Tipps & Tricks: OpenVPN auf dd-wrt Router

[challenge]

Ich habe versucht nach dieser Anleitung einen Lynksis WRT1200AC V2 mit dem Amsterdam Gigabit zu verbinden. Funktioniert bei mir nicht.
Firmware: DD-WRT v3.0-r33570M kongmv (10/22/17) habe ich als Firmeware.
Könnte mir da vielleicht jemand weiterhelfen? Ich habe in meiner DDWRT Version auch viel mehr optionen als hier in der Anleitung angegeben.

Vielen Dank für die Hilfe!

 

[Xirrin]

Vieleicht kann dir diese Anleitung Helfen.

https://flashrouters.zendesk.com/hc...Privacy-VPN-OpenVPN-DD-WRT-Router-Setup-Guide

Kann sein das man sich mit dem Ports etwas Spielen muß 1149 oder 149 .

Sollte im Normalfall zu 100% Funktionieren

Gruß

 

[edbu10]

Hallo,

mein Netgear R7000 DD-WRT verliert immer nach ca. 10 Stunden die VPN Verbindung. Ich muss mindestens 1 bis 2 mal am Tag den Router neustarten, dann läuft alles für kurze Zeit wieder.
Wieso verbindet sich der Router nicht automatisch selbst neu?

Grüße

 

[Gerd]

Nach welcher Anleitung hast du OpenVPN eingerichtet? Hast du dieses Startup-Script

#!/bin/sh

 /usr/sbin/openvpn --config /tmp/openvpncl/openvpn.conf --route-up /tmp/openvpncl/route-up.sh --down-pre /tmp/openvpncl/route-down.sh --daemon

eingetragen? Ich "glaube" es sorgt dafür das OpenVPN bei manchen Routern neu gestartet wird. Stehen ansonsten irgendwelche Fehlermeldungen in deiner Logdatei?

 

[edbu10]

Nach der Anleitung von #1.

Probiere jetzt folgende Einstellungen :

Keep Alive with DD-WRT Firmware:

Go to the Administration > Keep Alive page and enable WDS/Connection Watchdog. Enter 300 for the Interval and 8.8.8.8 as the IP Address.

gefunden bei :

https://flashrouters.zendesk.com/hc...PN-connection-is-always-running-in-my-router-


#!/bin/sh

/usr/sbin/openvpn --config /tmp/openvpncl/openvpn.conf --route-up /tmp/openvpncl/route-up.sh --down-pre /tmp/openvpncl/route-down.sh --daemon


klappt nicht.

Versuche jetzt beides zusammen.

Nun scheint es zu laufen, hab beides angewendet.

 

[Jürgen Rudorf]

Ich bin hier ganz neu, habe mir direkt von FlashRouters für 431 Dollar (incl. Zoll & Transport) einen vorkonfigurierten Router "Perfect Privacy Netgear R7000 DD-WRT" gekauft. Trotzdem gelang die Inbetriebnahme nur mit Beipackzettel und dieser Anleitung
https://flashrouters.zendesk.com/hc...Privacy-VPN-OpenVPN-DD-WRT-Router-Setup-Guide nicht ohne Besuch dieses Forums, vielen Dank.

Mit try&error bekam ich meinen Router jetzt zu laufen, oft muss man erst ca. 3 Minuten abwarten um den Erfolg von Einstellungsänderungen zu sehen. Diese Wartezeit reichte aber bei weitem nicht aus, um zu sehen ob der VPN-Tunnel mit den empfohlenen DNS-Adressen von https://servers.opennic.org/ vielleicht doch noch aufgebaut wird - angezeigt wird mir ewig der Status "Client: RECONNECTING init_instance". Lohnt es sich weiter stundenlang zu warten? - Ich wechselte wieder zu den nicht empfohlenen DNS von Google, die auch vorkonfiguriert waren.

Zweite Frage:
Laut der Anleitung hier soll man Use DNSMasq for DHC, Use DNSMasq for DNS und
DHCP-Authoritative abwählen. Warum? Ich habe die 3 Kreuzchen später wieder gesetzt, denn damit gelang der VPN-Tunnel letztlich auch und so war es auch vorkonfiguriert.

Drittens gab es auch ein Feld "nsCertType Verifikation". Darf (oder sollte??) das Häkchen dort gesetzt sein? Im Lieferzustand war es nicht gesetzt und in der Beschreibung ist es nicht erwähnt. Der VPN-Tunnel funktioniert davon unabhängig, aber wie sollte es besser sein?

Dritte Frage:
Über https://whatismyipaddress.com/ wird mir eine fremde IP angezeigt, also funktioniert der VPN-Tunnel mit diesem empfohlenen Test:

My IP Address Is:
IPv4: 80.255.7.107
IPv6: Not detected

Allerdings klappt die IPv6-Verbindung nicht. Liegt das daran dass mein lokaler Internet-Anbieter DSN:NET IPv6 nicht unterstützt oder muss ich noch Einträge im VPN-Router ergänzen? Er sitzt hinter der aktuellen Fritz!box 7490, auf die ich bei aktivem VPN nun nicht mehr zugreifen kann - wie lässt sich das ändern?

Inhalt:
Setup

Basic Setup

Network Address Server Settings (DHCP)
....
For static DNS 1/2/3 choose one of those DNS provided by OpenNIC https://www.opennicproject.org/
and put them in into Static DNS 1, 2 & 3
Not recommended but can be also a Google DNS 8.8.8.8 & 8.8.4.4

untick Use DNSMasq for DHC
untick Use DNSMasq for DNS
untick DHCP-Authoritative​

 

[Gerd]

Lohnt es sich weiter stundenlang zu warten?

Natürlich nicht. Ich finde das es egal ist, welche DNS Server man vor der VPN Verbindung verwendet. Nachdem die Verbindung besteht, werden eh PP DNS Server verwendet. Daher sind die Google DNS Server ok.

Zur zweiten Frage:
Durch try&error Experimentieren habe ich zum Schluss auch die Häkchen gesetzt. Warum man die setzen sollte, findest du wahrscheinlich hier die Antwort: Link1 & Link2

Zur dritten Frage:
Der Befehl "nsCertType Verifikation" überprüft, ob der Server ein gültiges Zertifikat nutzt. Das kann man aktiviert lassen.

Zur zweiten dritten Frage:

Über https://whatismyipaddress.com/ wird mir eine fremde IP angezeigt, also funktioniert der VPN-Tunnel mit diesem empfohlenen Test:

My IP Address Is:
IPv4: 80.255.7.107
IPv6: Not detected

Das ist keine Perfect Privacy IP. Also wird das wohl von deinem Internet Provider sein.

Allerdings klappt die IPv6-Verbindung nicht. Liegt das daran dass mein lokaler Internet-Anbieter DSN:NET IPv6 nicht unterstützt oder muss ich noch Einträge im VPN-Router ergänzen?

Ich habe das gleiche Problem. Ich muss IPv6 in DD-WRT aktivieren, damit eine VPN Verbindung aufgebaut wird, aber eine IPv6 IP bekomme ich nicht. Da so gut wie kein VPN-Provider IPv6 anbietet, wird das wohl nur ein Experte beantworten können.

 

[Jürgen Rudorf]

Muss die STATUS-Anzeige des VPN-Routers so aussehen wie hier?

Das ist keine Perfect Privacy IP.

Nein, aber es ist auch nicht die IP meines Routers und auch nicht die meiner Fritzbox vor diesem. Wobei die Fritzbox meinem VPN-Router eine PVv6-Adresse anbietet:


Laut PP-Anleitung soll https://whatismyipaddress.com/ aufgerufen werden um zu prüfen, dass die eigene IP von außen nicht gefunden werden kann. Und das funtkioniert, sie wird zudem weit weg von meinem Wohnort angezeigt:


Es wird eine fremde IP angezeigt und ein fremder Ort - ich sitze in Wirklichkeit östlich von Berlin. Das soll lt. Anleitung der Beweis sein, dass VPN funktioniert.

Nicht in meiner Anleitung steht, wie ich bei Bedarf (z.B. bei Problemen mit Bank-Websiten) bequem den VPN-Tunnel aus und später wieder einschalten kann - das wäre dann die fünfte Frage ...

 

[Gerd]

Die Statusanzeige sieht ok aus.

Es gibt einen einfacheren Weg, um heraus zu finden, ob die IP von PP ist. Dazu einfach diese Seite aufrufen: https://www.perfect-privacy.com/german/check-ip/
Wenn bei IPv4 und IPv6 steht "Sie benutzen Perfect Privacy", dann ist alles ok.

Nicht in meiner Anleitung steht, wie ich bei Bedarf (z.B. bei Problemen mit Bank-Websiten) bequem den VPN-Tunnel aus und später wieder einschalten kann - das wäre dann die fünfte Frage ...

Die bequemste Methode wäre, wenn du dein PC/Laptop per WLAN mit dem Router von deinem Internet Provider verbindest. So kannst du im Betriebssystem hin und her schalten, ohne VPN bei Netgear R7000 abzuschalten.

 

[Jürgen Rudorf]

Danke für beide Tipps! Also bin ich im Tunnel, nur leider ohne IPv6:


Obwohl die Fritzbox dem Router eine IPv6-Adresse zur Verfügung stellt, siehe schwarzes Bild oben.

Aber ich habe auch etwas herausgefunden, es ist ein wichtiger Hinweis:
Hinter "nsCertType Verifikation" darf doch kein Häkchen gesetzt sein!
Das verursachte so viele Fehler bei meinem ISP DSN:NET, dass ich keine Anrufe mehr empfangen konnte, nur noch abgehende Rufe gingen.
Auf meinem PC erschien noch vor der Passwortabfrage bei Start diese Meldung:


Nach dem Neustart meines Zugangs beim ISP ging zwar wieder das Telefon, nicht aber der Internetzugang. Der klappte Sekunden später, nachdem ich das Häkchen entfernt hatte.
Was es mit dem nsCertType Verifikation auf sich hat weiß ich allerdings nicht. 1 - 2 Tage lief es auch mit dieser Einstellung, aber danach geht nichts mehr.

 

[Jürgen Rudorf]

Muss der VPN-Router immer wieder "reaktiviert" werden?

Jeden Tag nach dem Neustart des PC habe ich (und auch meine Frau an ihrem PC) hinter dem VPN-Router keinen Internetzugang, obwohl die Fritzbox 7490 vor ihm Internet hat.
Ich rufe dann den VPN-Router auf und muss mich mit seinem Password anmelden, um folgendes Bild zu sehen:



Interressant sind zwei Dinge:

1) Alle PC hinter dem VPN-Router haben sofort wieder Internet, wenn ich - ohne aber irgendeine Einstellung zu ändern - im SETUP-Menü auf "Anwenden" klicke
2) Im Bild oben ist die WARNUNG zu sehen, dass keine Serververfikationsmethode erlaubt ist.

Deswegen werde ich versuchsweise jetzt noch einmal das Häkchen setzen hinter "nsCertType Verifikation" setzen.

 

[Gerd]

1) Alle PC hinter dem VPN-Router haben sofort wieder Internet, wenn ich - ohne aber irgendeine Einstellung zu ändern - im SETUP-Menü auf "Anwenden" klicke

Versuch mal folgendes:
Öffne das Menü Administration-> Commands/Diagnose und speichere den Textblock

stopservice openvpn
startservice openvpn

als Startup. Wende das Ganze an oder starte danach den Router neu.

Berichte danach, ob das Problem weiterhin besteht.

 

[Jürgen Rudorf]

Das Problem besteht weiterhin. Jeden Tag muss ich es nach Start meines PC's wie folgt lösen:

1. Aufruf der IP meines VPN-Routers
2. Passworteingabe, um auf den VPN-Router zugreifen zu können:

3. Bei der Abfrage des Status der VPN-Verbindung des VPN-Routers sehe ich, dass dieser keine Verbindung mehr zum Server hat:


Ich gehe ins Menü "Services" => "VPN" und klicke dort auf "Anwenden"
(oder ins Menü "Setup" => "Basis Setup" und klicke auf "Anwenden") und sofort ist der VPN-Router wieder mit dem VPN-Server in Berlin verbunden.
(Es klappt aber nicht mit allen Menüpunkten, z.B. mit im Menü "Administration" => "Management" hilft die Ausführung des Befehls "Anwenden" nicht.)

Ursache für den täglichen Verlust der VPN-Verbindung des Routers ist sicher, dass die vorgeschaltete Fritzbox 7490 vom IPS täglich in der Nacht einmal vom Internet getrennt wird.
Die Frage ist aber, was man in den Einstellungen des VPN-Routers ändern muss, damit er sich danach oder zumindet bei Anforderung durch einen Client-PC wieder selbstständig mit dem VPN-Server verbindet?

Hierzu wird empfohlen: "Keep Alive page and enable WDS/Connection Watchdog. Enter 300 for the Interval and 8.8.8.8 as the IP Address"
https://flashrouters.zendesk.com/hc...PN-connection-is-always-running-in-my-router-
WDS (Wireless Distribution System) ist ein Wireless Access Point, ich habe aber alles per LAN verbunden und auch im VPN-Router beide Funknetze ausgeschaltet. Ich probiere es trotzdem einmal,vielleicht ist der Schrägstrich "/" als "oder" zu verstehen und der "Watchdog" wacht auch ohne WDS? Aber wenn das hilft - warum wurde das bei Auslieferung des vorkonfigurierten VPN-Routers nicht gleich so eingestellt?

 

[Jürgen Rudorf]

Problem noch nicht ganz gelöst!

Seit diesen Einstellungen muss ich nicht mehr täglich den VPN-Router manuell neu mit dem VPN-Server in Berlin verbinden:
"Keep Alive page and enable WDS/Connection Watchdog. Enter 300 for the Interval and 8.8.8.8 as the IP Address"
Der "Watchdog" überwacht also auch ohne WDS die LAN-Verbindung.

Der VPN-Router wurde fertig vorkonfiguriert ausgeliefert, dabei wurde diese Einstellung aber vergessen!

Allerdings tritt das Problem trotzdem noch aller paar Tage auf und muss dann wie oben beschrieben manuell durch Ausführen des Befehls "Anwenden" in einem hierfür geeigneten VPN-Routerkonfiguarationsmenü beseitigt werden!

In meiner LOG-Datei wird immer eine Email "admin@perfekt-privacy.com" angegeben, werden an diese Mailadresse automatisch irgendwelche Informationen gesendet?
Sieht diese LOG-Datei normal aus?

 

[szkuta]

Ich habe komischerweise dasselbe Problem.

 

[Xulux]

Vorweg: die getätigten wilden Einstellungen haben damit im Prinzip nichts zu tun.

Und VoIP über VPN (wobei VoIP über den eigenen Internetanbieter realisiert wird) funktioniert i.d.R. niemals richtig.
Entweder weil der Internetanbieter das Ganze auf seine eigenen Netze beschränkt (dazu gehört nunmal kein VPN-Server von einem Drittanbieter) oder SIP/VoIP kommt schlicht mit VPN,NAT und entsprechenden Ports nicht zurecht.
Oder es läuft, aber nach max. X Minuten brechen die Gespräche ab,etc.

Wenn die VPN-Verbindung aber grundsätzlich abbricht, weil bspw. die FritzBox Nachts ihre Zwangstrennung durchführt, kann das (je nach Konfig) bei DD-WRT folgende Ursache haben:
Ihr habt in der VPN-Konfig den VPN-Server als DNS-Namen eingetragen (bspw. berlin.perfect-privacy.com).
Tragt hier zum Testen einmal nicht den DNS-Namen, sondern die entsprechende IP-Adresse ein.
Das technisch zu erklären mache ich gerne, aber testet das ersteinmal so.

Und wegen IPv6:
Dein DD-WRT Router bekommt deshalb keine funktionales IPv6-Netz weil du bei DD-WRT dafür an der FritzBox die sogenannte "Prefix-Delegation" aktivieren müsstest. Damit wird ein Anteil des der FritzBox zugewiesenen IPv6-Präfix an den anderen Router weitergereicht...der verwurstet das anschl. für sich selbst intern und seine Clients.
Voraussetzung ist aber, dass der Internetanbieter ein so großes Präfix zu Verfügung stellt, dass eine Delegation technisch möglich ist.
Die Anleitung dafür gibt es direkt bei AVM (dem Hersteller der Fritzboxen) LINK

Und da ist die Frage, ob DD-WRT mit VPN-Client entsprechende IPv6 Unterstützung bietet. Sonst ergibt das einen vollen IPv6-Leak.
Aber mein Sachstand ist hier von Ende 2018, daher nur als Info mit ggf. Prüfungsrelevanz.