Gelöst: Linksys WRT3200ACM mag sich nicht verbinden.

markus0815

New Member
Hi,

habe den oben genannten Router mit DD-WRT v3.0-r34311 vom 29.12.17.
Habe mir wie so oft gelesen die .ovpn für Android geladen und nach dieser Anleitung

https://flashrouters.zendesk.com/hc...Privacy-VPN-OpenVPN-DD-WRT-Router-Setup-Guide

nach besten Gewissen alles eingestellt.

Der Linksys ist nicht direkt mit dem Internet verbunden sondern über den Lan-Port mit der Fritzbox.

Hier noch der Logfile.
Wäre nett wenn da mal jemand drüber schauen könnte und mir sagt was ich mal wieder falsch gemacht habe.

Clientlog:
19700101 01:33:13 W WARNING: file '/tmp/openvpncl/client.key' is group or others accessible
19700101 01:33:13 W WARNING: file '/tmp/openvpncl/ta.key' is group or others accessible
19700101 01:33:13 W WARNING: file '/tmp/openvpncl/credentials' is group or others accessible
19700101 01:33:13 I OpenVPN 2.4.4 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Dec 29 2017
19700101 01:33:13 I library versions: OpenSSL 1.1.0g 2 Nov 2017 LZO 2.09
19700101 01:33:13 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:16
19700101 01:33:13 W WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
19700101 01:33:13 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
19700101 01:33:13 W WARNING: Your certificate is not yet valid!
19700101 01:33:13 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
19700101 01:33:13 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
19700101 01:33:18 N RESOLVE: Cannot resolve host address: moscow.perfect-privacy.com:149 (Try again)
19700101 01:33:23 N RESOLVE: Cannot resolve host address: moscow.perfect-privacy.com:149 (Try again)
19700101 01:33:23 W Could not determine IPv4/IPv6 protocol
19700101 01:33:23 I SIGUSR1[soft init_instance] received process restarting
19700101 01:33:23 Restart pause 5 second(s)
19700101 01:33:23 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
19700101 01:33:23 D MANAGEMENT: CMD 'state'
19700101 01:33:23 MANAGEMENT: Client disconnected
19700101 01:33:23 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
19700101 01:33:23 D MANAGEMENT: CMD 'state'
19700101 01:33:23 MANAGEMENT: Client disconnected
19700101 01:33:23 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
19700101 01:33:23 D MANAGEMENT: CMD 'state'
19700101 01:33:23 MANAGEMENT: Client disconnected
19700101 01:33:23 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
19700101 01:33:23 D MANAGEMENT: CMD 'status 2'
19700101 01:33:23 MANAGEMENT: Client disconnected
19700101 01:33:23 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
19700101 01:33:23 D MANAGEMENT: CMD 'log 500'
19700101 01:00:00


Danke und Grüße
 

markus0815

New Member
Hi,

danke für den Link.
Leider klappt es damit auch nicht wirklich.

Noch jemand ne Idee?
Gibt es irgendetwas was ich brauchen muss was nicht in der Beschreibung steht?

Danke, Grüße

Achja zum Thema Iptables. Wenn ich ifconfig schreibe dann wir bei mir weder tun0 noch sonst ein tunx angezeigt.

Grüße
 

Tsip

New Member
Diese Anleitung funktioniert für die Firmware r34411 vom 07.01.2018 jedoch nicht mit den folgenden 34578, 34760 & 34777! Die Version r34876 vom 02-08-2018 funktioniert wieder auf dem WRT3200ACM.

Die aufgeführte Version kann von ftp://ftp.dd-wrt.com/betas/ heruntergeladen werden.

Für den WRT3200ACM wählt man dort natürlich den Ordner „linksys-wrt3200acm“ und innerhalb dieses Ordners für die erstmalige Installation des dd-wrt die Version: factory-to-ddwrt.bin später bei Aktualisierungen dann die Version: ddwrt-linksys-wrt3200acm-webflash.bin


Auch von der Webseite https://www.perfect-privacy.com/german/member/ brauchen wir aktuelle Daten. Hierzu muss man sich mit seinen Daten einloggen und dann kann man sich unter Router z.B. Server als Gruppe, UDP, AES-256-CBC mobile_udp.zip herunterladen. Darin befinden sich die Konfigurationsdaten, welche später gebraucht werden. Zum öffnen kann irgendein Schreibprogramm genutzt werden. Schreibprogramm öffnen, Datei öffnen auswählen und dann eine Datei in diesem heruntergeladenen und entpacken Ordner z.B. Hongkong.ovpn anklicken.


Diese Anleitung funktioniert, wenn man den WRT3200ACM im gleichen IP-Netz wie den Router mit der eigentlichen Internetverbindung betreibt.

DHCP kann man im Internetrouter abschalten oder man verbindet diesen ausschließlich mit dem WRT3200ACM und sonst nur mit dem Strom- und Internetkabel zur Multimediadose in der Zimmerwand ;-). Man könnte den Internetrouter auch mit einem weiteren Kabel zusätzlich an ein Switch im internen Netz anschließen, dabei sollte man aber nur einen einzigen DHCP-Server aktiviert haben oder man weiß ganz genau was man da macht!


Im WRT3200ACM scheinen mir die Anschlüsse eth0 und eth1 in der Bezeichnung vertauscht worden zu sein.

Auch aus diesen Gründen habe ich den hier beschriebenen Aufbau und die hier angegebenen Einstellungen gewählt.

[Gerne nehme ich auch konstruktiv kritische Anmerkungen zu dieser Anleitung an. ;-) Natürlich sind mir auch einfache Ergänzungen willkommen.]


Ein LAN-Kabel vom Modem mit dem Internetanschluss in die gelbe mit Internet beschriftete Buchse auf der Geräterückseite des WRT3200ACM und ein weiteres LAN-Kabel in eine andere „blaue“ Buchse und dieses geht dann an die (das) Gerät(e) im internen Netz. Das zweite Kabel braucht man nicht, wenn man ausschließlich über WLAN im eigenen Netz unterwegs ist.


Die Grundlage meiner Einstellungen war dieser Link.: https://board.perfect-privacy.com/threads/openvpn-auf-dd-wrt-router.889/

Meine Einstellungen sind jedoch teilweise widersprüchlich zu den dort gemachten Angaben.



Jetzt geht es mit den Einstellungen im frischen dd-wrt los:

Setup

Basis-Setup

WAN-Verbindungstyp

Verbindungstyp: statische IP

WAN-IP-Adresse : tragt eine freie Adresse aus Eurem internen Netz ein z.B. 192.168.43.3

Netzmaske: ist von Eurem eigenen Netz abhängig, meist 255.255.255.0

Gateway: Wichtig, in der statischen Einstellung ist dies die IP des Gateways. Diese muss das Internet-Modem sein!!! z.B. 192.168.43.1

Statischer DNS 1 Dieser kann auch das Modem sein. z.B. 192.168.43.1

Statischer DNS 2 kann 0.0.0.0 sein



Zusätzliche Einstellungen

Router Name: denkt Euch einen Namen aus (wer nicht gern mit IPs arbeitet, spricht mit diesem Namen den WRT3200ACM im Netzwerk an)


MTU: Auto (1500)

Shortcut Forwarding Engine: einschalten

STP : ausschalten



Router-IP

Lokale IP-Adresse: die IP-Adresse des WRT3200ACM im internen Netzwerk (zum konfigurieren und updaten) z.B. 192.168.43.5

Netzmaske: siehe oben (beide müssen in dieser Konfiguration identisch sein oder ihr wisst was ihr macht ;-))

Gateway: das ist jetzt der WRT3200ACM (in unserem Beispiel muss das dann jetzt auch die 192.168.43.5 sein)

Lokaler DNS: 0.0.0.0



Einstellungen Netzwerk-Adress-Server (DHCP)

DHCP-Typ: DHCP-Server

DHCP-Server einschalten

Start-IP-Adresse die ersten drei Blöcke sind durch unsere vorherigen Einstellungen vorgegeben und die letzte kann man nutzen z.B. 10



Client-Lease-Zeit unter 2 min wird auf 2 min gesetzt – hier kann man zu Testzwecken eine kleine Zahl angeben, wenn alles läuft kann die die Zahl ruhig groß (z.B. 1 Tag in min) sein.



Nutze DNSMasq für DHCP anklicken (wenn man individuelle Angaben für die IP-Zuweisung seiner Geräte machen möchte, dieser Menüpunkt kommt später)

Nutze DNSMasq für DNS anklicken

DHCP-Authoritative anklicken



Uhrzeit-Einstellungen

hier kann man einen Zeitserver einstellen (einige Modems wie die Fritzboxen unterstützen das – in unserem Beispiel bei wäre das dann 192.168.43.1)





IPV6

IPv6-Unterstützung

IPv6 einschalten

IPv6 Type Native IPv6 from ISP



Radvd einschalten

Radvd eingeschaltet kann abgeschaltet bleiben



Erweitertes Routing

kann als Gateway genutzt werden, wenn man weitere eigene Netzwerke in dieses Netzwerk integrieren möchte

Netzwerke

Wenn man die Schnittstellenbenennung (eth0 und eth1) wie oben angeführt tauschen möchte (damit die angezeigten Datenströme auch sinnvoll angezeigt werden können):

Port Setup

WAN Port Zuweisung eth1


WLAN

Darauf gehe ich hier nicht ein.



Leider darf ich nur 10.000 Zeichen schreiben, so daß ich die Anleitung hier mal unterbreche.
 

Tsip

New Member
und weiter geht es ;-)

Services

Services

DNSMasq

DNSMasq einschalten


Lokaler DNS einschalten

Kein DNS Rebind einschalten

DNS in fester Reihenfolge abfragen einschalten



Zusätzliche DNSMasq-Optionen

hier kann man jetzt die IPs für die eigenen Geräte festlegen:

Bsp.:

dhcp-host=Mac-Adresse des einzutragenden Gerätes,gewünschter Gerätename,gewünschte interne IP,Zeit in „m“ für Minuten, „h“ für Stunden

dhcp-host=00:C0:20:AA:11:22,Ziege,192.168.43.11,9h



VPN

OpenVPN-Client

OpenVPN-Client

Starte OpenVPN einschalten

Server-IP/Name wunschserver (z.B. hongkong.perfect-privacy.com) [jetzt brauchen wir die heruntergeladenen Daten z.B. die Hongkong.ovpn]

Port 1150 (z.B. 1150, 151 siehe Hongkong.ovpn oder 1149 – Achtung!!! hier ist ein Zahlendreher nicht auszuschließen!)

Tunnel-Typ tun

Tunnelprotokoll udp

Verschlüsselung AES-256-CBC

Hash Algorithmus SHA512

User Pass Authentication einschalten

Benutzername [;-) Eure eigenen Daten (ohne Klammern!) eingeben]

Kennwort [;-) Eure eigenen Daten eingeben]

Erweiterte Einstellungen einschalten

TLS Verschlüsselung None

Benutze LZO-Compression Yes (Adaptive ist auch möglich – wird durchs folgende Skript gesteuert)

NAT einschalten

Firewall-Schutz einschalten



TUN-MTU-Einstellungen 1500

Tunnel UDP Fragment 1300

TCP-MSS einschalten

nsCertType Verifikation anklicken



TLS Authentifizierungsschlüssel > <tls-auth> > von -----BEGIN CERTIFICATE----- bis -----END CERTIFICATE----- kopieren


OpenVPN Konfiguration: (diesen folgenden Abschnitt kann man einfach kopieren und in das Browserfeld hinein kopieren)


auth-nocache # ist zusaetzlich eingetragen, damit das Passwort nicht im Arbeitsspeicher bleibt
replay-window 512 60 # kommt dazu
mssfix # kommt dazu
comp-lzo #
# dev tun # ist oben eingestellt - verhindert sonst den Aufbau der Remote Addresse
float
hand-window 120
inactive 604800
mute-replay-warnings
nobind #
ns-cert-type server # egal - verursacht drin oder nicht eine Warnmeldung
persist-key #
persist-remote-ip
persist-tun #
ping 5
ping-restart 120 # 90 oder 120 ist wohl die Zeit zum Ping vom Client an den Server wenn der Serverping verloren geht
redirect-gateway def1
remote-random #
reneg-sec 3600
resolv-retry 60 ## test
route-delay 2
route-method exe
script-security 2 #
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
verb 4 #



Öffentliches CA-Zertifikat > <ca> > von -----BEGIN CERTIFICATE----- bis -----END CERTIFICATE----- kopieren


Öffentliches Client-Zertifikat > <cert> > von -----BEGIN CERTIFICATE----- bis -----END CERTIFICATE----- kopieren


Privater Client-Schlüssel > <key> > von -----BEGIN CERTIFICATE----- bis -----END CERTIFICATE----- kopieren



>Speichern< anklicken (ganz unten auf der Seite)



Administration

Diagnose

Diagnose

Kommandozeile

Kommandos #(folgende Skriptzeilen sind zu kopieren und in das Fenster einzufügen – das habe ich auch nur übernommen und kenne die genaue Funktion bisher nicht.)


#!/bin/sh

/usr/sbin/openvpn --config /tmp/openvpncl/openvpn.conf --route-up /tmp/openvpncl/route-up.sh --down-pre /tmp/openvpncl/route-down.sh --daemon


> Startup speichern < anklicken


So, fertig!!! Jetzt den WRT3200ACM neu starten und sich dann über die erfolgreiche Verbindung unter Status, OpenVPN mit der Anzeige „Client: CONNECTED SUCCESS “ freuen. ;-)



Mit den richtigen Firewallregeln habe ich mich noch nicht befasst, an den in der anderen Anleitung beschriebenen habe ich aber äußerste Zweifel. Ich gebe da mal drei Kostproben zur Diskussion in die Runde.

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
Fügt diese neue Regel an die erste Stelle der Kette „FORWARD“ aus der Tabelle „-t filter“ ein, es werden alle auf Eingangsschnittstelle (-i) (Netzwerkinterface) br0 eingehenden Pakete und auf Netzwerkinterface tun0 ausgehenden (-o) erlaubt (-j ACCEPT)

iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
Fügt diese neue Regel an die erste Stelle der Kette „FORWARD“ aus der Tabelle „-t filter“ ein, es werden alle eingehenden (-i) Pakete auf tun0 und alle ausgehenden (-o) auf br0 erlaubt (-j ACCEPT)

iptables -I FORWARD -i br0 -o vlan2 -j DROP
Fügt diese neue Regel an die erste Stelle der Kette „FORWARD“ aus der Tabelle „-t filter“ ein, es werden alle eingehenden (-i) Pakete auf br0 und alle ausgehenden (-o) auf vlan2 verworfen (-j DROP)

Das bedeutet für mich: Regel 1 und 2 hier sagen alles ein- und ausgehende auf br0 und tun0 des Filters ist erlaubt! Und in der 3. Regel ist von vlan2 die Rede, welches aus meiner Sicht gar nicht definiert, also vorhanden ist.



Ein falsches Regelwerk senkt eher den Schutz, da es Sicherheit vorgaukelt wo gar keine ist. Ich hoffe das unser Anbieter firmenseitig keine Zugriffe auf die privaten Netze dahinter zulässt. Ansonsten ist ja jeder Rechner innerhalb des eigenen Netzwerkes ja noch mit einer eigenen Firewall geschützt.
 

Tsip

New Member
Die Version r34876 vom 02-08-2018 funktioniert wieder auf dem WRT3200ACM.
Kann diesen Satz ein Admin in meinen ersten Beitrag auf dieser Seite hinter "...& 34777!!!" setzen? Leider wird mir das Editieren nicht erlaubt. (Schutz vor Werbung und Admin fragen.) Danke ;-)
 
Top