Gelöst: Linksys WRT3200ACM mag sich nicht verbinden.

Discussion in 'Router' started by markus0815, Jan 7, 2018.

  1. m

    markus0815 New Member

    Hi,

    habe den oben genannten Router mit DD-WRT v3.0-r34311 vom 29.12.17.
    Habe mir wie so oft gelesen die .ovpn für Android geladen und nach dieser Anleitung

    https://flashrouters.zendesk.com/hc...Privacy-VPN-OpenVPN-DD-WRT-Router-Setup-Guide

    nach besten Gewissen alles eingestellt.

    Der Linksys ist nicht direkt mit dem Internet verbunden sondern über den Lan-Port mit der Fritzbox.

    Hier noch der Logfile.
    Wäre nett wenn da mal jemand drüber schauen könnte und mir sagt was ich mal wieder falsch gemacht habe.

    Clientlog:
    19700101 01:33:13 W WARNING: file '/tmp/openvpncl/client.key' is group or others accessible
    19700101 01:33:13 W WARNING: file '/tmp/openvpncl/ta.key' is group or others accessible
    19700101 01:33:13 W WARNING: file '/tmp/openvpncl/credentials' is group or others accessible
    19700101 01:33:13 I OpenVPN 2.4.4 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Dec 29 2017
    19700101 01:33:13 I library versions: OpenSSL 1.1.0g 2 Nov 2017 LZO 2.09
    19700101 01:33:13 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:16
    19700101 01:33:13 W WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    19700101 01:33:13 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    19700101 01:33:13 W WARNING: Your certificate is not yet valid!
    19700101 01:33:13 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
    19700101 01:33:13 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
    19700101 01:33:18 N RESOLVE: Cannot resolve host address: moscow.perfect-privacy.com:149 (Try again)
    19700101 01:33:23 N RESOLVE: Cannot resolve host address: moscow.perfect-privacy.com:149 (Try again)
    19700101 01:33:23 W Could not determine IPv4/IPv6 protocol
    19700101 01:33:23 I SIGUSR1[soft init_instance] received process restarting
    19700101 01:33:23 Restart pause 5 second(s)
    19700101 01:33:23 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
    19700101 01:33:23 D MANAGEMENT: CMD 'state'
    19700101 01:33:23 MANAGEMENT: Client disconnected
    19700101 01:33:23 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
    19700101 01:33:23 D MANAGEMENT: CMD 'state'
    19700101 01:33:23 MANAGEMENT: Client disconnected
    19700101 01:33:23 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
    19700101 01:33:23 D MANAGEMENT: CMD 'state'
    19700101 01:33:23 MANAGEMENT: Client disconnected
    19700101 01:33:23 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
    19700101 01:33:23 D MANAGEMENT: CMD 'status 2'
    19700101 01:33:23 MANAGEMENT: Client disconnected
    19700101 01:33:23 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
    19700101 01:33:23 D MANAGEMENT: CMD 'log 500'
    19700101 01:00:00


    Danke und Grüße
     
  2. p

    privacy Junior Member

  3. m

    markus0815 New Member

    Hi,

    danke für den Link.
    Leider klappt es damit auch nicht wirklich.

    Noch jemand ne Idee?
    Gibt es irgendetwas was ich brauchen muss was nicht in der Beschreibung steht?

    Danke, Grüße

    Achja zum Thema Iptables. Wenn ich ifconfig schreibe dann wir bei mir weder tun0 noch sonst ein tunx angezeigt.

    Grüße
     
  4. T

    Tsip New Member

    Diese Anleitung funktioniert für die Firmware r34411 vom 07.01.2018 jedoch nicht mit den folgenden 34578, 34760 & 34777! Die Version r34876 vom 02-08-2018 funktioniert wieder auf dem WRT3200ACM.

    Die aufgeführte Version kann von ftp://ftp.dd-wrt.com/betas/ heruntergeladen werden.

    Für den WRT3200ACM wählt man dort natürlich den Ordner „linksys-wrt3200acm“ und innerhalb dieses Ordners für die erstmalige Installation des dd-wrt die Version: factory-to-ddwrt.bin später bei Aktualisierungen dann die Version: ddwrt-linksys-wrt3200acm-webflash.bin


    Auch von der Webseite https://www.perfect-privacy.com/german/member/ brauchen wir aktuelle Daten. Hierzu muss man sich mit seinen Daten einloggen und dann kann man sich unter Router z.B. Server als Gruppe, UDP, AES-256-CBC mobile_udp.zip herunterladen. Darin befinden sich die Konfigurationsdaten, welche später gebraucht werden. Zum öffnen kann irgendein Schreibprogramm genutzt werden. Schreibprogramm öffnen, Datei öffnen auswählen und dann eine Datei in diesem heruntergeladenen und entpacken Ordner z.B. Hongkong.ovpn anklicken.


    Diese Anleitung funktioniert, wenn man den WRT3200ACM im gleichen IP-Netz wie den Router mit der eigentlichen Internetverbindung betreibt.

    DHCP kann man im Internetrouter abschalten oder man verbindet diesen ausschließlich mit dem WRT3200ACM und sonst nur mit dem Strom- und Internetkabel zur Multimediadose in der Zimmerwand ;-). Man könnte den Internetrouter auch mit einem weiteren Kabel zusätzlich an ein Switch im internen Netz anschließen, dabei sollte man aber nur einen einzigen DHCP-Server aktiviert haben oder man weiß ganz genau was man da macht!


    Im WRT3200ACM scheinen mir die Anschlüsse eth0 und eth1 in der Bezeichnung vertauscht worden zu sein.

    Auch aus diesen Gründen habe ich den hier beschriebenen Aufbau und die hier angegebenen Einstellungen gewählt.

    [Gerne nehme ich auch konstruktiv kritische Anmerkungen zu dieser Anleitung an. ;-) Natürlich sind mir auch einfache Ergänzungen willkommen.]


    Ein LAN-Kabel vom Modem mit dem Internetanschluss in die gelbe mit Internet beschriftete Buchse auf der Geräterückseite des WRT3200ACM und ein weiteres LAN-Kabel in eine andere „blaue“ Buchse und dieses geht dann an die (das) Gerät(e) im internen Netz. Das zweite Kabel braucht man nicht, wenn man ausschließlich über WLAN im eigenen Netz unterwegs ist.


    Die Grundlage meiner Einstellungen war dieser Link.: https://board.perfect-privacy.com/threads/openvpn-auf-dd-wrt-router.889/

    Meine Einstellungen sind jedoch teilweise widersprüchlich zu den dort gemachten Angaben.



    Jetzt geht es mit den Einstellungen im frischen dd-wrt los:

    Setup

    Basis-Setup

    WAN-Verbindungstyp

    Verbindungstyp: statische IP

    WAN-IP-Adresse : tragt eine freie Adresse aus Eurem internen Netz ein z.B. 192.168.43.3

    Netzmaske: ist von Eurem eigenen Netz abhängig, meist 255.255.255.0

    Gateway: Wichtig, in der statischen Einstellung ist dies die IP des Gateways. Diese muss das Internet-Modem sein!!! z.B. 192.168.43.1

    Statischer DNS 1 Dieser kann auch das Modem sein. z.B. 192.168.43.1

    Statischer DNS 2 kann 0.0.0.0 sein



    Zusätzliche Einstellungen

    Router Name: denkt Euch einen Namen aus (wer nicht gern mit IPs arbeitet, spricht mit diesem Namen den WRT3200ACM im Netzwerk an)


    MTU: Auto (1500)

    Shortcut Forwarding Engine: einschalten

    STP : ausschalten



    Router-IP

    Lokale IP-Adresse: die IP-Adresse des WRT3200ACM im internen Netzwerk (zum konfigurieren und updaten) z.B. 192.168.43.5

    Netzmaske: siehe oben (beide müssen in dieser Konfiguration identisch sein oder ihr wisst was ihr macht ;-))

    Gateway: das ist jetzt der WRT3200ACM (in unserem Beispiel muss das dann jetzt auch die 192.168.43.5 sein)

    Lokaler DNS: 0.0.0.0



    Einstellungen Netzwerk-Adress-Server (DHCP)

    DHCP-Typ: DHCP-Server

    DHCP-Server einschalten

    Start-IP-Adresse die ersten drei Blöcke sind durch unsere vorherigen Einstellungen vorgegeben und die letzte kann man nutzen z.B. 10



    Client-Lease-Zeit unter 2 min wird auf 2 min gesetzt – hier kann man zu Testzwecken eine kleine Zahl angeben, wenn alles läuft kann die die Zahl ruhig groß (z.B. 1 Tag in min) sein.



    Nutze DNSMasq für DHCP anklicken (wenn man individuelle Angaben für die IP-Zuweisung seiner Geräte machen möchte, dieser Menüpunkt kommt später)

    Nutze DNSMasq für DNS anklicken

    DHCP-Authoritative anklicken



    Uhrzeit-Einstellungen

    hier kann man einen Zeitserver einstellen (einige Modems wie die Fritzboxen unterstützen das – in unserem Beispiel bei wäre das dann 192.168.43.1)





    IPV6

    IPv6-Unterstützung

    IPv6 einschalten

    IPv6 Type Native IPv6 from ISP



    Radvd einschalten

    Radvd eingeschaltet kann abgeschaltet bleiben



    Erweitertes Routing

    kann als Gateway genutzt werden, wenn man weitere eigene Netzwerke in dieses Netzwerk integrieren möchte

    Netzwerke

    Wenn man die Schnittstellenbenennung (eth0 und eth1) wie oben angeführt tauschen möchte (damit die angezeigten Datenströme auch sinnvoll angezeigt werden können):

    Port Setup

    WAN Port Zuweisung eth1


    WLAN

    Darauf gehe ich hier nicht ein.



    Leider darf ich nur 10.000 Zeichen schreiben, so daß ich die Anleitung hier mal unterbreche.
     
  5. T

    Tsip New Member

    und weiter geht es ;-)

    Services

    Services

    DNSMasq

    DNSMasq einschalten


    Lokaler DNS einschalten

    Kein DNS Rebind einschalten

    DNS in fester Reihenfolge abfragen einschalten



    Zusätzliche DNSMasq-Optionen

    hier kann man jetzt die IPs für die eigenen Geräte festlegen:

    Bsp.:

    dhcp-host=Mac-Adresse des einzutragenden Gerätes,gewünschter Gerätename,gewünschte interne IP,Zeit in „m“ für Minuten, „h“ für Stunden

    dhcp-host=00:C0:20:AA:11:22,Ziege,192.168.43.11,9h



    VPN

    OpenVPN-Client

    OpenVPN-Client

    Starte OpenVPN einschalten

    Server-IP/Name wunschserver (z.B. hongkong.perfect-privacy.com) [jetzt brauchen wir die heruntergeladenen Daten z.B. die Hongkong.ovpn]

    Port 1150 (z.B. 1150, 151 siehe Hongkong.ovpn oder 1149 – Achtung!!! hier ist ein Zahlendreher nicht auszuschließen!)

    Tunnel-Typ tun

    Tunnelprotokoll udp

    Verschlüsselung AES-256-CBC

    Hash Algorithmus SHA512

    User Pass Authentication einschalten

    Benutzername [;-) Eure eigenen Daten (ohne Klammern!) eingeben]

    Kennwort [;-) Eure eigenen Daten eingeben]

    Erweiterte Einstellungen einschalten

    TLS Verschlüsselung None

    Benutze LZO-Compression Yes (Adaptive ist auch möglich – wird durchs folgende Skript gesteuert)

    NAT einschalten

    Firewall-Schutz einschalten



    TUN-MTU-Einstellungen 1500

    Tunnel UDP Fragment 1300

    TCP-MSS einschalten

    nsCertType Verifikation anklicken



    TLS Authentifizierungsschlüssel > <tls-auth> > von -----BEGIN CERTIFICATE----- bis -----END CERTIFICATE----- kopieren


    OpenVPN Konfiguration: (diesen folgenden Abschnitt kann man einfach kopieren und in das Browserfeld hinein kopieren)


    auth-nocache # ist zusaetzlich eingetragen, damit das Passwort nicht im Arbeitsspeicher bleibt
    replay-window 512 60 # kommt dazu
    mssfix # kommt dazu
    comp-lzo #
    # dev tun # ist oben eingestellt - verhindert sonst den Aufbau der Remote Addresse
    float
    hand-window 120
    inactive 604800
    mute-replay-warnings
    nobind #
    ns-cert-type server # egal - verursacht drin oder nicht eine Warnmeldung
    persist-key #
    persist-remote-ip
    persist-tun #
    ping 5
    ping-restart 120 # 90 oder 120 ist wohl die Zeit zum Ping vom Client an den Server wenn der Serverping verloren geht
    redirect-gateway def1
    remote-random #
    reneg-sec 3600
    resolv-retry 60 ## test
    route-delay 2
    route-method exe
    script-security 2 #
    tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
    tls-timeout 5
    verb 4 #



    Öffentliches CA-Zertifikat > <ca> > von -----BEGIN CERTIFICATE----- bis -----END CERTIFICATE----- kopieren


    Öffentliches Client-Zertifikat > <cert> > von -----BEGIN CERTIFICATE----- bis -----END CERTIFICATE----- kopieren


    Privater Client-Schlüssel > <key> > von -----BEGIN CERTIFICATE----- bis -----END CERTIFICATE----- kopieren



    >Speichern< anklicken (ganz unten auf der Seite)



    Administration

    Diagnose

    Diagnose

    Kommandozeile

    Kommandos #(folgende Skriptzeilen sind zu kopieren und in das Fenster einzufügen – das habe ich auch nur übernommen und kenne die genaue Funktion bisher nicht.)


    #!/bin/sh

    /usr/sbin/openvpn --config /tmp/openvpncl/openvpn.conf --route-up /tmp/openvpncl/route-up.sh --down-pre /tmp/openvpncl/route-down.sh --daemon


    > Startup speichern < anklicken


    So, fertig!!! Jetzt den WRT3200ACM neu starten und sich dann über die erfolgreiche Verbindung unter Status, OpenVPN mit der Anzeige „Client: CONNECTED SUCCESS “ freuen. ;-)



    Mit den richtigen Firewallregeln habe ich mich noch nicht befasst, an den in der anderen Anleitung beschriebenen habe ich aber äußerste Zweifel. Ich gebe da mal drei Kostproben zur Diskussion in die Runde.

    iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
    Fügt diese neue Regel an die erste Stelle der Kette „FORWARD“ aus der Tabelle „-t filter“ ein, es werden alle auf Eingangsschnittstelle (-i) (Netzwerkinterface) br0 eingehenden Pakete und auf Netzwerkinterface tun0 ausgehenden (-o) erlaubt (-j ACCEPT)

    iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
    Fügt diese neue Regel an die erste Stelle der Kette „FORWARD“ aus der Tabelle „-t filter“ ein, es werden alle eingehenden (-i) Pakete auf tun0 und alle ausgehenden (-o) auf br0 erlaubt (-j ACCEPT)

    iptables -I FORWARD -i br0 -o vlan2 -j DROP
    Fügt diese neue Regel an die erste Stelle der Kette „FORWARD“ aus der Tabelle „-t filter“ ein, es werden alle eingehenden (-i) Pakete auf br0 und alle ausgehenden (-o) auf vlan2 verworfen (-j DROP)

    Das bedeutet für mich: Regel 1 und 2 hier sagen alles ein- und ausgehende auf br0 und tun0 des Filters ist erlaubt! Und in der 3. Regel ist von vlan2 die Rede, welches aus meiner Sicht gar nicht definiert, also vorhanden ist.



    Ein falsches Regelwerk senkt eher den Schutz, da es Sicherheit vorgaukelt wo gar keine ist. Ich hoffe das unser Anbieter firmenseitig keine Zugriffe auf die privaten Netze dahinter zulässt. Ansonsten ist ja jeder Rechner innerhalb des eigenen Netzwerkes ja noch mit einer eigenen Firewall geschützt.
     
  6. T

    Tsip New Member

    Die Version r34876 vom 02-08-2018 funktioniert wieder auf dem WRT3200ACM.
    Kann diesen Satz ein Admin in meinen ersten Beitrag auf dieser Seite hinter "...& 34777!!!" setzen? Leider wird mir das Editieren nicht erlaubt. (Schutz vor Werbung und Admin fragen.) Danke ;-)
     
  7. PP Stephan

    PP Stephan Staff Member

    Danke, habe ich hinzugefügt.
     
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice