveru. 
 + 
 +Jak to funguje? 
 + 
 +  * Když se VPN klient připojí, získá IP adresu z rozsahu 192.168.235.0/24. 
 +  * Když klient pošle požadavek na zařízení v interní síti (192.168.234.0/24), požadavek projde přes VPN server. 
 +  * VPN server použije NAT k překladu adresy z VPN rozsahu na adresu v interní síti, takže požadavek vypadá, jako by pocházel z VPN serveru. 
 +  * Odpověď od interního zařízení je poslána zpět na VPN server, který pak překládá adresu zpět a odesílá odpověď VPN klientovi.
  
  
  • it/software/softether.1702200147.txt.gz
  • Poslední úprava: 2023/12/10 09:22
  • autor: Petr Nosek