Anleitung: OpenVPN auf Routern mit DD-WRT

Discussion in 'Router' started by PP Stephan, Jun 7, 2018.

  1. PP Stephan

    PP Stephan Staff Member

    Dieser Thread bezieht sich auf die Anleitung OpenVPN auf Routern mit DD-WRT. Bitte schreibt hier nur, wenn Ihr Fragen, Anmerkungen oder anderes Feedback zu dieser Dokumentation habt. Um diesen Thread übersichtlich und frei von veralteten Postings zu halten, wird er ab und zu vom Moderatoren-Team aufgeräumt.
     
    Last edited: Jun 27, 2018
  2. j

    jostu1234 New Member

    Habe es soc versucht, aber irgendwie scheint unitymedia die udp geschichte zu blocken. somit bin ich per tcp drin, aber krauchig langsam. sein es basel oder amsterdam

    PING ms
    17
    DOWNLOAD Mbps
    8.67

    UPLOAD Mbps
    3.63


    gibts da nen fehler in der config bei mir oder ist der 1200 ac Firmware: DD-WRT v3.0-r36247 std (06/29/18) so lahm?




    Clientlog:
    20180705 09:46:42 W WARNING: Using --management on a TCP port WITHOUT passwords is STRONGLY discouraged and considered insecure
    20180705 09:46:42 W WARNING: file '/tmp/openvpncl/client.key' is group or others accessible
    20180705 09:46:42 W WARNING: file '/tmp/openvpncl/ta.key' is group or others accessible
    20180705 09:46:42 W WARNING: file '/tmp/openvpncl/credentials' is group or others accessible
    20180705 09:46:42 I OpenVPN 2.4.6 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Jun 29 2018
    20180705 09:46:42 I library versions: OpenSSL 1.1.0h 27 Mar 2018 LZO 2.09
    20180705 09:46:42 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:16
    20180705 09:46:42 W WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
    20180705 09:46:42 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    20180705 09:46:42 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
    20180705 09:46:42 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
    20180705 09:46:42 I TCP/UDP: Preserving recently used remote address: [AF_INET]85.17.64.131:301
    20180705 09:46:42 Socket Buffers: R=[87380->87380] S=[16384->16384]
    20180705 09:46:42 I Attempting to establish TCP connection with [AF_INET]85.17.64.131:301 [nonblock]
    20180705 09:46:43 I TCP connection established with [AF_INET]95.17.64.131:301
    20180705 09:46:43 W --mtu-disc is not supported on this OS
    20180705 09:46:43 I TCP_CLIENT link local: (not bound)
    20180705 09:46:43 I TCP_CLIENT link remote: [AF_INET]95.17.64.131:301
    20180705 09:46:43 TLS: Initial packet from [AF_INET]95.17.64.131:301 sid=7de40272 5ac15fe7
    20180705 09:46:43 W WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    20180705 09:46:43 VERIFY OK: depth=1 C=CH ST=Zug L=Zug O=Perfect Privacy CN=Perfect Privacy emailAddress=admin@perfect-privacy.com
    20180705 09:46:43 VERIFY OK: nsCertType=SERVER
    20180705 09:46:43 VERIFY OK: depth=0 C=CH ST=Zug O=Perfect Privacy CN=Server_amsterdam.perfect-privacy.com emailAddress=admin@perfect-privacy.com
    20180705 09:46:45 W WARNING: 'cipher' is used inconsistently local='cipher AES-128-CBC' remote='cipher AES-256-CBC'
    20180705 09:46:45 W WARNING: 'keysize' is used inconsistently local='keysize 128' remote='keysize 256'
    20180705 09:46:45 Control Channel: TLSv1.2 cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384 4096 bit RSA
    20180705 09:46:45 I [Server_amsterdam.perfect-privacy.com] Peer Connection Initiated with [AF_INET]85.17.64.131:301
    20180705 09:46:46 SENT CONTROL [Server_amsterdam.perfect-privacy.com]: 'PUSH_REQUEST' (status=1)
    20180705 09:46:46 PUSH: Received control message: 'PUSH_REPLY topology subnet redirect-gateway def1 sndbuf 131072 rcvbuf 131072 comp-lzo adaptive route-gateway 10.4.85.2 redirect-gateway ipv6 route-ipv6 2000::/3 ping 10 ping-restart 60 dhcp-option DNS 5.79.98.56 dhcp-option DNS 95.211.199.144 ifconfig-ipv6 fdbf:1d37:bbe0:0:69:13:0:116/112 fdbf:1d37:bbe0:0:69:13:0:1 ifconfig 10.4.85.16 255.255.255.0 peer-id 0 cipher AES-256-GCM'
    20180705 09:46:46 OPTIONS IMPORT: timers and/or timeouts modified
    20180705 09:46:46 NOTE: --mute triggered...
    20180705 09:46:46 2 variation(s) on previous 3 message(s) suppressed by --mute
    20180705 09:46:46 Socket Buffers: R=[346880->262144] S=[46080->262144]
    20180705 09:46:46 OPTIONS IMPORT: --ifconfig/up options modified
    20180705 09:46:46 OPTIONS IMPORT: route options modified
    20180705 09:46:46 OPTIONS IMPORT: route-related options modified
    20180705 09:46:46 NOTE: --mute triggered...
    20180705 09:46:46 4 variation(s) on previous 3 message(s) suppressed by --mute
    20180705 09:46:46 Data Channel: using negotiated cipher 'AES-256-GCM'
    20180705 09:46:46 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
    20180705 09:46:46 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
    20180705 09:46:46 GDG6: remote_host_ipv6=n/a
    20180705 09:46:46 I TUN/TAP device tun1 opened
    20180705 09:46:46 TUN/TAP TX queue length set to 100
    20180705 09:46:46 D do_ifconfig tt->did_ifconfig_ipv6_setup=1
    20180705 09:46:46 I /sbin/ifconfig tun1 10.4.85.16 netmask 255.255.255.0 mtu 1500 broadcast 10.4.85.255
    20180705 09:46:46 I /sbin/ifconfig tun1 add fdbf:1d37:bbe0::69:13:0:116/112
    20180705 09:46:46 /sbin/route add -net 85.17.64.131 netmask 255.255.255.255 gw 192.168.1.1
    20180705 09:46:46 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.4.85.2
    20180705 09:46:46 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.4.85.2
    20180705 09:46:46 I add_route_ipv6(2000::/3 -> fdbf:1d37:bbe0::69:13:0:1 metric -1) dev tun1
    20180705 09:46:46 /sbin/route -A inet6 add 2000::/3 dev tun1
    20180705 09:46:46 I add_route_ipv6:):/3 -> fdbf:1d37:bbe0::69:13:0:1 metric -1) dev tun1
    20180705 09:46:46 /sbin/route -A inet6 add ::/3 dev tun1
    20180705 09:46:46 I add_route_ipv6(2000::/4 -> fdbf:1d37:bbe0::69:13:0:1 metric -1) dev tun1
    20180705 09:46:46 /sbin/route -A inet6 add 2000::/4 dev tun1
    20180705 09:46:46 I add_route_ipv6(3000::/4 -> fdbf:1d37:bbe0::69:13:0:1 metric -1) dev tun1
    20180705 09:46:46 /sbin/route -A inet6 add 3000::/4 dev tun1
    20180705 09:46:46 I add_route_ipv6(fc00::/7 -> fdbf:1d37:bbe0::69:13:0:1 metric -1) dev tun1
    20180705 09:46:46 /sbin/route -A inet6 add fc00::/7 dev tun1
    20180705 09:46:46 I Initialization Sequence Completed
    20180705 09:49:14 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
    20180705 09:49:14 D MANAGEMENT: CMD 'state'
    20180705 09:49:14 MANAGEMENT: Client disconnected
    20180705 09:49:14 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
    20180705 09:49:14 D MANAGEMENT: CMD 'state'
    20180705 09:49:14 MANAGEMENT: Client disconnected
    20180705 09:49:14 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
    20180705 09:49:14 D MANAGEMENT: CMD 'state'
    20180705 09:49:14 MANAGEMENT: Client disconnected
    20180705 09:49:14 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
    20180705 09:49:14 D MANAGEMENT: CMD 'status 2'
    20180705 09:49:14 MANAGEMENT: Client disconnected
    20180705 09:49:14 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
    20180705 09:49:14 D MANAGEMENT: CMD 'log 500'
    19700101 01:00:00
     
    Last edited: Jul 5, 2018
  3. p

    privacy Junior Member

    Linksys wrt 1200 ac v1

    Wlan (alter Laptop) + udp

    34,73 Mbps download
    7,22 Mbps upload


    Lan (libreelec Box) (fast.com addon)

    41,5 Mbps Download
     
  4. j

    jostu1234 New Member

  5. J

    Jürgen Rudorf New Member

    Was bedeutet "100%" hinter CPU-Auslastung, die lt. den Zahlenwerten weit geringer ist:
    Auslastung 100%.JPG

    Oft muss ich nach Start des PC auf meinen VPN-Router zugreifen und auf der Seite /index.asp in seinem SETUP-Menü auf "Anwenden" klicken, um mit dem Internet verbunden zu werden.
    Dies muss ich meist so oft wiederholen, bis hinter "Auslastung" der Balken auf 100% erreicht hat, erst dann kommt eine Internetverbindung zustamde.. Ist das normal?
     
  6. p

    privacy Junior Member

    @Jürgen Rudorf

    Das ist nicht normal was für ein Router benutzt du und welche Firmware Version

    Schwache Router können auf 100% Auslastung sein aber da du mehrmals anwenden klicken musst ist nicht normal
     
  7. J

    Jürgen Rudorf New Member

    Das ist ja das Missverständnis/Grund meiner Frage! Was bedeutet die Prozentangabe? Es handelt sich um etwas anderes, nicht um die Auslastung des Prozessors, denn die beträgt im obigen Bild nur 3,93 %, 2,34 % und 1,50 %, im Hilfstext rechts steht dass sich diese Angaben auf die letzten 1, 5 und 15 Minuten beziehen. Also ist die Auslastung gering. Im Moment habe ich sogar nur jeweils ca. 1 %. Und trotzdem zeigt der Balken 50 % an, was zeigt der Balken an?
    Den Router habe ich erst dieses Jahr vorkonfiguriert aus den USA zugesendet bekommen, kostete mit Support über 400 Dollar, hier die Daten:
    Router Name
    DD-WRT
    Router-Modell
    Netgear R7000
    Firmware-Version
    DD-WRT v3.0-r34929 std (02/12/18)
    Kernel Version
    Linux 4.4.115 #2593 SMP Sat Feb 10 09:57:20 CET 2018 armv7l
    Neben dem hin und wieder auftretenden Anmeldeproblem (damit kämpfen lt. Forum viele Nutzer) habe ich noch ein zweites Problem: Trotz Aktivierung der USB-Druckerfunktion in diesem VPN-Router sehe ich den Drucker nicht, der per USB-Kabel direkt in der einzigen USB-Buchse des Routers hängt, also in seinem Netz ist. Leider fand ich nirgends (Hilfe, Forum) etwas über diese USB-Druckerfunktion. Direkt am PC über USB angesteckt läuft er, auch früher über die Fritz!box-USB-Druckerfunktion gab es kein Problem. Da ich mehrere PC hinter dem VPN-Router nutze, möchte ich den USB-Drucker dort als Netzwerkdrucker betreiben.
    Gibt es irgend jemanden, der an seinen VPN-Router einen USB-Drucker zum laufen gebracht hat?
     
  8. p

    privacy Junior Member

    Der Balken stimmt schon deine cpu ist auf 100% soviel ich weiß heißt 1,xx = 100%

    Mein Router ist gerade auf 0.10, 0.16, 0.09 und der Balken ist auf 4%


    Was sagt der Support? Hast du den Router von flashrouter ? Vielleicht die Firmware Upgraden
     
  9. b

    bigplayer Member

    Benutze selber keinen USB Drucker über meinen Router.
    Hast Du denn alles so wie in dieser Anleitung eingestellt?
    https://www.bestvpn.com/guides/sharing-your-printer-with-dd-wrt/

    Ich selber rate immer von vorkunfigurierten VPN Routern aus einem einfachen Grund ab. Spätestens wenn man mal den Server wechseln will muss man sich doch selber mit dem Thema DD-WRT, Tomato oder welche Firmware auch immer beschäftigen.
    400$ finde ich fuer den R7000 vor allem in diesem Jahr schon richtig happig. Ich habe meinen R7000 vor ca 3 Jahren neu für nur 190$ gekauft.
    In der Zwischenzeit bekommt man ihn gebraucht mit etwas Glück auf Ebay schon für 50-80 Euro.
    Was Dein Problem mit den Anmeldeproblem angeht, warum wendest Du Dich nicht an den Support? Dafür hast Du ja eigentlich den Mehrpreis bezahlt. ;)

    Ansonsten würde ich Dir raten eine modifizierte AsusWRT Merlin Software aufzuspielen.
    Ja. es gibt tatsächlich eine modifizierte Asus Software die auf dem R7000 läuft, daß ist kein Scherz.
    http://www.linksysinfo.org/index.php?threads/asuswrt-merlin-on-netgear-r7000.71108/
    Der grosse Vorteil an der Asus Software gegenüber DD-WRT ist, dass man bis zu 5 verschiedene VPN Server eintragen kann und ganz einfach über einen On/Off Button wechseln kann.
    Die Einrichtung ist auch viel einfacher. Man läd einfach die richtige Ovpn Datei hoch und fügt unten in der Kommandozeile noch ein paar Befehlszeilen ein die hier im AsusWRT Thread stehen. Eine genaue einfache Anleitung zum VPN Einrichten unter AsusWRT by Merlin gibt es hier auch im Forum. ;)
     
    Last edited: Aug 13, 2018 at 8:00 PM
  10. J

    Jürgen Rudorf New Member

    DANKE für diesen Link! Ich habe noch einen alten WIN7-PC, auf den sich diese Anleitung bezieht, damit hat es nach Neuinstallation der Druckertreiber geklappt! Aber wegen Punkt 8) dieser Anleitung ("As our reader Micah has pointed out (see comments), it is better to select ‘Do not share this printer’ here (then click ‘Next’)." steht mir der Drucker auf meinem WIN8,1-PC noch nicht zur Verfügung. Problem hier: "Drucker hinzufügen" führt automatisch erst zu einer Suche, die den Drucker natürlich noch nicht findet. Beim Klick auf den Button "Der gesuchte Drucker ist nicht aufgeführt" habe ich dann "Add a network, wireless or Bluetooth printer" wie in Punkt 2 der Anleitung ausgewählt. Dann öffnet sich aber leider nicht das Fenster zur Eingabe einer IP-Adresse (wie in Punkt 3 der Anleitung), sondern automatisch beginnt eine erneute Suche in einem Fenster mit dem Namen "Gerät hinzufügen". Dort wird ein anderer Netzwerkdrucker gefunden, der markiert/vorausgewählt ist und den ich auch nicht löschen möchte, daher kann ich nicht auf den Button "Weiter" klicken. Alternativ kann ich nur auf den Link "Ihre Suche war nicht erfolgreich?" klicken, dann erscheint aber nur das "Windows-Hilfe- und Support"-Fenster. Geanu an diesem Punkt kam ich nicht weiter. Beim WIN7-PC war das anders, dort erschien trotz des vorhandenen anderen Netzwerkdruckers die Eingabemöglichkeit für die IP-Adresse des USB-Druckers.

    PROBLEM GELÖST: Unter WIN8.1 darf ich eben nicht im Auswahlmenü "Add a network, wireless or Bluetooth printer" wählen, sondern muss die letzte Auswahlmöglichkeit nehmen, die manuelle Eingabe des IP-Anschlusses. Dort die IP des Routers eintragen. Später im leeren Auswahlfeld der Druckertreiber über den Windows-Update-Button nochmals alle Druckertreiber herunterladen lassen, was tatsächlich 5 Minuten Geduld kostet. Dann konnte ich meinen Druckertreiber auswählen und hatte schließlich mit diesen Einstellungen Erfolg (Druckt einwandfrei, nur unter Win8 sehe ich den Drucker bei der Netzwerk-Anzeige nicht.)
     

    Attached Files:

    Last edited: Aug 15, 2018 at 2:49 AM