Anleitung: OpenVPN auf einem Router mit OpenWRT

Matt

New Member
Das könnte die Lösung sein.Danke! Hätte da noch 2 Fragen.

Müsste ich, um verschiendene VPN Verbindung einzurichten die OpenVPN Config entsprechend anpassen?
Würde es sich bemerkbar machen, wenn man statt der Google DNS Server (8.8.8.8) die Cloudflare DNS Server nimmt? (1.1.1.1)
Habe gelesen, dass die schneller sein sollen.
 

Gerd

Well-known Member
Müsste ich, um verschiendene VPN Verbindung einzurichten die OpenVPN Config entsprechend anpassen?

Bei einer Servergruppe reicht es aus die IP zu ändern. Bei einem Server von einem anderen Land, müsste man auch die Zertifikate ändern.

Würde es sich bemerkbar machen, wenn man statt der Google DNS Server (8.8.8.8) die Cloudflare DNS Server nimmt? (1.1.1.1)
Habe gelesen, dass die schneller sein sollen.

Dazu kann ich nichts sagen. Müsste man testen.

Edit:
Um verschiedene VPN Verbindungen gleichzeitig zu nutzen, brauchst du Policy Based Routing Package. Dann ist auch in jeder Config „dev tun1“ usw. mit fortlaufender Nummer notwendig.
 
Last edited:

Matt

New Member
Okay verstehe. Ich habe es bislang nur normal mit OpenVPN probiert.

Jetzt habe ich es testweise über StealthVPN (Stunnel) versucht um evtl. bessere Übertragungen zu erreichen. Hier gibt er mir diesen Log

[EDIT] Hat sich erledigt. Ein Fehler hat sich in den Zugangsdaten eingeschlichen.


Code:
Tue Nov 10 20:00:49 2020 us=275238 OpenVPN 2.4.7 mipsel-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Tue Nov 10 20:00:49 2020 us=275518 library versions: OpenSSL 1.1.1h  22 Sep 2020, LZO 2.10
Tue Nov 10 20:00:49 2020 us=276958 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue Nov 10 20:00:49 2020 us=300416 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Tue Nov 10 20:00:49 2020 us=300976 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Tue Nov 10 20:00:49 2020 us=301436 LZO compression initializing
Tue Nov 10 20:00:49 2020 us=302776 Control Channel MTU parms [ L:1624 D:1138 EF:112 EB:0 ET:0 EL:3 ]
Tue Nov 10 20:00:49 2020 us=317335 Data Channel MTU parms [ L:1624 D:1450 EF:124 EB:406 ET:0 EL:3 ]
Tue Nov 10 20:00:49 2020 us=318135 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-128-CBC,auth SHA512,keysize 128,tls-auth,key-method 2,tls-client'
Tue Nov 10 20:00:49 2020 us=318535 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher AES-128-CBC,auth SHA512,keysize 128,tls-auth,key-method 2,tls-server'
Tue Nov 10 20:00:49 2020 us=319055 TCP/UDP: Preserving recently used remote address: [AF_INET]127.0.0.1:10000
Tue Nov 10 20:00:49 2020 us=319535 Socket Buffers: R=[87380->87380] S=[16384->16384]
Tue Nov 10 20:00:49 2020 us=319995 Attempting to establish TCP connection with [AF_INET]127.0.0.1:10000 [nonblock]
Tue Nov 10 20:00:49 2020 us=320815 TCP: connect to [AF_INET]127.0.0.1:10000 failed: Connection refused
Tue Nov 10 20:00:49 2020 us=321734 SIGUSR1[connection failed(soft),init_instance] received, process restarting
Tue Nov 10 20:00:49 2020 us=322234 Restart pause, 5 second(s)
Tue Nov 10 20:00:54 2020 us=322773 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue Nov 10 20:00:54 2020 us=323292 Re-using SSL/TLS context
Tue Nov 10 20:00:54 2020 us=323712 LZO compression initializing
Tue Nov 10 20:00:54 2020 us=324812 Control Channel MTU parms [ L:1624 D:1138 EF:112 EB:0 ET:0 EL:3 ]
Tue Nov 10 20:00:54 2020 us=325352 TCP/UDP: Preserving recently used remote address: [AF_INET]127.0.0.1:10000
Tue Nov 10 20:00:54 2020 us=325852 Data Channel MTU parms [ L:1624 D:1450 EF:124 EB:406 ET:0 EL:3 ]
Tue Nov 10 20:00:54 2020 us=326572 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-128-CBC,auth SHA512,keysize 128,tls-auth,key-method 2,tls-client'
Tue Nov 10 20:00:54 2020 us=326972 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher AES-128-CBC,auth SHA512,keysize 128,tls-auth,key-method 2,tls-server'
Tue Nov 10 20:00:54 2020 us=327432 TCP/UDP: Preserving recently used remote address: [AF_INET]127.0.0.1:10000
Tue Nov 10 20:00:54 2020 us=327912 Socket Buffers: R=[87380->87380] S=[16384->16384]
Tue Nov 10 20:00:54 2020 us=328372 Attempting to establish TCP connection with [AF_INET]127.0.0.1:10000 [nonblock]
Tue Nov 10 20:00:55 2020 us=329176 TCP: connect to [AF_INET]127.0.0.1:10000 failed: Connection refused
Tue Nov 10 20:00:55 2020 us=330096 SIGUSR1[connection failed(soft),init_instance] received, process restarting
Tue Nov 10 20:00:55 2020 us=330596 Restart pause, 5 second(s)
Tue Nov 10 20:01:00 2020 us=331100 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue Nov 10 20:01:00 2020 us=331520 Re-using SSL/TLS context
Tue Nov 10 20:01:00 2020 us=331940 LZO compression initializing
Tue Nov 10 20:01:00 2020 us=333120 Control Channel MTU parms [ L:1624 D:1138 EF:112 EB:0 ET:0 EL:3 ]
Tue Nov 10 20:01:00 2020 us=333680 TCP/UDP: Preserving recently used remote address: [AF_INET]127.0.0.1:10000
Tue Nov 10 20:01:00 2020 us=334160 Data Channel MTU parms [ L:1624 D:1450 EF:124 EB:406 ET:0 EL:3 ]
Tue Nov 10 20:01:00 2020 us=334920 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-128-CBC,auth SHA512,keysize 128,tls-auth,key-method 2,tls-client'
Tue Nov 10 20:01:00 2020 us=335340 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher AES-128-CBC,auth SHA512,keysize 128,tls-auth,key-method 2,tls-server'
Tue Nov 10 20:01:00 2020 us=335800 TCP/UDP: Preserving recently used remote address: [AF_INET]127.0.0.1:10000
Tue Nov 10 20:01:00 2020 us=336280 Socket Buffers: R=[87380->87380] S=[16384->16384]
Tue Nov 10 20:01:00 2020 us=336720 Attempting to establish TCP connection with [AF_INET]127.0.0.1:10000 [nonblock]
Tue Nov 10 20:01:00 2020 us=337560 TCP: connect to [AF_INET]127.0.0.1:10000 failed: Connection refused
Tue Nov 10 20:01:00 2020 us=338460 SIGUSR1[connection failed(soft),init_instance] received, process restarting
Tue Nov 10 20:01:00 2020 us=338960 Restart pause, 5 second(s)
Tue Nov 10 20:01:05 2020 us=339468 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue Nov 10 20:01:05 2020 us=339908 Re-using SSL/TLS context
Tue Nov 10 20:01:05 2020 us=340308 LZO compression initializing
Tue Nov 10 20:01:05 2020 us=341428 Control Channel MTU parms [ L:1624 D:1138 EF:112 EB:0 ET:0 EL:3 ]
Tue Nov 10 20:01:05 2020 us=341968 TCP/UDP: Preserving recently used remote address: [AF_INET]127.0.0.1:10000
Tue Nov 10 20:01:05 2020 us=342468 Data Channel MTU parms [ L:1624 D:1450 EF:124 EB:406 ET:0 EL:3 ]
Tue Nov 10 20:01:05 2020 us=343268 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-128-CBC,auth SHA512,keysize 128,tls-auth,key-method 2,tls-client'
Tue Nov 10 20:01:05 2020 us=343688 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher AES-128-CBC,auth SHA512,keysize 128,tls-auth,key-method 2,tls-server'
Tue Nov 10 20:01:05 2020 us=344148 TCP/UDP: Preserving recently used remote address: [AF_INET]127.0.0.1:10000
Tue Nov 10 20:01:05 2020 us=344628 Socket Buffers: R=[87380->87380] S=[16384->16384]
Tue Nov 10 20:01:05 2020 us=345068 Attempting to establish TCP connection with [AF_INET]127.0.0.1:10000 [nonblock]
Tue Nov 10 20:01:05 2020 us=345908 TCP: connect to [AF_INET]127.0.0.1:10000 failed: Connection refused
Tue Nov 10 20:01:05 2020 us=346828 SIGUSR1[connection failed(soft),init_instance] received, process restarting
Tue Nov 10 20:01:05 2020 us=347308 Restart pause, 5 second(s)
Tue Nov 10 20:01:10 2020 us=347801 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue Nov 10 20:01:10 2020 us=348241 Re-using SSL/TLS context
Tue Nov 10 20:01:10 2020 us=348641 LZO compression initializing
Tue Nov 10 20:01:10 2020 us=349761 Control Channel MTU parms [ L:1624 D:1138 EF:112 EB:0 ET:0 EL:3 ]
Tue Nov 10 20:01:10 2020 us=350301 TCP/UDP: Preserving recently used remote address: [AF_INET]127.0.0.1:10000
Tue Nov 10 20:01:10 2020 us=350780 Data Channel MTU parms [ L:1624 D:1450 EF:124 EB:406 ET:0 EL:3 ]
Tue Nov 10 20:01:10 2020 us=351500 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-128-CBC,auth SHA512,keysize 128,tls-auth,key-method 2,tls-client'
Tue Nov 10 20:01:10 2020 us=351920 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1604,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher AES-128-CBC,auth SHA512,keysize 128,tls-auth,key-method 2,tls-server'
Tue Nov 10 20:01:10 2020 us=352380 TCP/UDP: Preserving recently used remote address: [AF_INET]127.0.0.1:10000
Tue Nov 10 20:01:10 2020 us=352860 Socket Buffers: R=[87380->87380] S=[16384->16384]
Tue Nov 10 20:01:10 2020 us=353380 Attempting to establish TCP connection with [AF_INET]127.0.0.1:10000 [nonblock]
Tue Nov 10 20:01:10 2020 us=354220 TCP: connect to [AF_INET]127.0.0.1:10000 failed: Connection refused
Tue Nov 10 20:01:10 2020 us=355180 SIGUSR1[connection failed(soft),init_instance] received, process restarting
 
Last edited:

Gerd

Well-known Member
StealthVPN Konfiguration auf OpenWRT ist etwas trickreich. Wenn man weiß worauf man achten muss, dann klappt auch die Konfiguration. Ich weiß jetzt nicht wieso bei dir die Verbindung nicht klappt.

Die StealthVPN OpenWRT Anleitungen sind nicht ganz aktuell, aber PP hat bereits neuere Versionen vorliegen. Bis dahin musst du dich gedulden, falls sich mit der neueren Konfiguration was geändert hat.
 

mgAdler

Freshly Joined Member
Ich habe auf einem RaspyPi4 mit OpenWRT die Einrichtungsanleitung durchgeführt.

Ich musste die zum Download angebotenen config files ein wenig anpassen:

am ende der Datei:

Code:
up up.sh
down down.sh

musste ich ändern in:

Code:
up /etc/openvpn/up.sh
down /etc/openvpn/down.sh

Da es ansonsten nicht funktionierte.

Sonst passte alles soweit 👍
 

sugram

Freshly Joined Member
Hallo

Ich habe hier eine AVM 4040 BOX und habe das nun soweit auch eingerichtet.
Auch ich mußte diese Option ändern
Code:
up up.sh
down down.sh

musste ich ändern in:

Code:
up /etc/openvpn/up.sh
down /etc/openvpn/down.sh

Allerdings bekomme ich mit meinem PC an dem LAN Anschluß keine Internetverbindung.
Das liegt daran, daß ich auf der Console zwar einen Ping an die 8.8.8.8 schicken kann, aber nicht an www.google.de

Kann mir dabei jemand helfen?
Bild_2021-11-11_101953.png


Von einem PC aus, geht dann weder ein Ping auf die 8.8.8.8 noch auf ww.google.de durch
 
Last edited:

sugram

Freshly Joined Member
Und funktioniert die Internetverbindung vom PC aus über AVM 4040BOX ohne OpenVPN?

Nein.
Da muß ich mal ganz genau nachsehen. Aktuell geht da gar nicht's.
Muss mal die Konfiguration ansehen und gegebenenfalls mal googlen ;-)
 

Gerd

Well-known Member
Dann gehe ich stark davon aus, dass die OpenWRT Einrichtung auf AVM4040 nicht richtig gemacht worden ist. Nach der Einrichtung, funktioniert die Internet Verbindung automatisch. Danach macht es Sinn OpenVPN zu konfigurieren.
 

meinvpn

Active Member
Ich glaube ich habe auch was falsch gemacht mit meiner 4040. :-(

Mein Ziel ist die 4040 hinter meiner 7590 zu betreiben. Da ich aber über die 4040 an mein NAS kommen will hätte ich versucht die nicht direkt ins Internet zu hängen, sondern per Route in der 7590 anzusprechen um doppel-NAT zu vermeiden. Aber kam weder zu meinem NAS, noch ins Internet. Vermute, ich habe verschiedene Anleitungen (Einmal mit Route und die andere mit Exposed Host.) falsch vermischt um mein Ansinnen umzusetzen. Kann aber auch sein, dass sich mit 21.02 was geringfügig geändert hat.... und ich deswegen einen Wurm drin habe.

Meine (wunsch) Konfig:

192.168.100.1 (7590)
192.168.100.50 Fritz4040
192.168.100.100 NAS
192.168.200.1 (4040)
192.168.200.50 (Fernseher)
192.168.200.100 (Medienplayer)
192.168.250.1 (4040 WLAN für Gäste - Soll nicht auf´s NAS kommen, nur INET)

Ich möchte aber explizit von den Geräten hinter der 4040 nur auf das NAS kommen. Ausser vom WLAN für Gäste. Ich vermute da hab ich was versaut :-(


@Gerd hast Du evtl. eine aktuelle Anleitung für OpenWRT 21.02 für die Variante mit Route, oder einen Tipp, wie ich mich da annähern könnte ?
 
Last edited:

Gerd

Well-known Member
Eine Lösung habe ich nicht parat, da ich zur Zeit DD-WRT auf dem Router habe.
Also kann ich dir nicht so schnell helfen. Ich weiß auch nicht, ob das so umsetzbar wäre, wie ich das Ganze unten geschrieben habe.
Ich würde folgendermaßen für Fritz4040 vorgehen.

- OpenWRT auf Werkseinstellungen setzen
- OpenVPN und VPN Policy Routing Package installieren
- OpenVPN nach der PP-Anleitung konfigurieren
- Interfaces erstellen:

* Name:"Fernseher" und versuchen die IP "192.168.200.50" an das Interface zu binden
* Name:"Medienplayer" und versuchen die IP "192.168.200.100" an das Interface zu binden
* Name:"WLAN" (falls das Interface noch nicht vorhanden ist) und versuchen die IP "192.168.250.1" an das Interface zu binden

- VPN Policy Routing Package konfigurieren:

Name: NAS-Fernseher
Remote addresses: 192.168.100.100
Protocol: AUTO
Interface: Fernseher

Name: NAS-Medienplayer
Remote addresses: 192.168.100.100
Protocol: AUTO
Interface: Medienplayer

(Hier nachsehen, ob man bei einer Regel, die Interfaces "Fernseher" und "Medienplayer" gleichzeitig auswählen kann, dann wäre die zweite Regel überflüssig)

Name: Internet-WLAN (Ohne VPN)
Remote addresses: 192.168.100.1
Protocol: AUTO
Interface: WLAN

Ich nehme an, dass der Fernseher und Medienplayer per RJ45 Kabel an Fritz4040 angeschlossen sind.
Falls die Geräte über WLAN, am VPN vorbei, zu NAS laufen sollen, dann die IP "192.168.250..."anpassen.

- Firewall - Zone Settings konfigurieren
(Hier bin ich mir nicht sicher, wie die Firewall-Regeln aussehen sollen)

Wahrscheinlich:
[lan] => [wan]/[PP_FW] (Hier wan entfernen, falls du Kill-Switch aktivieren möchtest)
[wlan] => [wan]
[fernseher] => [wan]
[medienplayer] => [wan]
[wan] =>
[PP_FW] =>
 

meinvpn

Active Member
ok. Vielen Dank. Werd´s morgen mal versuchen. :)

/EDIT/ und über Weihnachten werde ich mal DD-WRT auf einen alten TP-Link Archer C9 flashen... dann kann ich das ja auch mal anschauen :)
 
Last edited:

Waldmeister

Junior Member
Möchtet Ihr eine Anleitung oder Film auf BitChute und Odysee wie Ich OpenWRT auf einem Seeedstudio Odyssey X86 aufsetze oder auch auch BTC/Lightning und XMR Nodes auf meinen Odroid H2 ?

Besteht Intresse an solchem Content oder soll Ich bei meinen Querdenker Aktionen bleiben in Supermärkten ?
 

meinvpn

Active Member
Möchtet Ihr eine Anleitung oder Film auf BitChute und Odysee wie Ich OpenWRT auf einem Seeedstudio Odyssey X86 aufsetze oder auch auch BTC/Lightning und XMR Nodes auf meinen Odroid H2 ?

Besteht Intresse an solchem Content oder soll Ich bei meinen Querdenker Aktionen bleiben in Supermärkten ?
Naja, OpenWRT passt ja hier rein... Aber die Crypto-Thematik hat ja mit VPN nur bedingt zu tun.....
Aber besser Text/Bild-Anleitung, als Filme.

*EDIT* Den ganzen Rest bzgl. Querdenker etc. habe ich wieder gestrichen.... hat hier nix verloren....

und bevor die Diskussion aufkommt: mir ist es egal, ob Querdenker oder Reichsbürger VPN nutzen oder nicht. Grundsätzlich muss das jeder für sich selber entscheiden.
 

meinvpn

Active Member
- OpenWRT auf Werkseinstellungen setzen
- OpenVPN und VPN Policy Routing Package installieren
- OpenVPN nach der PP-Anleitung konfigurieren
Check. Soweit funktioniert auch alles inkl. Kill-Switch. Achja, ohne Kill-Switch komme ich Problemlos auf das NAS, also an möglicher Filterung bei der 7590 oder auf dem NAS direkt liegt es nicht.

- Interfaces erstellen:
* Name:"Fernseher" und versuchen die IP "192.168.200.50" an das Interface zu binden
* Name:"Medienplayer" und versuchen die IP "192.168.200.100" an das Interface zu binden
* Name:"WLAN" (falls das Interface noch nicht vorhanden ist) und versuchen die IP "192.168.250.1" an das Interface zu binden
Ich glaube (nach tagelangen rumprobieren) hier liegt mein Problem.

Ich lege ein neues Interface an.
Aber welches Device muss ich verwenden ? (entweder es wird mir als nicht verfügbar angezeigt, oder es geht nix mehr und setzt sich korrekterweise zurück, wie bei z.B. BR0 und ETH1)
IP-Adresse ist dann 192.168.200.50
Netmask = 255.255.255.0
IP4 Gateway.... 192.168.200.1 oder 192.168.100.50 (also die Adresse der 4040 im Netz der Fritzbox)
IP Broadcast (braucht man nicht, oder ?)

Ich bin wohl zu doof dafür, oder mein Wunsch zu ausgefallen :)
 

Gerd

Well-known Member
Hallo @meinvpn.

Ich habe ein wenig herum experimentiert und ich bin selbst nicht weiter gekommen.

Frage am besten im OpenWRT Forum nach. Da sind viele Experten/Profis, die schnell beantworten können, ob so eine Konfiguration umsetzbar ist.
 

meinvpn

Active Member
Inzwischen bin ich weiter.... Habe keine weiteren Interface angelegt, neben dem PP_VPN (TUN0).

Dann habe den letzten Schritt der PP-Anleitung bzgl. Kill-Switch rückgängig gemacht. Also in der Firewall WAN wieder bei LAN hinzugefügt. (Vermute das war das Problem)

Dann im VPN Policy Routing bei ausgehende IP 0.0.0.0 auf PP_VPN gesetzt (soweit ich verstanden habe, müsste dann sämtlicher Verkehr über PP_VPN gehen).
Zusätzlich an die erste Position noch Ziel-IP 192.168.100.100 (NAS) eingetragen über WAN (War ursprünglich an der zweiten Position, da ging dann nix).

Laut ersten Tests geht Traffic nur über VPN ins Internet, egal ob verbunden oder nicht (also dann geht halt nix).
Die Verbindung zum NAS klappt auch problemlos.

Was aber sonderbar ist: Das Handy, das über das WLAN der 7590 verbunden ist (WLAN ist aktuell auf der 4040 noch deaktiviert) wurde auch in der Netz 192.168.200.x eingebucht und über VPN verbunden. Das stört mich auch erstmal nicht, da Backups der Bilder vom Handy ja trotzdem problemlos auf dem NAS landen.

Habe ich hier irgendwo was übersehen, oder denkt Ihr, dass passt ?

/EDIT/ Die Rechner am LAN der 7590 sind normal über die 7590 eingebucht..... sonderbar.
 
Last edited:
Top