OpenVPN auf einem Router mit TomatoUSB Mod von Shibby

Discussion in 'Router' started by Gerd, Mar 16, 2015.

  1. hexalum

    hexalum New Member

    Hallo,
    Mit den neuen config im Download Bereich geht diese Anleitung nicht mehr.
    Die Dateien
    ca /jffs/openvpn/config/ca.crt
    cert /jffs/openvpn/config/Amsterdam_cl.crt
    key /jffs/openvpn/config/Amsterdam_cl.key
    tls-auth /jffs/openvpn/config/Amsterdam_ta
    Gibt es nicht mehr in der Config
    Jetzt gibt es nur eine Amsterdam.ovpn
    Kann die Anleitung bitte wieder jemand fixen Danke lg
     
  2. Gerd

    Gerd Junior Member

    Hallo hexalum.

    Die Anleitung wurde aktualisiert. Im Grunde genommen muss man nur aus der Server.ovpn Datei mehrere Dateien erstellen. Das ist alles.

    Grüße
     
  3. hexalum

    hexalum New Member

    Hallo,
    Jepp das habe ich als erstes versucht leider ohne Erfolg :mad:
    Finde den Fehler einfach nicht, vielleicht kann kann mir ja jemand helfen????
    https://pastebin.com/Vzs3DAiy
    Habe das
    Tomato-R7000-ARM--140-VPN-64K Image
    Danke lg
     
  4. Gerd

    Gerd Junior Member

    Die "Custom configuration" hat sich auch mit der neuen Server.ovpn Datei geändert.

    Da muss man auch experimentieren. Ich würde (ohne es selbst getestet zu haben) folgendes in meinem Beispiel für UDP ausprobieren:

    Code:
    tun-mtu 1500
    fragment 1300
    mssfix
    auth SHA512
    #float
    hand-window 120
    inactive 604800
    mute-replay-warnings
    ns-cert-type server
    persist-key
    persist-remote-ip
    persist-tun
    ping 5
    ping-restart 120
    redirect-gateway def1
    reneg-sec 3600
    resolv-retry 60
    route-delay 2
    route-method exe
    tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
    tls-timeout 5
    verb 4
    tun-ipv6
    key-direction 1
    ca /jffs/openvpn/config/ca.crt
    cert /jffs/openvpn/config/Amsterdam_cl.crt
    key /jffs/openvpn/config/Amsterdam_cl.key
    tls-auth /jffs/openvpn/config/Amsterdam_ta.key 1
    Ich bin mir nicht sicher, ob da "tun-ipv6" rein gehört. Teste es mal.

    Seit wann gibt es eigentlich die neuen Konfigurationsdateien?

    Grüße



    Edit:
    Da ist der Fehler in deiner Log @hexalum
    Code:
    Jun  9 22:20:39 RT-b07fb9a06849 daemon.err openvpn[4436]: Linux ifconfig inet6 failed: external program exited with error status: 1
    Eine Möglichkeit wäre wie bei DD-WRT diese Zeilen in "Custom configuration" hinzuzufügen, um IPV6 zu deaktivieren:

    Code:
    pull-filter ignore "route-ipv6"
    pull-filter ignore "ifconfig-ipv6"
    Oder IPV6 zu aktivieren. Nach der Lösung würde ich dazu in diesem Forum suchen.

    Grüße
     
    Last edited: Jun 10, 2017
  5. hexalum

    hexalum New Member

    Hallo,
    also habe jetzt ein paar Sachen durchgetestet und habe es zum laufen bekommen, mal sehen ob das auch längerfristig was ist und wie safe die ganze Konfiguration ist, vielleicht schaut sich das jemand noch mal an....

    Der Anleitung auf Seite 1 folgen und diese Dinge verändern.
    • Auf Basic/IPv6 gehen
    • und bei IPv6 Servive Typ auf 6dr from DHCPv4 (Option 212) umschalten
    [​IMG]
    • Die Custom Configuration ändern
    "Custom configuration"
    Code:
    script-security 2
    ns-cert-type server
    tun-mtu 1500
    fragment 1300
    mssfix
    float
    reneg-sec 86400
    resolv-retry 60
    persist-key
    persist-tun
    persist-remote-ip
    route-method exe
    route-delay 2
    hand-window 120
    tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
    auth SHA512
    verb 4
    inactive 604800
    ping 5
    ping-restart 120
    replay-window 512 60
    mute-replay-warnings
    
    comp-lzo
    dev tun
    hand-window 120
    nobind
    ns-cert-type server
    redirect-gateway def1
    remote-random
    reneg-sec 3600
    tls-timeout 5
    key-direction 1
    
    ca /jffs/openvpn/config/ca.crt
    cert /jffs/openvpn/config/Amsterdam_cl.crt
    key /jffs/openvpn/config/Amsterdam_cl.key
    tls-auth /jffs/openvpn/config/Amsterdam_ta.key 1
    
    • Dann neu Starten

    lg
     
    Last edited: Jun 14, 2017
  6. Gerd

    Gerd Junior Member

    Ich habe momentan keine Möglichkeit einiges auszuprobieren @hexalum. Vielleicht kommst du da weiter.

    Irgendwo in der Tomato Gui kann man Befehle ausführen. Ich glaube unter dem Menü Tools.

    Wenn man da
    Code:
    cat /etc/openvpn/client1/config.ovpn
    oder
    Code:
    cat /tmp/etc/openvpn/client1/config.ovpn
    ausführt, dann werden unter der Zeile "# Automatically generated configuration" Befehle aufgelistet, die durch die GUI gesetzt wurden.

    Weiter unten werden im Text "# Custom Configuration" die restlichen Befehle ausgelistet.

    Die Befehle von "# Automatically generated configuration" und "# Custom Configuration" zusammen müsste man dann z.B. mit der Amsterdam.ovpn Datei abgleichen.
    So würde man verhindern, dass Befehle doppelt ausgeführt werden.
     
  7. hexalum

    hexalum New Member

    Hallo,
    Habe die Doppelten Einträge mal entfernt....
    Danke @Gerd werde Deine Möglichkeit mal bei Zeit mal testen lg
     
  8. Aero

    Aero Member

    Guten Morgen
    Evt. kann mir einer hier helfen

    Ich nutze zusätzlich PeerBlock
    Seit geraumer Zeit blockiert er mir die Ip Adresse UDP
    192.168.1.37:889 mit dem Eintrag : body4u.diy.myrice.com
    Und nein ich habe kein Virus von dieser Art auf dem PC :)
    Der Eintrag unter Device List :
    br0 94:dE:80:63:C0:9F(MacAdresse)
    Ip Adresse 192.168.1.37

    Grüße
     
  9. privacy

    privacy Junior Member

  10. Aero

    Aero Member

    Guten Morgen
    Danke für die schnelle Antwort
    Aber bei mir geht es in einer anderen Richtung
    Wenn ich übern den Router laufe kommt diese Meldung
    Wenn ich den Router enziehe und den manager benutze kommt diese Meldung nicht mehr
    Im Browser ist alles gut
     
  11. Gerd

    Gerd Junior Member

    Warum entfernst du nicht den Eintrag 192.168.1.37:889 von PeerBlock manuell?

    Wenn du die Blocklisten über Peerblock runterlädst, dann muss PeerBlock die irgendwo auf dem Rechner speichern. Dann den Eintrag raus suchen und ihn entfernen.
     
  12. Aero

    Aero Member

    Hi Gerd
    Könnte man machen
    Aber warum Blockt PeerBlock es dann
    Hat ja eingendlich einen Grund ,warum die Ip`s geblockt werden oder ??
    Möchte den Sinn verstehen
     
  13. Gerd

    Gerd Junior Member

    Über welche IP greifst du auf den Router zu, über 192.168.1.1?

    Wenn das der Fall ist, dann könnte man das vielleicht ändern, indem man dem Router eine andere IP vergibt. Z.B. mit 192.168.2.1 mit der DHCP Range 192.168.2.10-192.168.2.255.
    Denn PeerBlock kann ja nicht wissen, ob hinter dem Rechner noch ein Router mit VPN dran hängt und auf die IP 192.168.1.1 hört.
     
  14. Aero

    Aero Member

    Hi Gerd

    Das könnte man machen
    Danke Dir
    Und sorry das ich hier rumspame
     
  15. Gerd

    Gerd Junior Member

    Mit rumspammen hat das für mich nichts zu tun. Das Problem hatte ja auch etwas mit Router zu tun.
    Daher alles OK ;)
     
  16. privacy

    privacy Junior Member

    Kann es sein das du adblock/malware Filter über Perfect Privacy aktiviert hast? Wenn du dann denn ppmanager benutzt blockt er ja auch malware Und bei deinem Tomato Router benutzt du vielleicht andere DNS Server (Google?) statt die pp DNS deshalb blockt peerblock die domain
     
  17. Aero

    Aero Member

    Hi......
    Im Asus Router habe ich den shibby Adblocker auf Enable und das schon von Beginn an
    Da hatte PP noch gar nicht die Option
    Deshalb habe ich dieses auch aus in der Konfigutation bei PP ( es muss ja nicht heißen Doppel gemoppelt hält besser :) )
    Die DNS Server werden nur durch PP DNS ersetzt

    Hier mal die Liste die von shibby :

    http://winhelp2002.mvps.org/hosts.txt
    On http://adaway.org/hosts.txt
    On http://hosts-file.net/ad_servers.txt
    On http://www.malwaredomainlist.com/hostslist/hosts.txt
    On http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
    On http://someonewhocares.org/hosts/zero/hosts
    On https://raw.githubusercontent.com/WindowsLies/BlockWindows/master/hosts Windows 10
    On http://sysctl.org/cameleon/hosts
    On http://adblock.gjtech.net/?format=hostfile

    Grüße
     
  18. Dschunglegold

    Dschunglegold New Member

    Hallo und grüße aus dem Dschungel s0-Asia :)

    vielen Danke für das tolle Howto. Ich betreibe meinen eigenen VPN Server und habe mir die für mich wichtigen sachen raus gesucht. ein iptables "kenner" bin ich jedoch nicht und da kommen nun auch kleinere Problemchen.

    Da mein kompletter Router alles über VPN schicken soll, habe ich lediglich den folgenden Teil übernommen:

    Scripts >> Firewall
    iptables --flush FORWARD
    iptables -P FORWARD DROP
    iptables -I FORWARD -o tun+ -j ACCEPT
    iptables -I FORWARD -i tun+ -j ACCEPT
    iptables -t nat -I POSTROUTING -o tun+ -j MASQUERADE

    das funktioniert auch. nur habe ich aus dem LAN und WLAN heraus keinen zugriff auf die IP des VPN Servers nachdem der Tunnel erfolgreich steht.

    ein iptables log sagt:
    Aug 13 18:07:54 unknown kern.warn kernel: IPTables-Dropped: IN=br0 OUT=vlan2 SRC=192.168.2.183 DST=xx.xx.xx.xx LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=28615 DF PROTO=ICMP TYPE=8 CODE=0 ID=28791 SEQ=279
    wobei xx.xx.xx.xx die IP meines VPN Servers ist.

    es laufen daruf eben auch noch Mail-Server und hin und wieder will ich auch per SSH drauf -- wie kann ich das erlauben?


    zum Thema Privacy ist mir noch was kritisches aufgefallen.

    während der Router startet und während der VPN tunnel auf oder ab gebaut werden kommen immer mal wieder ein paar pakete ohne VPN durch.

    ich habe das mehrfach getestet mit einem:
    ping -i 0.2 server.ip

    auf server.ip ein tcpdump |grep ip.meines.providers

    wenn ich den router neu starte kommen 2-4 ping pakete von der providerIP die ich eigentlich verbergen möchte. beim vpn stop/start ist mir das auch mal aufgefallen.
     
  19. Gerd

    Gerd Junior Member

    Danke für die Rückmeldung. Ein iptables "kenner" bin ich auch nicht und ich kann nur vorschlagen das noch einmal mit den iptables von DD-WRT zu testen. Also:

    Die erste Zeile mit "iptables --flush FORWARD" und ohne am Anfang ausprobieren:
    Code:
    iptables --flush FORWARD
    +
    Code:
    iptables -I FORWARD -i br0 -o tun11 -j ACCEPT
    iptables -I FORWARD -i tun11 -o br0 -j ACCEPT
    iptables -I INPUT -i tun11 -j REJECT
    iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE
    TUN11 wäre in diesem Fall der Client1 und TUN12 der Client2.

    Hier noch ein Zitat von privacy:

     
  20. Aero

    Aero Member

    Hi

    Dschunglegold wie sind den die Einstellung unter Advanced // Firerwall.........und unter Adminstration // Script WAN Up

    Grüße