Tipps & Tricks: OpenVPN auf dd-wrt Router

[denkiyen]

@JackCarver
Vielen Dank für den Hinweis. Ich habe keinen Eintrag in den Richtlinienbasiertes Routings gemacht. DD-WRT wiki verweist wie folgt

Policy based Routing
allow only special clients to use the tunnel. Add IPs in the form 0.0.0.0/0 to force Clients ............

IP 0.0.0.0/0 es ist mir nicht klar welchen Wert/oder wo ich einen Wert für Netzmaske die ja, so wie ich das verstehe hinter dem Schrägstrich kommt finde. Der Eintrag der IP 192.198.1.xyz in den in den Richtlinienbasiertes Routings bringt keinen Erfolg beim Routing. Nach Wiki sollte der Eintrag so aussehen 192.168.1.xyz/??. Aber wo bekomme ich die Ziffern für die ?? her.

 

[JackCarver]

Wenn es sich um einen Rechner bei der 192.168...jeweils handelt, dann muss ein /32 zum Schluss kommen.
Das ist Äquivalent zur Netzmaske 255.255.255.255, was genau EINEN Rechner bedeutet.

Bei 192.168.../24 hast du zb die Netzmaske 255.255.255.0, was ein Netz mit 254 Rechnern bedeutet und was meist in nem LAN Zuhause verwendet wird.

Die Zahl hinten weg sind einfach die Anzahl der gesetzten Bits der Netzmaske, wenn du bei 32 Bit zb 24 setzt, so bleiben zum Schluss 8 Null Bits übrig, was Dezimal eben 0 am Ende ist usw.

Wenn also zum Schluss hinten ein /0 kommt, so bedeutet es, dass es ein Netz gibt und 2^32 Rechner, was dem gesamten IPv4 Adressraum entspricht.

 

[denkiyen]

@JackCarver
Besten dank für deine Erläuterung. Nach dem ich das verstanden habe, klapp es nun ohne Probleme und stabil.

 

[evolvente23]

Hallo,
seit heute kann mein Router mit dd-wrt (R7000) keine Verbindung mehr zu einem PP Server aufbauen.
Konfiguration hat sich nicht geändert, bereits zwei Server (Düsseldorf und Zürich) probiert, gleicher Fehler. Hier das logfile:
-----
State: Client: RECONNECTING init_instance

Clientlog:
20160427 22:07:42 Current Parameter Settings:
20160427 22:07:42 config = '/tmp/openvpncl/openvpn.conf'
20160427 22:07:42 mode = 0
20160427 22:07:42 NOTE: --mute triggered...
20160427 22:07:42 279 variation(s) on previous 3 message(s) suppressed by --mute
20160427 22:07:42 I OpenVPN 2.3.8 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Oct 24 2015
20160427 22:07:42 I library versions: OpenSSL 1.0.2d 9 Jul 2015 LZO 2.09
20160427 22:07:42 W WARNING: file '/tmp/user.txt' is group or others accessible
20160427 22:07:42 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:16
20160427 22:07:42 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
20160427 22:07:42 W WARNING: file '/jffs/PP/DD/key.crt' is group or others accessible
20160427 22:07:42 W WARNING: file '/jffs/PP/DD/tls.key' is group or others accessible
20160427 22:07:42 I Control Channel Authentication: using '/jffs/PP/DD/tls.key' as a OpenVPN static key file
20160427 22:07:42 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
20160427 22:07:42 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
20160427 22:07:42 LZO compression initialized
20160427 22:07:42 Control Channel MTU parms [ L:1604 D:212 EF:112 EB:0 ET:0 EL:3 ]
20160427 22:07:42 Socket Buffers: R=[87380->131072] S=[16384->131072]
20160427 22:07:42 Data Channel MTU parms [ L:1604 D:1450 EF:104 EB:143 ET:0 EL:3 AF:3/1 ]
20160427 22:07:42 Local Options String: 'V4 dev-type tun link-mtu 1604 tun-mtu 1500 proto TCPv4_CLIENT comp-lzo keydir 1 cipher AES-256-CBC auth SHA512 keysize 256 tls-auth key-method 2 tls-client'
20160427 22:07:42 Expected Remote Options String: 'V4 dev-type tun link-mtu 1604 tun-mtu 1500 proto TCPv4_SERVER comp-lzo keydir 0 cipher AES-256-CBC auth SHA512 keysize 256 tls-auth key-method 2 tls-server'
20160427 22:07:42 Local Options hash (VER=V4): 'c19f87b0'
20160427 22:07:42 Expected Remote Options hash (VER=V4): 'eda38e81'
20160427 22:07:42 I Attempting to establish TCP connection with [AF_INET]0.0.4.128:1194 [nonblock]
20160427 22:07:42 N TCP: connect to [AF_INET]0.0.4.128:1194 failed will try again in 5 seconds: Invalid argument
20160427 22:07:42 I SIGUSR1[soft init_instance] received process restarting
20160427 22:07:42 Restart pause 5 second(s)
-----

ipv6 und radvd sind aktiviert.
Hat jemand eine Idee wo der Fehler stecken könnte?

UPDATE: Hat sich erledigt, Frankfurt funktioniert. Zürich und Düsseldorf scheinen Probleme zu haben.

 

[Loreas]

20160427 22:07:42 I Attempting to establish TCP connection with [AF_INET]0.0.4.128:1194 [nonblock]
20160427 22:07:42 N TCP: connect to [AF_INET]0.0.4.128:1194 failed will try again in 5 seconds: Invalid argument
20160427 22:07:42 I SIGUSR1[soft init_instance] received process restarting
20160427 22:07:42 Restart pause 5 second(s)
-----

ipv6 und radvd sind aktiviert.
Hat jemand eine Idee wo der Fehler stecken könnte?

UPDATE: Hat sich erledigt, Frankfurt funktioniert. Zürich und Düsseldorf scheinen Probleme zu haben.

Das ist wohl keine gültige IP: 0.0.4.128
Aber keine Ahnung woran das liegt...

 

[evolvente23]

Hallo,
seit 2-3 Tagen tritt wieder das Problem auf, dass ich keine Verbindung zuu den OpenVPN-Servern aufbauen kann.
Wenn ich die logs richtig deute, wird die Verbindung zurückgewiesen. Ich habe diverse Server ausprobiert, immer der gleiche Fehler:

20160512 16:15:02 Socket Buffers: R=[87380->131072] S=[16384->131072]
20160512 16:15:02 I Attempting to establish TCP connection with [AF_INET]0.0.4.128:1194 [nonblock]
20160512 16:15:02 N TCP: connect to [AF_INET]0.0.4.128:1194 failed will try again in 5 seconds: Invalid argument
20160512 16:15:02 I SIGUSR1[soft init_instance] received process restarting
20160512 16:15:02 Restart pause 5 second(s)
20160512 16:15:07 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
20160512 16:15:07 Socket Buffers: R=[87380->131072] S=[16384->131072]
20160512 16:15:07 I Attempting to establish TCP connection with [AF_INET]202.60.66.33:1152 [nonblock]
20160512 16:15:08 N TCP: connect to [AF_INET]202.60.66.33:1152 failed will try again in 5 seconds: Connection refused
20160512 16:15:08 I SIGUSR1[soft init_instance] received process restarting
20160512 16:15:08 Restart pause 5 second(s)
20160512 16:15:13 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
20160512 16:15:13 Socket Buffers: R=[87380->131072] S=[16384->131072]
20160512 16:15:13 I Attempting to establish TCP connection with [AF_INET]0.0.4.128:1194 [nonblock]
20160512 16:15:13 N TCP: connect to [AF_INET]0.0.4.128:1194 failed will try again in 5 seconds: Invalid argument
20160512 16:15:13 I SIGUSR1[soft init_instance] received process restarting
20160512 16:15:13 Restart pause 5 second(s)
20160512 16:15:18 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
20160512 16:15:18 Socket Buffers: R=[87380->131072] S=[16384->131072]
20160512 16:15:18 I Attempting to establish TCP connection with [AF_INET]202.60.66.33:1152 [nonblock]
20160512 16:15:19 N TCP: connect to [AF_INET]202.60.66.33:1152 failed will try again in 5 seconds: Connection refused

An der Konfiguration habe ich nichts geändert.
Gibt es irgendwelche Umstellungen bei PP? Muss ich zusätzliche Einstellungen machen?

 

[Gerd]

@evolvente23 hast du den Port auf 1149 (nicht 1194) und Tunnel Protocol auf UDP umgestellt? Oder versuchst du eine TCP Konfiguration zum laufen zu bekommen?

 

[evolvente23]

Tunnel Protokoll ist TCP. Port steht auf 1152.
Wie gesagt, von einem auf den anderen Tag funktioniert es wieder nicht mehr, ohne irgendwelche Änderungen.

UDP-Config funktioniert auch nicht. Es kommt keine Verbindung zustande.

 

[Gerd]

Könnte vermutlich ein Server oder ein DNS Problem sein, wenn nicht 8.8.8.8 und 8.8.4.4 verwendet wurde.
Kannst du deine TCP Konfiguration von DD-WRT incl. Additional Config hier posten? Dann könnte Loreas evtl. das in die Anleitung aufnehmen.
Ich würde auch gerne ein Blick auf die Konfiguration drauf werfen, ob man evtl. noch was ändern muss/kann.

 

[evolvente23]

Habe eine Lösung gefunden:
Ein Wechsel der TLS Cipher hat geholfen: Von
TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
auf
TLS-DHE-RSA-WITH-AES-128-CBC-SHA
umgestellt und die Verbindung wird wieder hergestellt.

Schön dass es jetzt funktioniert, aber warum funktioniert das von einem auf den anderen Tag nicht mehr?

 

[Silencer1981]

Ich wollte mir heute die Firmware von der angegebenen FTP Seite laden. Leider habe ich es auch gemacht. Nach dem Flashen der Firmware auf den Netgear WNR3500L V2 habe ich keine Verbindung mehr. IP Wird nicht vergeben und Reset hilft auch nicht. Jemand eine Idee was ich machen kann außer wegschmeißen?

 

[Gerd]

Im Internet gibt es zwei gut beschriebene Anleitungen (1,2) um den Router zu debricken. Das ist aber ein ziemliches Gefrickel.
Du könntest aber auch einen anderen gebrauchten Router bei Ebay-Kleinanzeigen kaufen.

 

[wolfibär44]

Hallo zusammen habe mir jetzt einen Asus Rt-ac56 gekauft läuft soweit auch super mit open vpn . Nur ich habe ein kleines problem und zwar hängt dieser direkt hinter eine fritzbox so das nur ein teil via vpn läuft ich bekomme keine ipv6 adresse angezeigt und bei test funktioniert es leider auch nicht ? Mit der fritzbox wird sie angezeigt bei test habe bereits native eingestellt im asus router. Kann mir jemand helfen?????

 

[Yolan]

Hallo! Ich habe ebenfalls ein Problem und zwar versuche ich seit einem halben Tag zwei interne Geräte von dem VPN Service auszuschliessen. Ich habe es nach dieser Anleitung im Forum gemacht, jedoch verbindet sich das Gerät (in meinem Fall 192.168.1.124 und 192.168.1.122). Ich habe bei Policy Based Rules es mit 192.168.1.124/32 oder der IP alleine probiert, kein Erfolg. Danach habe ich noch zur Firewall

iptables -P FORWARD DROP
iptables -I FORWARD -i br0 -o tun1 -j ACCEPT
iptables -I FORWARD -i tun1 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o vlan2 -j DROP
iptables -I FORWARD -i br0 -s 192.168.1.124 -j ACCEPT
iptables -I FORWARD -o br0 -d 192.168.1.124 -j ACCEPT
iptables -I INPUT -i tun1 -j DROP
iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE

hinzugefügt, jedoch verbindet sich dann die das Gerät mit der genannten internen IP noch immer mit dem VPN. Was bitte mache ich falsch? Ich hatte dann noch an den IP Tables rumgespielt bis ich zuletzt gar keinen Internet-Zugriff mehr hatte und nicht mehr auf das Routerinterface zugreifen konnte und nur noch mehr ein Reset half. Könnt Ihr mir bitte helfen?

 

[privacy]

Wenn du die ip 192.168.1.124 und 192.168.1.122 in Policy based Routing eingibst dann gehen die 2 ips nur über VPN die anderen Geräte nicht

Du musst dort alle ips von den Geräten reinschreiben die VPN nutzen sollen und der Rest geht dann über dein isp

 

[Yolan]

Super, danke!

Eine Frage hätte ich noch. Derzeit habe ich keine Firewall Regeln drinn, für was brauche ich die? Weil es geht ja jetzt so auch?

iptables -P FORWARD DROP
iptables -I FORWARD -i br0 -o tun1 -j ACCEPT
iptables -I FORWARD -i tun1 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o vlan2 -j DROP
iptables -I FORWARD -i br0 -s 192.168.1.124 -j ACCEPT
iptables -I FORWARD -o br0 -d 192.168.1.124 -j ACCEPT
iptables -I INPUT -i tun1 -j DROP
iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE

 

[privacy]

Keine Ahnung sorry

 

[Yolan]

Kein Ding, eventuell hat ja jemand anders eine Idee und kann es mir erklären?

 

[privacy]

Einfach weglassen hab die Regeln auch nicht in meiner Firewall funktioniert alles auch so

 

[pekepain]

Moin, das mit den Ausnahmen funktioniert ja super!
Gibt es auch Möglichkeiten bestimmte Ports und/oder Webseiten nicht durch den Tunnel zu führen?
Beispielsweise wenn ich Netflix auf verschiedenen Geräten nutze müsste ich auf all denen um den Tunnel führen.
Doof nur wenn man bei manchen die IP nicht festlegen kann...