Tipps & Tricks: OpenVPN auf einem Router mit TomatoUSB Mod von Shibby

Gerd

Active Member
Man braucht eine gewisse Erfahrung mit Routern und PCs, um die Tomato Firmware auf einem Router einzurichten. Flasht man die Firmware falsch, wird es bei einigen Modellen schwierig bis unmöglich den Fehler wieder rückgängig zu machen.

Perfect Privacy bietet in Zusammenarbeit mit der Firma flashrouters.com in der ersten Variante vorkonfigurierte Router an. In der zweiten Variante fehlen lediglich die Nutzerdaten. Eine Schritt-für-Schritt-Anleitung liegt jedem Router bei.

Wer Router in USA bestellt, muss aber mit einer Manipulation rechnen.
So behauptet Gleen Greenwald, dem wiederum Unterlagen des Whistleblowers Edward Snowden vorliegen, das die NSA in den USA produzierte Hardware abfängt, Überwachungswerkzeuge implementiert, sie neu verpackt und dann an die eigentlichen Empfänger im Ausland verschickt. Bericht1, Bericht2.

Hier geht es zu Perfect-Privacy angebotenen Router weiter.

Eine gute Alternative zu den geflashten Router, wären die Asus Router mit der original Firmware. Man braucht nur wenige Schritte um sie zu konfigurieren. Zu der Asus Anleitung auf hier klicken.





Die TomatoUSB Firmware von Shibby wurde schon einige Jahre nicht mehr aktualisiert. Ich empfehle stattdessen die Firmware Freshtomato (Fork) drauf zu flashen. Viele Schritte kann man von dieser Anleitung abschauen. Zum Forum geht's hier lang.






Noch einiges zur Information:
Diese Anleitung wurde mit dem Asus RT-AC56U Router getestet. Anhand der Anleitung sollte es aber keine Probleme geben die Konfiguration an andere Router anzupassen. Kompatible sowie meist verwendete Router werden weiter unten aufgelistet.

Benötigt wird ein Router der ein TomatoUSB MOD (Mit VPN) von Shibby unterstützt. (Kompatible Router)
Ich empfehle einen Router zu verwenden, der eine Firmware ab dem Kernel26 (K26) unterstützt, da Shibby die Firmware K24 nicht mehr weiter entwickelt. Auch wenn in der "Kompatible Router" Liste bei einem oder anderen Router die Bezeichnung K26 steht, bedeutet dies automatisch nicht das es auch mit K26 VPN Firmware läuft. Am besten vorher die Speichergröße der K26 VPN Firmware mit der Größe des Flashspeichers vergleichen.


Schaut man auf das TomatoAnon Projekt, dann werden folgende Router am meisten verwendet:

1. Asus RT-N66U (CPU 600MHz)

danach folgen

2. Asus RT-N16 (CPU 480MHz)
3. Netgear WNR3500L V2 (CPU 480 MHz)
4. Asus RT-AC66U (CPU 600MHz)
5. Linksys WRT54G/GS/GL (GL-DE V1.1 CPU 200 MHz)

Die VPN-Geschwindigkeit ist z.B. vom CPU des Routers, vom VPN-Server Standort, Auslastung und von der ISP Leitung abhängig. Je schneller die CPU, desto schneller sollte theoretisch die VPN-Geschwindigkeit sein. Was die CPU betrifft, gibt es inzwischen leistungsfähigere Router. Z.B.:

Netgear R7000 (CPU 2x1000MHz)
Asus RT-AC68U (CPU 2x800MHz)
Asus RT-AC56U (CPU 2x800MHz)

(Weitere technische Details zu Router stehen unter DD-WRT Wiki.)

Zum Vergleich. Der Netgear R7000 Router erreicht unter bestimmten Voraussetzungen eine VPN-Geschwindigkeit von circa 20-30Mbit/s.

Hier geht es zur aktuellen Firmware-Liste weiter.

Bei der Wahl der Asus RT-AC66U Firmware würde ich folgendermaßen vorgehen:
  • Von der Tabelle die Version des Routers vermerken
  • In der Firmware-Liste die Version "K26RT-AC" auswählen
  • An der Bezeichnung "RT-AC66U" orientieren
  • Darauf achten das die Firmware nicht 128MB überschreitet
  • Und eine Version mit der Bezeichnung "VPN" oder "AIO" auswählen

1) Tomato Firmware-Upgrade

Informiere dich im Internet zum Flashvorgang und flash anschließend die TomatoUSB Firmware auf ein Router deiner Wahl.


2) Vorbereitungen
  • Besorge ein PP Account von Perfect-Privacy
  • Gehe zu "MITGLIEDER -> DOWNLOAD -> Routersymbol -> ART: Server als Gruppe -> Protokoll: UDP/TCP" und wähle die Verschlüsselung aus
  • Klicke anschließend auf "Download" und speichere "mobile_udp/tcp.zip" auf deinem PC
  • Entpacke von "mobile_udp/tcp.zip" ein Server deiner Wahl
Am Beispiel von Amsterdam Server wird die "Amsterdam.ovpn" Datei ausgewählt.
 
Last edited:

Gerd

Active Member
3) Tomato Konfiguration

Ändere zunächst unter "Administration\Admin Access" das Standard-Passwort und deaktiviere danach das TomatoAnon Script. Laut der Aussage von Shibby sendet das Script mit den Standardeinstellungen diese Daten zu statistischen Zwecken:
  • Router Modell
  • Tomato Version
  • Buildtyp
Geht man jedoch auf seine Projektseite, auf der die Daten veröffentlicht werden, werden weitere Daten (allerdings nicht alle) aufgelistet. Auch wenn der Quellcode einsehbar ist, sollte man das Script unter dem Menü "Administration\TomatoAnon" zur Sicherheit mit diesen Einstellungen deaktivieren:
  • "Yes, i do and want to make a choise"
  • "No, i definitely wont enable it"
Konfiguriere anschließend dein Router und stell sicher das eine Internetverbindung besteht. Eine Hilfestellung zu der Konfiguration findest du unter Wikibooks.

3.1 WLAN:
Noch einige Informationen zu Geolocation in Verbindung mit einem aktiven WLAN-Adapter auf einem Computer. Wenn im Browser einer Standort-Anfrage zugestimmt wird, werden folgende Daten vom Nutzer gesammelt und an Google übermittelt:
  • Die IP Adresse des Nutzers
  • Nahe gelegene WI-FI Zugangspunkte mit MAC-Adresse, SSID (WLAN-Name) und Signalstärke mit Abstand zur nächsten Funkzelle.
  • Mobilfunksendestationen und GPS-Sender in Reichweite.
  • Eine zufällige Identifikationsnummer vom Computer, die von Google zugeteilt und alle zwei Wochen gelöscht wird.
Je mehr dieser Daten vorhanden sind, desto genauer kann Google den Standort des VPN Benutzers bestimmen. Die VPN-Verbindung bleibt dabei nach wie vor abgesichert.

Geolocation Test

Wie man Geolocation im Browser deaktiviert:
  • Firefox: Unter about:config "geo.enabled" und "geo.wifi.url" deaktivieren.
  • Chrome: Unter Einstellungen->Erweiterte Einstellungen anzeigen->Datenschutz-> Inhaltseinstellungen->Standort-> "Abrufen Ihres physischen Standorts für keine Webseite zulassen" aktivieren.
  • Opera: Unter Einstellungen-> Einstellungen...-> Erweitert-> Netzwerk-> Geolocation deaktivieren
Theoretisch könnte auch ein Schadprogramm oder ein Trojaner ein abgeschalteten WLAN-Adapter wieder aktivieren und die empfangenen WLAN-Signale abgreifen.

Das Beispiel mit Geolocation zeigt, das WLAN in Verbindung mit VPN keine 100% Anonymität bieten kann.


3.2) DNS Konfiguration:

Kurz zu PP DNS Server: Würde man ein PP DNS Server in der Routerkonfiguration eintragen, so hätte man ohne VPN keine DNS Auflösung mehr. Zum Verbinden zu einem PP VPN Server benötigt man aber zuerst einen DNS Server, der auch ohne aktive VPN Verbindung den Hostnamen auflöst.

Dazu im Menüpunkt "Basic\Network" (wie auf dem Bild) den DNS Server auf 'Manual' setzen und in das orange markierte Feld die DNS Server einfügen. (DNS-Leak Beschreibung)


Der Link von opennicproject listet frei verwendbare DNS-Server in deiner nähe auf.

Bei der Wahl der Server, sollten zwei Punkte berücksichtigt werden:
  • Wähle mindestens 2 der dort aufgelisteten Server aus
  • Die Server sollten nicht aus einem einzigen Land kommen
Wenn alles richtig eingestellt wurde, müsste unter dem Link: www.dnsoarc.net der DNS-Server vom ISP nicht mehr sichtbar sein.

Wenn die VPN-Verbindung nach einem Abbruch nicht mehr aufgebaut werden kann, wird es meistens an einem nicht funktionierenden DNS Server liegen. Bei den DNS Servern von opennicproject ist es nicht unüblig. Meistens bricht die Verbindung nach einigen Monaten ab. Alternativ kann man die DNS-Server auch von hier nehmen: Link1, Link2, Link3.


3.3) IPv6 einschalten

  • Auf Basic/IPv6 gehen
  • und bei IPv6 Servive Typ auf '6dr from DHCPv4 (Option 212)' umschalten


4) VPN Konfiguration mit UDP

1. Menüpunkt: VPN Tunneling
2. Menüpunkt: OpenVPN Client
4. Menüpunkt: Basic
5. Start with WAN: Haken rein
6. Interface Type: TUN
7. Protocol: UDP
8. Server Address/Port: amsterdam.perfect-privacy.com
(In diesem Beispiel der Server von "Amsterdam.ovpn")
9. Port: 1149 (Von Amsterdam.ovpn)
10. Firewall: Automatic
11. Authorization mode: TLS
12. Username/Password: Haken rein
13. Username & Password: Benutzername und Passwort von Perfect-Privacy
14. Extra HMAC auth...: Outgoing(1)
15. Create NAT on tunnel: Haken rein


16. Menüpunkt: Advanced
17. Redirect Internet Traffic: Haken rein
18. Accept DNS configuration: Strict
19. Encryption cipher: AES-256-CBC (oder hier eine andere Verschlüsselung auswählen die du beim Download von mobile_udp/tcp.zip ausgewählt hast)
20. Compression: Adaptive
21. TLS Renegotiation Time: -1
22. Connection retry: -1
23. Custom configuration:
Code:
tun-mtu 1500
fragment 1300
mssfix
auth SHA512
#float
hand-window 120
inactive 604800
mute-replay-warnings
ns-cert-type server
persist-remote-ip
ping 5
ping-restart 120
reneg-sec 3600
resolv-retry 60
route-delay 2
route-method exe
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
verb 4
key-direction 1


4.1) VPN Konfiguration mit TCP

Übernehme die UDP Konfiguration und ändere danach diese Optionen für TCP:

Menü Client 1-> Basic->

- Protocol: TCP
- Server *******/Port: 1152

Custom configuration:
Code:
tun-mtu 1500
auth SHA512
hand-window 120
inactive 604800
mute-replay-warnings
ns-cert-type server
persist-key
persist-remote-ip
persist-tun
ping 5
ping-restart 120
reneg-sec 3600
resolv-retry infinite
route-delay 2
route-method exe
script-security 2
tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
verb 4


4.2) Zertifikate einfügen

  • Menüpunkt: VPN Tunneling
  • Menüpunkt: OpenVPN Client
  • Menüpunkt: Keys
Öffne die Amsterdam.ovpn Datei und kopiere die Inhalte in die entsprechende Felder, wie auf dem unteren Bild.
 
Last edited:

Gerd

Active Member
5) Firewall Konfiguration

29. Menüpunkt: Administration
30. Menüpunkt: Scripts
31. Menüpunkt: Firewall
32. Iptables einfügen:

Code:
iptables --flush FORWARD
iptables -P FORWARD DROP
iptables -I FORWARD -o tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -t nat -I POSTROUTING -o tun+ -j MASQUERADE


Einige Grundlagen und Funktionsweise zu iptables stehen unter Wiki.

Starte am Ende der Konfiguration den Router neu, um sicher zu gehen das alle Änderungen aktiv geworden sind.

Noch einiges zu den Firewall-Regeln:

Code:
5.1. iptables --flush FORWARD

Löscht alle Regeln in der Kette FORWARD.

Code:
5.2. iptables -P FORWARD DROP

Legt eine Gesamtpolicy (Grundsatzregel) für die Kette FORWARD fest, die besagt, dass alle Ports zu schließen sind und für die Ports, über die man Pakete durchlassen möchte, müssen zusätzliche Erlaubnis-Regeln erstellt werden.

Code:
5.3. iptables -I FORWARD -o tun+ -j ACCEPT

Alle über tun+ raus gehende Pakete werden über alle Ports zugelassen.

Code:
5.4. iptables -I FORWARD -i tun+ -j ACCEPT

Alle über tun+ rein gehende Pakete werden über alle Ports zugelassen.

Code:
5.5. iptables -t nat -I POSTROUTING -o tun+ -j MASQUERADE

Die Regel 5.5 maskiert (ersetzt) die eigene LAN Adresse (Z.B. 192.168.1.100) durch eine VPN Adresse des tun+ Interface (Z.B. 10.0.0.1). Erst dann kann der Rechner den VPN Server erreichen.

Zusatzinformation:
Die Regeln 5.1 bis 5.5 sichern den Router gegen Leaks ab. Dies wird dadurch erreicht, dass die Policy der FORWARD chain auf DROP gesetzt wird. Die FORWARD chain findet für alle Pakete Anwendung, die über den Router rein oder rausgehend gesendet werden, dh wenn der Router selber nur der Mittler und nicht das Ziel ist. Ein Beispiel dazu wäre wenn ein Client über den Router auf das Internet zugreift. Man öffnet nun die FORWARD chain lediglich für OpenVPN, Traffic über OpenVPN ist erlaubt, bricht die OpenVPN Verbindung ab geht nichts raus oder rein. Startet ein Client hinter dem Router eine eigene OpenVPN Verbindung, so wird diese kaskadiert durch die OpenVPN Verbindung des Routers gebaut. Die Ports müssen dazu nicht frei gegeben werden, da OpenVPN bereits über die FORWARD chain erlaubt ist.
 
Last edited:

meinvpn

Member
Nachdem ich früher zwei mal an DD-WRT gescheitert bin, habe ich endlich die Zeit gefunden, es bei meinem Buffalo WHR-HP-G54 nochmals zu probieren.
und ich muss sagen, es funktioniert mit Shibby-Mod und dieser Anleitung fast perfekt.
Das ich mit der 2.4 Version nur komplett für WLAN und LAN die Firewall setzen kann ist an sich kein Problem, da beides nur für Gäste (Notebooks und Smartphones) gedacht ist.
Einzig was ich nicht auf die Reihe bekomme ist der Zugriff auf mein NAS. Hätte die Iptables Regeln zwar erweitert, aber vermutlich total falsch....

Achja, was man ggf. noch ergänzen könnte: Da der Router sich nicht selber ins Netz einwählt, sollte er meiner Meinung nach ein anderes Subnetz bekommen und die DHCP weiterverteilen. Weiss gerade nicht wie die Funktionen heissen, da ich nicht über diesen Router online bin....
Evtl. hab ich auch einfach nur was falsch oder unsinnig gemacht, dann lass ich mich gerne berichtigen.... :)
 

Gerd

Active Member
Nachdem ich früher zwei mal an DD-WRT gescheitert bin, habe ich endlich die Zeit gefunden, es bei meinem Buffalo WHR-HP-G54 nochmals zu probieren.

Schade. Ich dachte das die DD-WRT Anleitung für eine Konfiguration ausführlich dokumentiert wäre, aber die DD-WRT Anleitung kann man noch um einiges verbessern. Perfect-Privacy könnte z.B. ein Script bereit stellen das die meisten OpenVPN Einstellungen und Zertifikate in NVRAM setzt (weil alle Einstellungen in NVRAM gespeichert werden). Das müsste aber von der Perfect-Privacy Seite aus passieren, weil man die Certs. hier einfach so im Forum nicht veröffentlichen sollte. Die Fehler würde man bei der Konfiguration so deutlich reduzieren.

Das ich mit der 2.4 Version nur komplett für WLAN und LAN die Firewall setzen kann ist an sich kein Problem, da beides nur für Gäste (Notebooks und Smartphones) gedacht ist.
Einzig was ich nicht auf die Reihe bekomme ist der Zugriff auf mein NAS. Hätte die Iptables Regeln zwar erweitert, aber vermutlich total falsch....

Noch eine Frage zu der Anbindung, nur um sicher zu gehen ob ich das richtig verstanden habe. Du hast ein Router der den Gästen über LAN und WLAN Internet anbietet. Dahinter ist NAS und hinter NAS ist Buffalo WHR-HP-G54 angeschlossen?
 

meinvpn

Member
Wenn ich ehrlich bin hatte ich da vor Deiner Anleitung rumprobiert, und jetzt scheinbar eine so "alte" Firmware von DD-WRT drauf, das einige Einstellungen so nicht machbar waren. Aber egal, das von Shibby ist irgendwie eh schöner :p

Nein, aktuell habe ich mein "normales" Haus-WLAN wobei der Router fürs Internet und DHCP auf Beispielsweise 192.168.1.1 hört. Hier hängt das NAS und alle Haus-PCs etc drinne. Es wird auch ein eigenes WLAN aufgespannt (was ich aber, wenn ich vom Shibby-Router ins Heimnetz komme überflüssig wäre).

der Shibby ist aktuell so eingestellt, das er Beispielsweise auf 192.168.2.1 hört und mit DHCP-Forward vom Router 192.168.1.1 DHCP weiterreicht.
und jetzt wo ich das schreibe ist mir ggf. der Fehler aufgefallen. Der Shibby vergibt IPs im Bereich 192.168.2.xxx...

Gleich mal rumtesten, da es ggf. gar kein Firewallproblem ist. :)
 

hexalum

Junior Member
hallo,
danke für die gute Anleitung;)
meine Frage leider geht das Web Monitoring, IP Traffic monitoring und Bandwidth Monitoring überhaupt nicht, ich vermute das liegt mit den iptables Einstellungen zusammen, weiß Du oder jemand anderes da eine Möglichkeit das diese Funktionen wieder laufen?
lg
 

Gerd

Active Member
Mit Web Monitoring, IP Traffic monitoring und Bandwidth Monitoring habe ich mich bis jetzt nicht auseinander gesetzt.
Ich habe auch keine Idee wo genau das Problem liegen könnte.
Hast Du schon ohne iptables versucht?
Wird im Menü Status-> Overwiev noch genug "Free Memory" und "Free NVRAM" angezeigt?
 

hexalum

Junior Member
Ohne iptables und vpn funktionieren die Funktionen perfekt, aber sobald ich die iptables rein haue, ohne die ja kein vpn geht, gehen die Funktionen nicht mehr, darum vermute ich es liegt damit zusammen, allerdings wüste ich nicht mal wo ich anfangen muss, um das Problem zu beheben.
 

JackCarver

Well-known Member
Was genau geht denn dabei nicht? Der Zugriff auf den Router um die Daten sich anzeigen zu lassen, oder werden diese Daten gar nicht mehr aufgezeichnet?
 

hexalum

Junior Member
habe das tomato-K26USB-1.28.RT-N5x-MIPSR2-132-AIO-64K Image drauf vorher das 124, bei beiden gab es bei Web Monitoring, IP Traffic monitoring mit vpn keine Aufzeichnung, habe viel rumprobiert aber ohne Erfolg....
 

JackCarver

Well-known Member
Das liegt mit hoher Wahrscheinlichkeit nicht an den iptables, da die in dem Fall nur die FORWARD Kette betreffen, es wird also nur Traffic von den iptables beeinflusst, der von oder zu Clients geht, die über den Router ins Netz gehen. Der Monitoring Traffic geht aber direkt vom Router aus und sollte von den iptables nicht betroffen sein. Es kann aber sein, dass der Router zum Monitoring Verbindungen zu IP Adressen benötigt, auf die er mit VPN nicht mehr zugreifen kann. Du müsstest also beim Routing diese Adressen vom VPN ausnehmen wozu du natürlich erstmal wissen musst welche Adressen das überhaupt sind.
 

Teddytimo

Junior Member
Hallo Gemeinde,

vor wenigen Tagen habe ich mir einen Asus RT-AC68U Router gekauft und ein Abo bei CyberGhostVPN abgeschlossen. Die verwendetet Firmware lautet Tomato Firmware 1.28.0000 -132 K26ARM USB AIO-64K
Die Konfiguration des OpenVPN für CyberGhostVPN habe ich nach dieser Anleitung gemacht:

https://support.cyberghostvpn.com/i...View/644/0/openvpn-fr-tomatousb-konfigurieren

Mein Asus Router hängt an meinen KabelBW Kabelmodem.
Mein Ziel ist verschiedene Geräte in meinem Netz über VPN und andere Geräte direkt ins Internet zu routen. Und wenn das klappt auch Port abhängig oder nur für bestimmte Domänen durch das VPN routen. Aber da bin ich noch zu weit entfernt.
In diesem Beitrag wird das ja ziemlich genau beschrieben, aber ein paar Fragen habe ich noch.


1. Oben in dem Beispiel Skript wird von PPPoE… gesprochen, da mein nächster Hop aber mein Kabelrouter ist, trifft das in meiner Konfiguration bestimmt nicht zu.
Wie sähe ein Skript für meine Umgebung aus. Unten habe ich mal einen Screenshot der Routen platziert.


2. Wenn ich unter VPN Tunneling à OpenVPN Client Configuration à Routing Policy „Redirect through VPN“ aktiviert habe und einen Eintrag gemacht habe, funktioniert der VPNtunnel nicht mehr.
Was soll eigentlich diese Option? Ersetzt die etwa alle von euch genannten Skripte? Es muss doch einen Grund geben warum man hier was eintragen kann.

Falls ich mit meinem Anliegen hier doch nicht richtig bin, bitte ich mir das nachzusehen und eventuell den Thread zu verschieben.

upload_2015-11-1_19-54-0.png

Teddytimo
 

Gerd

Active Member
Wie sähe ein Skript für meine Umgebung aus?

Über welche Ethernet Ports sollen die Endgeräte direkt ins Internet und über welche Ethernet Ports sollen die Geräte über VPN?
Wird WLAN auch eingesetzt? Soll WLAN dann über VPN oder direkt ins Internet?
 

JackCarver

Well-known Member
1,
Dass dein Asus Router an nem Kabelmodem hängt sollte nicht allzuviel Unterschiede zu der Konfiguration oben machen. Im anderen Fall ist das Modem halt im Router enthalten, was auch schon der einzige Unterschied ist. Wichtig ist das Routing deines Asus Routers um dein Vorhaben umzusetzen. Sobald dieser mit dem VPN verbunden ist wird sein gesamter Traffic übers VPN gezwungen, wenn du dabei Ausnahmen möchtest, so musst du das entsprechend der obigen Anleitung umsetzen.

2,
Diese Option besagt, dass der gesamte Traffic durch das VPN geroutet werden soll. Das ist aber nach deiner Routing Tabelle unnötig, da diese sowieso bereits alles über VPN leitet, alles mit einer Ausnahme:
Der direkten Verbindung zumPP Server. Das muss so sein, andernfalls hättest du eine Routing Schleife und der Tunnel würde zusammenbrechen. Das passiert wahrscheinlich genau dann, wenn du diese Option noch zusätzlich setzt, also lass die einfach weg.
 

Teddytimo

Junior Member
leider klappt es nicht.
Ich habe versucht den Client 192.168.1.37 nicht durch den VPN Tunnel zu routen. Im Skript habe ich br1 zu br0 geändert, da br0 mein LAN ist.
Der VPN Tunnel steht, aber alle Geräte in Netz gehen durch den Tunnel. Ohne Ausnahme.

EDIT: gerade stelle ich fest, dass ich keine Internet Verbindung mehr habe sobald ich den VPN Tunnel beende. Ich werfe die Konfiguration mal wieder raus.

upload_2015-11-2_21-14-30.png

upload_2015-11-2_21-14-45.png

upload_2015-11-2_21-14-57.png

upload_2015-11-2_21-15-9.png
 
Last edited:

JackCarver

Well-known Member
Ersetze mal im Befehl:

Code:
ip route add default via $pppoe_gateway  table 200

durch ein:

Code:
ip route add default via 192.168.0.1 table 200

Das ist ja dein eigentlicher default Gateway und wird verwendet, sobald OpenVPN getrennt ist. Damit sollte der Traffic der über br0 von 192.168.1.37 hereinkommt und der mit dem Wert 1 markiert wird Über genau diesen default Gateway gehen.
 

Teddytimo

Junior Member
das hat auch nichts gebracht. :-(
Im FW Skript habe ich tun+ durch tun11 ersetzt. Das ist ja mein Interface. Das hat auch nichts gebracht.
Nach wie vor, wenn der Tunnel sthet, geht der komplette Traffic durch und wenn der Tunnel geschlossen ist, komm ich nicht mehr ins Internet.

Kann es vielleciht auch mit meinen VPN Einstellungen zu tun haben?

upload_2015-11-2_22-1-39.png

upload_2015-11-2_22-1-55.png
 
Top