openvpn auf DDWRT router

UDP ist bei mir doppelt so schnell auf meinem R7000 wie TCP.

TCP ca. 10-12 Mbit/s
UDP ca. 25 Mbit/s

Hat UDP irgendwelche Nachteile?

Endlich kommt der Dualcore-Prozessor zum tragen...

EDIT: Ich hab noch eine Frage. Warum ist UDP jetzt schneller? Ich weiß schon dass das ein anderes Protokoll ist und so. Aber macht das soviel aus? Dachte immer je mehr CPU-Leistung desto schneller die Ver- & Entschlüsselung am Router. Also auch die Verbindung. *???*
 
Guten Abend,
ich habe gerade versucht meinen TPLink WDR4300 mit dem VPN Schweiz einzustellen. Leider bekomme ich nach dem Neustart des Routers keine Verbindung zum Internet.Die Einstellungen habe ich nach meinem besten Wissen aus den Foreneinträgen hier entnommen (bei ifconfig wurde bei mir nie eine tun0/1 Verbindung aufgelistet):
http://abload.de/img/1rved6.jpg
http://abload.de/img/24lekl.jpg
http://abload.de/img/37ieia.jpg
Ich musste die Bilder extern verlinken, da irgendwie das Albumsystem nicht funktioniert.

Leider war mir das ganze Durcheinander mit den Posts und die ständigen Ausbesserungen irgendwann zu viel und ich habe nicht mehr ganz durchgeblickt. Die Zertifikate hatte ich aus der Apple Datei für die Schweiz.

Mit freundlichen Grüßen
Max
 
Hast du auch die aktuellste DD-WRT Version drauf? Dann würde mal das mit dem /tmp/auth.conf wegfallen.

ftp://ftp.dd-wrt.com/betas/2015/01-04-2015-r25760/

Bild 1: Beim Punkt DNSMasq die drei Haken weg.
Bild 2: Falscher Port! Port 1149 für UDP, Port 1152 für TCP
Bild 3: Ich denke, das Startup-Skript braucht man nur bei älterer DD-WRT Firmware. (bei diesem Skript die "" löschen beim Passwort ;) )
 
Ok, habe jetzt die Einstellungen vorgenommen. Muss ich trotzdem den Firewall-Eintrag drin haben?
Und in den Additional Config, ist da mein Eintrag richtig? da variieren die Einträge im Forum ja auch recht häufig.

Muss zudem

#!/bin/sh
/usr/bin/killall openvpn
/usr/sbin/openvpn --config /tmp/openvpncl/openvpn.conf --route-up /tmp/openvpncl/route-up.sh --down-pre /tmp/openvpncl/route-down.sh --daemon
trotzdem noch in das startup script, oder kann ich das komplett weg lassen? (Hab die Firmware geupdatet und nun hab ich die Logindaten so eingetragen)
 
Hast du schon einen aktuelle Firmware drauf?



So siehts bei mir aus bei aktueller Firmware.

Das Startup-Script habe ich bis auf den auth-part stehen lassen.
 
Hat alles geklappt, nur mein jetziges Problem ist, dass ich grade mal 6mbit downstream habe (habe eine 100mbit Leitung) und der upstream gleich geblieben ist. Woran könnte das liegen? Habe wie gesagt, einen schweizer Server, der laut PP zu 94% frei ist (1000mbit)
 
Wenn du auf der DD-WRT-Config Seite auf "Status" -> "Router" gehst, siehst du die CPU-Auslastung.

http://wiki.openwrt.org/toh/tp-link/tl-wdr4300

Wie es aussieht hast du einen 560MHz Prozessor. Der ist um einiges zu schwach für deine Bedürfnisse. OpenVPN benötigt ziemlich viel CPU-Leistung. Deshalb habe ich mir auch einen Netgear R7000 Router gekauft mit Dual-Core 1GHz.

Aber 100Mbit wird schwer.

Zur Info nochmal: https://www.perfect-privacy.com/german/dienste/


Eine andere Möglichkeit wäre noch einen eigenen kleien PC mit pfsense aufzusetzen. Müsste dann noch um einiges schneller gehen glaub ich. Aber noch habe ich damit keine Erfahrung sammeln können.

Würde dann so aussehen: http://www.pcengines.ch/apu.htm
 
Vielen vielen Dank dir für die ganzen Infos und die Hilfe, hatte mir auch schon überlegt, ein raspberry/banana pi als WLAN Switch zu verwenden.
Aber ich kenn mich mit dem ganzen einfach zu wenig aus, da würde ich glaub ich kläglich untergehen.

Dass das so viel Rechenleistung benötigt, das hatte ich nicht erwartet.

Oh man, die ganze Arbeit und das rumgewerkle umsonst. Und das alles nur, weil Chromecast keine VPN Unterstützung hat.
Na gut, dann werde ich mir einen anderen Weg dafür suchen.
 
Mir ist es vor ein paar Monaten genau so ergangen wie dir. Man muss sich hier und da einlesen und überall wieder Infos zusammen kratzen. Hab einen Router umsonst gekauft usw.

Vielleicht schau dir auch IPsec an. Das wären wahrscheinlich schnellere Verbindungen möglich.
 
Hallo
ich versuche auch seit einiger Zeit auf meinem Netgear R6300V2 mit der DD-WRT Version v24-sp2 (12/22/14) std - build 25697 eine OpenVPN-Verbindung einzurichten. Mit DD-WRT Firmware kenne ich mich leider nicht 100% aus. Ich habe versucht diverse Anleitungen auszuprobieren leider ohne Erfolg. Meine jetzige Konfiguration sieht folgend aus: Fritzbox 7490 mit Internet > Netgear R6300V2. Internet ist auf Netgear vorhanden.

upload_2015-8-2_13-15-31.png

upload_2015-8-2_13-18-57.png

upload_2015-8-2_13-20-27.png

upload_2015-8-2_13-22-7.png

Das nutze ich als Startup:
#!/bin/sh
/usr/bin/killall openvpn
/usr/sbin/openvpn --config /tmp/openvpncl/openvpn.conf --route-up /tmp/openvpncl/route-up.sh --down-pre /tmp/openvpncl/route-down.sh --daemon

Wenn ich ifconfig im Command Fenster eintippe dann wird kein Tun angezeigt. D.h. Tunnel wird nicht aufgebaut. Was mache ich falsch ?
 
Last edited:
Tja da hast du einiges übersehen.

Port: 1149
Tunnel UDP MSS-Fix: Enable

Wenn das ganze dann läuft kannst du noch die iptables im anderen Menü hinzufügen.

Im Menü Setup-> Basic Setup-> WAN Setup-> Connection Type-> PPPoE angeben, wenn du dich über DSL einwählen willst.

Unter PPPOE bei Username und Password die Provider Daten angeben.

Edit: Wenn du davor schon ein Modem mit Routerfunktionalität hast der die Einwahl automatisch übernimmt dann kannst du es bei der Einstellung "Automatic Configuration - DHCP" belassen.
 
Last edited:
Hallo Gerd,
danke für den Tipp. Das mit dem Port hatte ich bereits korrigiert. Die Einstellung Tunnel UDP MSS-Fix: Enable gesetzt aber leider weiterhin ohne Erfolg. Meine Fritzbox 7490 ist bereits im VDSL Netz verbunden mit DHCP LAN IP:192.168.178.1. Der Netgear R6300V2 ist alls LAN Klient mit IP:192.168.178.49 verbunden. Nach wie vor kein Tun in Command Fenster. Status Openvpn :

upload_2015-8-3_17-45-26.png
 
Kann sich nur um Kleinigkeiten handeln. Sind die Router über ein Netzwerkkabel verbunden? Dann müsstest du den Netzwerkkabel zwischen der Fritzbox 7490 (EthernetPort) und Netgear R6300V2 (WAN Port) anschliessen. Überschneiden sich die Router mit der gleichen IP 192.168.1.1? Dann da eventuell noch die IP ändern.

Falls es nicht daran liegt poste nochmal Additional Config.
 
Genauso ist es angeschlossen über WAN Port mit der Fritzbox. Die Subnetze sind verschieden. Fritzbox 192.168.178.1 und Netgear 192.168.1.1. Bin schon am aufgeben. Versuche gerade mit Tomato Firmware eine VPN Verbindung herzustellen. Die Additional Config habe ich alle getestet ohne Erfolg. Muss ich irgendwelche Ports in der Fritzbox weiterleiten?
 
Was mir gerade noch aufgefallen ist, dass du ca.crt und Frankfurt_cl.crt vertauscht hast. o_O

ca.crt in "CA Cert" und Franfurt_cl.crt in "Public Client Cert" ist die richtige Reihenfolge
 
Last edited:
Wo finde ich Frankfurt_el.ert? Ich habe die ppConfig_mobile_tcp_single.zip mit den enstprechenden Zertifikaten: CA, CA Cert, Cert key und static key für Frankfurt
 
Sorry. Ist mein Fehler. Ich wusste nicht das du den Text von ppConfig_mobile_tcp_single.zip kopiert hast.

Dann halt alles was zwischen <ca> und </ca> in "CA Cert", und alles was zwischen <cert> und </cert> ist in "Public Client Cert" kopieren.

Also von "-----BEGIN.......-----" bis "-----END.......-----"

Du hast es schon am Anfang richtig kopiert, nur leider die Felder "CA Cert" und "Public Client Cert" vertauscht.

Edit: Poste bitte nochmal den Text der bei DD-WRT unter Additional Config steht.
 
Last edited:
Tatsächlich war das die Ursache die vertauschten Zertifikate :) Die Anleitung von @Loreas hat leztzendlich geklappt bis auf die Firewall. Die will noch nicht richtig. Musste schon 2 mal den Router reseten. Tun1 ist jetzt unter ifconfig zu sehen endlich

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -I FORWARD -i br0 -o tun1 -j ACCEPT
iptables -I FORWARD -i tun1 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o vlan2 -j DROP
iptables -I INPUT -i tun1 -j REJECT
iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE


Mit der Firewall Konfiguration hat es geklappt:

iptables -I FORWARD -i br0 -o tun1 -j ACCEPT
iptables -I FORWARD -i tun1 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o vlan2 -j DROP
iptables -I INPUT -i tun1 -j REJECT
iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE
 
Last edited:
Vermutlich liegt es an tun1. Wie du herausfinden kannst ob du tun1 oder tun0 eintragen musst, findest im ersten Post dieser Anleitung.
 
Back
Top