Tipps & Tricks: OpenVPN auf dd-wrt Router

Discussion in 'Router' started by Loreas, Jun 6, 2015.

Tags:
  1. d

    denkiyen New Member

    @JackCarver
    Vielen Dank für den Hinweis. Ich habe keinen Eintrag in den Richtlinienbasiertes Routings gemacht. DD-WRT wiki verweist wie folgt

    Policy based Routing
    allow only special clients to use the tunnel. Add IPs in the form 0.0.0.0/0 to force Clients ............

    IP 0.0.0.0/0 es ist mir nicht klar welchen Wert/oder wo ich einen Wert für Netzmaske die ja, so wie ich das verstehe hinter dem Schrägstrich kommt finde. Der Eintrag der IP 192.198.1.xyz in den in den Richtlinienbasiertes Routings bringt keinen Erfolg beim Routing. Nach Wiki sollte der Eintrag so aussehen 192.168.1.xyz/??. Aber wo bekomme ich die Ziffern für die ?? her.
     
  2. JackCarver

    JackCarver Junior Member

    Wenn es sich um einen Rechner bei der 192.168...jeweils handelt, dann muss ein /32 zum Schluss kommen.
    Das ist Äquivalent zur Netzmaske 255.255.255.255, was genau EINEN Rechner bedeutet.

    Bei 192.168.../24 hast du zb die Netzmaske 255.255.255.0, was ein Netz mit 254 Rechnern bedeutet und was meist in nem LAN Zuhause verwendet wird.

    Die Zahl hinten weg sind einfach die Anzahl der gesetzten Bits der Netzmaske, wenn du bei 32 Bit zb 24 setzt, so bleiben zum Schluss 8 Null Bits übrig, was Dezimal eben 0 am Ende ist usw.

    Wenn also zum Schluss hinten ein /0 kommt, so bedeutet es, dass es ein Netz gibt und 2^32 Rechner, was dem gesamten IPv4 Adressraum entspricht.
     
    Dr_Iwan_Kakalakow likes this.
  3. d

    denkiyen New Member

    @JackCarver
    Besten dank für deine Erläuterung. Nach dem ich das verstanden habe, klapp es nun ohne Probleme und stabil.
     
  4. e

    evolvente23 New Member

    Hallo,
    seit heute kann mein Router mit dd-wrt (R7000) keine Verbindung mehr zu einem PP Server aufbauen.
    Konfiguration hat sich nicht geändert, bereits zwei Server (Düsseldorf und Zürich) probiert, gleicher Fehler. Hier das logfile:
    -----
    State: Client: RECONNECTING init_instance

    Clientlog:
    20160427 22:07:42 Current Parameter Settings:
    20160427 22:07:42 config = '/tmp/openvpncl/openvpn.conf'
    20160427 22:07:42 mode = 0
    20160427 22:07:42 NOTE: --mute triggered...
    20160427 22:07:42 279 variation(s) on previous 3 message(s) suppressed by --mute
    20160427 22:07:42 I OpenVPN 2.3.8 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Oct 24 2015
    20160427 22:07:42 I library versions: OpenSSL 1.0.2d 9 Jul 2015 LZO 2.09
    20160427 22:07:42 W WARNING: file '/tmp/user.txt' is group or others accessible
    20160427 22:07:42 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:16
    20160427 22:07:42 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    20160427 22:07:42 W WARNING: file '/jffs/PP/DD/key.crt' is group or others accessible
    20160427 22:07:42 W WARNING: file '/jffs/PP/DD/tls.key' is group or others accessible
    20160427 22:07:42 I Control Channel Authentication: using '/jffs/PP/DD/tls.key' as a OpenVPN static key file
    20160427 22:07:42 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
    20160427 22:07:42 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
    20160427 22:07:42 LZO compression initialized
    20160427 22:07:42 Control Channel MTU parms [ L:1604 D:212 EF:112 EB:0 ET:0 EL:3 ]
    20160427 22:07:42 Socket Buffers: R=[87380->131072] S=[16384->131072]
    20160427 22:07:42 Data Channel MTU parms [ L:1604 D:1450 EF:104 EB:143 ET:0 EL:3 AF:3/1 ]
    20160427 22:07:42 Local Options String: 'V4 dev-type tun link-mtu 1604 tun-mtu 1500 proto TCPv4_CLIENT comp-lzo keydir 1 cipher AES-256-CBC auth SHA512 keysize 256 tls-auth key-method 2 tls-client'
    20160427 22:07:42 Expected Remote Options String: 'V4 dev-type tun link-mtu 1604 tun-mtu 1500 proto TCPv4_SERVER comp-lzo keydir 0 cipher AES-256-CBC auth SHA512 keysize 256 tls-auth key-method 2 tls-server'
    20160427 22:07:42 Local Options hash (VER=V4): 'c19f87b0'
    20160427 22:07:42 Expected Remote Options hash (VER=V4): 'eda38e81'
    20160427 22:07:42 I Attempting to establish TCP connection with [AF_INET]0.0.4.128:1194 [nonblock]
    20160427 22:07:42 N TCP: connect to [AF_INET]0.0.4.128:1194 failed will try again in 5 seconds: Invalid argument
    20160427 22:07:42 I SIGUSR1[soft init_instance] received process restarting
    20160427 22:07:42 Restart pause 5 second(s)
    -----

    ipv6 und radvd sind aktiviert.
    Hat jemand eine Idee wo der Fehler stecken könnte?

    UPDATE: Hat sich erledigt, Frankfurt funktioniert. Zürich und Düsseldorf scheinen Probleme zu haben.
     
    Last edited: Apr 27, 2016
  5. Loreas

    Loreas Member

    Das ist wohl keine gültige IP: 0.0.4.128
    Aber keine Ahnung woran das liegt...
     
  6. e

    evolvente23 New Member

    Hallo,
    seit 2-3 Tagen tritt wieder das Problem auf, dass ich keine Verbindung zuu den OpenVPN-Servern aufbauen kann.
    Wenn ich die logs richtig deute, wird die Verbindung zurückgewiesen. Ich habe diverse Server ausprobiert, immer der gleiche Fehler:

    20160512 16:15:02 Socket Buffers: R=[87380->131072] S=[16384->131072]
    20160512 16:15:02 I Attempting to establish TCP connection with [AF_INET]0.0.4.128:1194 [nonblock]
    20160512 16:15:02 N TCP: connect to [AF_INET]0.0.4.128:1194 failed will try again in 5 seconds: Invalid argument
    20160512 16:15:02 I SIGUSR1[soft init_instance] received process restarting
    20160512 16:15:02 Restart pause 5 second(s)
    20160512 16:15:07 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    20160512 16:15:07 Socket Buffers: R=[87380->131072] S=[16384->131072]
    20160512 16:15:07 I Attempting to establish TCP connection with [AF_INET]202.60.66.33:1152 [nonblock]
    20160512 16:15:08 N TCP: connect to [AF_INET]202.60.66.33:1152 failed will try again in 5 seconds: Connection refused
    20160512 16:15:08 I SIGUSR1[soft init_instance] received process restarting
    20160512 16:15:08 Restart pause 5 second(s)
    20160512 16:15:13 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    20160512 16:15:13 Socket Buffers: R=[87380->131072] S=[16384->131072]
    20160512 16:15:13 I Attempting to establish TCP connection with [AF_INET]0.0.4.128:1194 [nonblock]
    20160512 16:15:13 N TCP: connect to [AF_INET]0.0.4.128:1194 failed will try again in 5 seconds: Invalid argument
    20160512 16:15:13 I SIGUSR1[soft init_instance] received process restarting
    20160512 16:15:13 Restart pause 5 second(s)
    20160512 16:15:18 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    20160512 16:15:18 Socket Buffers: R=[87380->131072] S=[16384->131072]
    20160512 16:15:18 I Attempting to establish TCP connection with [AF_INET]202.60.66.33:1152 [nonblock]
    20160512 16:15:19 N TCP: connect to [AF_INET]202.60.66.33:1152 failed will try again in 5 seconds: Connection refused

    An der Konfiguration habe ich nichts geändert.
    Gibt es irgendwelche Umstellungen bei PP? Muss ich zusätzliche Einstellungen machen?
     
  7. G

    Gerd Junior Member

    @evolvente23 hast du den Port auf 1149 (nicht 1194) und Tunnel Protocol auf UDP umgestellt? Oder versuchst du eine TCP Konfiguration zum laufen zu bekommen?
     
  8. e

    evolvente23 New Member

    Tunnel Protokoll ist TCP. Port steht auf 1152.
    Wie gesagt, von einem auf den anderen Tag funktioniert es wieder nicht mehr, ohne irgendwelche Änderungen.

    UDP-Config funktioniert auch nicht. Es kommt keine Verbindung zustande.
     
    Last edited: May 12, 2016
  9. G

    Gerd Junior Member

    Könnte vermutlich ein Server oder ein DNS Problem sein, wenn nicht 8.8.8.8 und 8.8.4.4 verwendet wurde.
    Kannst du deine TCP Konfiguration von DD-WRT incl. Additional Config hier posten? Dann könnte Loreas evtl. das in die Anleitung aufnehmen.
    Ich würde auch gerne ein Blick auf die Konfiguration drauf werfen, ob man evtl. noch was ändern muss/kann.
     
  10. e

    evolvente23 New Member

    Habe eine Lösung gefunden:
    Ein Wechsel der TLS Cipher hat geholfen: Von
    TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
    auf
    TLS-DHE-RSA-WITH-AES-128-CBC-SHA
    umgestellt und die Verbindung wird wieder hergestellt.

    Schön dass es jetzt funktioniert, aber warum funktioniert das von einem auf den anderen Tag nicht mehr?
     
  11. S

    Silencer1981 New Member

    Ich wollte mir heute die Firmware von der angegebenen FTP Seite laden. Leider habe ich es auch gemacht. Nach dem Flashen der Firmware auf den Netgear WNR3500L V2 habe ich keine Verbindung mehr. IP Wird nicht vergeben und Reset hilft auch nicht. Jemand eine Idee was ich machen kann außer wegschmeißen?
     
  12. G

    Gerd Junior Member

    Im Internet gibt es zwei gut beschriebene Anleitungen (1,2) um den Router zu debricken. Das ist aber ein ziemliches Gefrickel.
    Du könntest aber auch einen anderen gebrauchten Router bei Ebay-Kleinanzeigen kaufen.
     
  13. w

    wolfibär44 Member

    Hallo zusammen habe mir jetzt einen Asus Rt-ac56 gekauft läuft soweit auch super mit open vpn . Nur ich habe ein kleines problem und zwar hängt dieser direkt hinter eine fritzbox so das nur ein teil via vpn läuft ich bekomme keine ipv6 adresse angezeigt und bei test funktioniert es leider auch nicht ? Mit der fritzbox wird sie angezeigt bei test habe bereits native eingestellt im asus router. Kann mir jemand helfen?????
     
  14. Y

    Yolan New Member

    Hallo! Ich habe ebenfalls ein Problem und zwar versuche ich seit einem halben Tag zwei interne Geräte von dem VPN Service auszuschliessen. Ich habe es nach dieser Anleitung im Forum gemacht, jedoch verbindet sich das Gerät (in meinem Fall 192.168.1.124 und 192.168.1.122). Ich habe bei Policy Based Rules es mit 192.168.1.124/32 oder der IP alleine probiert, kein Erfolg. Danach habe ich noch zur Firewall

    Code:
    iptables -P FORWARD DROP
    iptables -I FORWARD -i br0 -o tun1 -j ACCEPT
    iptables -I FORWARD -i tun1 -o br0 -j ACCEPT
    iptables -I FORWARD -i br0 -o vlan2 -j DROP
    iptables -I FORWARD -i br0 -s 192.168.1.124 -j ACCEPT
    iptables -I FORWARD -o br0 -d 192.168.1.124 -j ACCEPT
    iptables -I INPUT -i tun1 -j DROP
    iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE
    hinzugefügt, jedoch verbindet sich dann die das Gerät mit der genannten internen IP noch immer mit dem VPN. Was bitte mache ich falsch? Ich hatte dann noch an den IP Tables rumgespielt bis ich zuletzt gar keinen Internet-Zugriff mehr hatte und nicht mehr auf das Routerinterface zugreifen konnte und nur noch mehr ein Reset half. Könnt Ihr mir bitte helfen?
     
  15. p

    privacy Junior Member

    Wenn du die ip 192.168.1.124 und 192.168.1.122 in Policy based Routing eingibst dann gehen die 2 ips nur über VPN die anderen Geräte nicht

    Du musst dort alle ips von den Geräten reinschreiben die VPN nutzen sollen und der Rest geht dann über dein isp
     
    Yolan likes this.
  16. Y

    Yolan New Member

    Super, danke!

    Eine Frage hätte ich noch. Derzeit habe ich keine Firewall Regeln drinn, für was brauche ich die? Weil es geht ja jetzt so auch?

     
  17. p

    privacy Junior Member

    Keine Ahnung sorry
     
  18. Y

    Yolan New Member

    Kein Ding, eventuell hat ja jemand anders eine Idee und kann es mir erklären?
     
  19. p

    privacy Junior Member

    Einfach weglassen hab die Regeln auch nicht in meiner Firewall funktioniert alles auch so
     
  20. p

    pekepain New Member

    Moin, das mit den Ausnahmen funktioniert ja super!
    Gibt es auch Möglichkeiten bestimmte Ports und/oder Webseiten nicht durch den Tunnel zu führen?
    Beispielsweise wenn ich Netflix auf verschiedenen Geräten nutze müsste ich auf all denen um den Tunnel führen.
    Doof nur wenn man bei manchen die IP nicht festlegen kann...
     
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice