Tipps & Tricks: OpenVPN auf einem Router mit TomatoUSB Mod von Shibby

[hexalum]

Hallo,
Mit den neuen config im Download Bereich geht diese Anleitung nicht mehr.
Die Dateien
ca /jffs/openvpn/config/ca.crt
cert /jffs/openvpn/config/Amsterdam_cl.crt
key /jffs/openvpn/config/Amsterdam_cl.key
tls-auth /jffs/openvpn/config/Amsterdam_ta
Gibt es nicht mehr in der Config
Jetzt gibt es nur eine Amsterdam.ovpn
Kann die Anleitung bitte wieder jemand fixen Danke lg

 

[Gerd]

Hallo hexalum.

Die Anleitung wurde aktualisiert. Im Grunde genommen muss man nur aus der Server.ovpn Datei mehrere Dateien erstellen. Das ist alles.

Grüße

 

[hexalum]

Hallo,
Jepp das habe ich als erstes versucht leider ohne Erfolg
Finde den Fehler einfach nicht, vielleicht kann kann mir ja jemand helfen????
https://pastebin.com/Vzs3DAiy
Habe das
Tomato-R7000-ARM--140-VPN-64K Image
Danke lg

 

[Gerd]

Die "Custom configuration" hat sich auch mit der neuen Server.ovpn Datei geändert.

Da muss man auch experimentieren. Ich würde (ohne es selbst getestet zu haben) folgendes in meinem Beispiel für UDP ausprobieren:

tun-mtu 1500
fragment 1300
mssfix
auth SHA512
#float
hand-window 120
inactive 604800
mute-replay-warnings
ns-cert-type server
persist-key
persist-remote-ip
persist-tun
ping 5
ping-restart 120
redirect-gateway def1
reneg-sec 3600
resolv-retry 60
route-delay 2
route-method exe
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
verb 4
tun-ipv6
key-direction 1
ca /jffs/openvpn/config/ca.crt
cert /jffs/openvpn/config/Amsterdam_cl.crt
key /jffs/openvpn/config/Amsterdam_cl.key
tls-auth /jffs/openvpn/config/Amsterdam_ta.key 1

Ich bin mir nicht sicher, ob da "tun-ipv6" rein gehört. Teste es mal.

Seit wann gibt es eigentlich die neuen Konfigurationsdateien?

Grüße



Edit:
Da ist der Fehler in deiner Log @hexalum

Jun  9 22:20:39 RT-b07fb9a06849 daemon.err openvpn[4436]: Linux ifconfig inet6 failed: external program exited with error status: 1

Eine Möglichkeit wäre wie bei DD-WRT diese Zeilen in "Custom configuration" hinzuzufügen, um IPV6 zu deaktivieren:

pull-filter ignore "route-ipv6"
pull-filter ignore "ifconfig-ipv6"

Oder IPV6 zu aktivieren. Nach der Lösung würde ich dazu in diesem Forum suchen.

Grüße

 

[hexalum]

Hallo,
also habe jetzt ein paar Sachen durchgetestet und habe es zum laufen bekommen, mal sehen ob das auch längerfristig was ist und wie safe die ganze Konfiguration ist, vielleicht schaut sich das jemand noch mal an....

Spoiler: Änderungen

Der Anleitung auf Seite 1 folgen und diese Dinge verändern.

• Auf Basic/IPv6 gehen
• und bei IPv6 Servive Typ auf 6dr from DHCPv4 (Option 212) umschalten

• Die Custom Configuration ändern

"Custom configuration"

script-security 2
ns-cert-type server
tun-mtu 1500
fragment 1300
mssfix
float
reneg-sec 86400
resolv-retry 60
persist-key
persist-tun
persist-remote-ip
route-method exe
route-delay 2
hand-window 120
tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
auth SHA512
verb 4
inactive 604800
ping 5
ping-restart 120
replay-window 512 60
mute-replay-warnings

comp-lzo
dev tun
hand-window 120
nobind
ns-cert-type server
redirect-gateway def1
remote-random
reneg-sec 3600
tls-timeout 5
key-direction 1

ca /jffs/openvpn/config/ca.crt
cert /jffs/openvpn/config/Amsterdam_cl.crt
key /jffs/openvpn/config/Amsterdam_cl.key
tls-auth /jffs/openvpn/config/Amsterdam_ta.key 1

• Dann neu Starten

lg

 

[Gerd]

Ich habe momentan keine Möglichkeit einiges auszuprobieren @hexalum. Vielleicht kommst du da weiter.

Irgendwo in der Tomato Gui kann man Befehle ausführen. Ich glaube unter dem Menü Tools.

Wenn man da

cat /etc/openvpn/client1/config.ovpn

oder

cat /tmp/etc/openvpn/client1/config.ovpn

ausführt, dann werden unter der Zeile "# Automatically generated configuration" Befehle aufgelistet, die durch die GUI gesetzt wurden.

Weiter unten werden im Text "# Custom Configuration" die restlichen Befehle ausgelistet.

Die Befehle von "# Automatically generated configuration" und "# Custom Configuration" zusammen müsste man dann z.B. mit der Amsterdam.ovpn Datei abgleichen.
So würde man verhindern, dass Befehle doppelt ausgeführt werden.

 

[hexalum]

Hallo,
Habe die Doppelten Einträge mal entfernt....
Danke @Gerd werde Deine Möglichkeit mal bei Zeit mal testen lg

 

[Aero]

Guten Morgen
Evt. kann mir einer hier helfen

Ich nutze zusätzlich PeerBlock
Seit geraumer Zeit blockiert er mir die Ip Adresse UDP
192.168.1.37:889 mit dem Eintrag : body4u.diy.myrice.com
Und nein ich habe kein Virus von dieser Art auf dem PC
Der Eintrag unter Device List :
br0 94:dE:80:63:C0:9F(MacAdresse)
Ip Adresse 192.168.1.37

Grüße

 

[privacy]

@Aero

https://forums.malwarebytes.com/topic/150080-body4udiymyricecom/


Vielleicht mal Browser addons überprüfen oder neu installieren

 

[Aero]

Guten Morgen
Danke für die schnelle Antwort
Aber bei mir geht es in einer anderen Richtung
Wenn ich übern den Router laufe kommt diese Meldung
Wenn ich den Router enziehe und den manager benutze kommt diese Meldung nicht mehr
Im Browser ist alles gut

 

[Gerd]

Seit geraumer Zeit blockiert er mir die Ip Adresse UDP
192.168.1.37:889 mit dem Eintrag : body4u.diy.myrice.com

Warum entfernst du nicht den Eintrag 192.168.1.37:889 von PeerBlock manuell?

Wenn du die Blocklisten über Peerblock runterlädst, dann muss PeerBlock die irgendwo auf dem Rechner speichern. Dann den Eintrag raus suchen und ihn entfernen.

 

[Aero]

Hi Gerd
Könnte man machen
Aber warum Blockt PeerBlock es dann
Hat ja eingendlich einen Grund ,warum die Ip`s geblockt werden oder ??
Möchte den Sinn verstehen

 

[Gerd]

Möchte den Sinn verstehen

Über welche IP greifst du auf den Router zu, über 192.168.1.1?

Wenn das der Fall ist, dann könnte man das vielleicht ändern, indem man dem Router eine andere IP vergibt. Z.B. mit 192.168.2.1 mit der DHCP Range 192.168.2.10-192.168.2.255.
Denn PeerBlock kann ja nicht wissen, ob hinter dem Rechner noch ein Router mit VPN dran hängt und auf die IP 192.168.1.1 hört.

 

[Aero]

Hi Gerd

Das könnte man machen
Danke Dir
Und sorry das ich hier rumspame

 

[Gerd]

Mit rumspammen hat das für mich nichts zu tun. Das Problem hatte ja auch etwas mit Router zu tun.
Daher alles OK

 

[privacy]

Kann es sein das du adblock/malware Filter über Perfect Privacy aktiviert hast? Wenn du dann denn ppmanager benutzt blockt er ja auch malware Und bei deinem Tomato Router benutzt du vielleicht andere DNS Server (Google?) statt die pp DNS deshalb blockt peerblock die domain

 

[Aero]

Hi......
Im Asus Router habe ich den shibby Adblocker auf Enable und das schon von Beginn an
Da hatte PP noch gar nicht die Option
Deshalb habe ich dieses auch aus in der Konfigutation bei PP ( es muss ja nicht heißen Doppel gemoppelt hält besser )
Die DNS Server werden nur durch PP DNS ersetzt

Hier mal die Liste die von shibby :

http://winhelp2002.mvps.org/hosts.txt
On http://adaway.org/hosts.txt
On http://hosts-file.net/ad_servers.txt
On http://www.malwaredomainlist.com/hostslist/hosts.txt
On http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
On http://someonewhocares.org/hosts/zero/hosts
On https://raw.githubusercontent.com/WindowsLies/BlockWindows/master/hosts Windows 10
On http://sysctl.org/cameleon/hosts
On http://adblock.gjtech.net/?format=hostfile

Grüße

 

[Dschunglegold]

Hallo und grüße aus dem Dschungel s0-Asia

vielen Danke für das tolle Howto. Ich betreibe meinen eigenen VPN Server und habe mir die für mich wichtigen sachen raus gesucht. ein iptables "kenner" bin ich jedoch nicht und da kommen nun auch kleinere Problemchen.

Da mein kompletter Router alles über VPN schicken soll, habe ich lediglich den folgenden Teil übernommen:

Scripts >> Firewall
iptables --flush FORWARD
iptables -P FORWARD DROP
iptables -I FORWARD -o tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -t nat -I POSTROUTING -o tun+ -j MASQUERADE

das funktioniert auch. nur habe ich aus dem LAN und WLAN heraus keinen zugriff auf die IP des VPN Servers nachdem der Tunnel erfolgreich steht.

ein iptables log sagt:
Aug 13 18:07:54 unknown kern.warn kernel: IPTables-Dropped: IN=br0 OUT=vlan2 SRC=192.168.2.183 DST=xx.xx.xx.xx LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=28615 DF PROTO=ICMP TYPE=8 CODE=0 ID=28791 SEQ=279
wobei xx.xx.xx.xx die IP meines VPN Servers ist.

es laufen daruf eben auch noch Mail-Server und hin und wieder will ich auch per SSH drauf -- wie kann ich das erlauben?


zum Thema Privacy ist mir noch was kritisches aufgefallen.

während der Router startet und während der VPN tunnel auf oder ab gebaut werden kommen immer mal wieder ein paar pakete ohne VPN durch.

ich habe das mehrfach getestet mit einem:
ping -i 0.2 server.ip

auf server.ip ein tcpdump |grep ip.meines.providers

wenn ich den router neu starte kommen 2-4 ping pakete von der providerIP die ich eigentlich verbergen möchte. beim vpn stop/start ist mir das auch mal aufgefallen.

 

[Gerd]

während der Router startet und während der VPN tunnel auf oder ab gebaut werden kommen immer mal wieder ein paar pakete ohne VPN durch.

Danke für die Rückmeldung. Ein iptables "kenner" bin ich auch nicht und ich kann nur vorschlagen das noch einmal mit den iptables von DD-WRT zu testen. Also:

Die erste Zeile mit "iptables --flush FORWARD" und ohne am Anfang ausprobieren:

iptables --flush FORWARD

+

iptables -I FORWARD -i br0 -o tun11 -j ACCEPT
iptables -I FORWARD -i tun11 -o br0 -j ACCEPT
iptables -I INPUT -i tun11 -j REJECT
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE

TUN11 wäre in diesem Fall der Client1 und TUN12 der Client2.

Hier noch ein Zitat von privacy:

wenn du willst das sich die geräte NICHT verbinden ohne eine openvpn verbindung dann musst du in die firewall

iptables -I FORWARD -i br0 -o vlan2 -j DROP

ODER

iptables -I FORWARD -i br0 -o vlan1 -j DROP

einfügen

 

[Aero]

Hi

Dschunglegold wie sind den die Einstellung unter Advanced // Firerwall.........und unter Adminstration // Script WAN Up

Grüße