Anleitung: OpenVPN auf Routern mit DD-WRT

[PP Stephan]

Dieser Thread bezieht sich auf die Anleitung OpenVPN auf Routern mit DD-WRT. Bitte schreibt hier nur, wenn Ihr Fragen, Anmerkungen oder anderes Feedback zu dieser Dokumentation habt. Um diesen Thread übersichtlich und frei von veralteten Postings zu halten, wird er ab und zu vom Moderatoren-Team aufgeräumt.

 

[jostu1234]

Habe es soc versucht, aber irgendwie scheint unitymedia die udp geschichte zu blocken. somit bin ich per tcp drin, aber krauchig langsam. sein es basel oder amsterdam

PING ms
17
DOWNLOAD Mbps
8.67

UPLOAD Mbps
3.63


gibts da nen fehler in der config bei mir oder ist der 1200 ac Firmware: DD-WRT v3.0-r36247 std (06/29/18) so lahm?




Clientlog:
20180705 09:46:42 W WARNING: Using --management on a TCP port WITHOUT passwords is STRONGLY discouraged and considered insecure
20180705 09:46:42 W WARNING: file '/tmp/openvpncl/client.key' is group or others accessible
20180705 09:46:42 W WARNING: file '/tmp/openvpncl/ta.key' is group or others accessible
20180705 09:46:42 W WARNING: file '/tmp/openvpncl/credentials' is group or others accessible
20180705 09:46:42 I OpenVPN 2.4.6 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Jun 29 2018
20180705 09:46:42 I library versions: OpenSSL 1.1.0h 27 Mar 2018 LZO 2.09
20180705 09:46:42 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:16
20180705 09:46:42 W WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
20180705 09:46:42 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
20180705 09:46:42 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
20180705 09:46:42 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
20180705 09:46:42 I TCP/UDP: Preserving recently used remote address: [AF_INET]85.17.64.131:301
20180705 09:46:42 Socket Buffers: R=[87380->87380] S=[16384->16384]
20180705 09:46:42 I Attempting to establish TCP connection with [AF_INET]85.17.64.131:301 [nonblock]
20180705 09:46:43 I TCP connection established with [AF_INET]95.17.64.131:301
20180705 09:46:43 W --mtu-disc is not supported on this OS
20180705 09:46:43 I TCP_CLIENT link local: (not bound)
20180705 09:46:43 I TCP_CLIENT link remote: [AF_INET]95.17.64.131:301
20180705 09:46:43 TLS: Initial packet from [AF_INET]95.17.64.131:301 sid=7de40272 5ac15fe7
20180705 09:46:43 W WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
20180705 09:46:43 VERIFY OK: depth=1 C=CH ST=Zug L=Zug O=Perfect Privacy CN=Perfect Privacy emailAddress=admin@perfect-privacy.com
20180705 09:46:43 VERIFY OK: nsCertType=SERVER
20180705 09:46:43 VERIFY OK: depth=0 C=CH ST=Zug O=Perfect Privacy CN=Server_amsterdam.perfect-privacy.com emailAddress=admin@perfect-privacy.com
20180705 09:46:45 W WARNING: 'cipher' is used inconsistently local='cipher AES-128-CBC' remote='cipher AES-256-CBC'
20180705 09:46:45 W WARNING: 'keysize' is used inconsistently local='keysize 128' remote='keysize 256'
20180705 09:46:45 Control Channel: TLSv1.2 cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384 4096 bit RSA
20180705 09:46:45 I [Server_amsterdam.perfect-privacy.com] Peer Connection Initiated with [AF_INET]85.17.64.131:301
20180705 09:46:46 SENT CONTROL [Server_amsterdam.perfect-privacy.com]: 'PUSH_REQUEST' (status=1)
20180705 09:46:46 PUSH: Received control message: 'PUSH_REPLY topology subnet redirect-gateway def1 sndbuf 131072 rcvbuf 131072 comp-lzo adaptive route-gateway 10.4.85.2 redirect-gateway ipv6 route-ipv6 2000::/3 ping 10 ping-restart 60 dhcp-option DNS 5.79.98.56 dhcp-option DNS 95.211.199.144 ifconfig-ipv6 fdbf:1d37:bbe0:0:69:13:0:116/112 fdbf:1d37:bbe0:0:69:13:0:1 ifconfig 10.4.85.16 255.255.255.0 peer-id 0 cipher AES-256-GCM'
20180705 09:46:46 OPTIONS IMPORT: timers and/or timeouts modified
20180705 09:46:46 NOTE: --mute triggered...
20180705 09:46:46 2 variation(s) on previous 3 message(s) suppressed by --mute
20180705 09:46:46 Socket Buffers: R=[346880->262144] S=[46080->262144]
20180705 09:46:46 OPTIONS IMPORT: --ifconfig/up options modified
20180705 09:46:46 OPTIONS IMPORT: route options modified
20180705 09:46:46 OPTIONS IMPORT: route-related options modified
20180705 09:46:46 NOTE: --mute triggered...
20180705 09:46:46 4 variation(s) on previous 3 message(s) suppressed by --mute
20180705 09:46:46 Data Channel: using negotiated cipher 'AES-256-GCM'
20180705 09:46:46 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
20180705 09:46:46 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
20180705 09:46:46 GDG6: remote_host_ipv6=n/a
20180705 09:46:46 I TUN/TAP device tun1 opened
20180705 09:46:46 TUN/TAP TX queue length set to 100
20180705 09:46:46 D do_ifconfig tt->did_ifconfig_ipv6_setup=1
20180705 09:46:46 I /sbin/ifconfig tun1 10.4.85.16 netmask 255.255.255.0 mtu 1500 broadcast 10.4.85.255
20180705 09:46:46 I /sbin/ifconfig tun1 add fdbf:1d37:bbe0::69:13:0:116/112
20180705 09:46:46 /sbin/route add -net 85.17.64.131 netmask 255.255.255.255 gw 192.168.1.1
20180705 09:46:46 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.4.85.2
20180705 09:46:46 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.4.85.2
20180705 09:46:46 I add_route_ipv6(2000::/3 -> fdbf:1d37:bbe0::69:13:0:1 metric -1) dev tun1
20180705 09:46:46 /sbin/route -A inet6 add 2000::/3 dev tun1
20180705 09:46:46 I add_route_ipv6:/3 -> fdbf:1d37:bbe0::69:13:0:1 metric -1) dev tun1
20180705 09:46:46 /sbin/route -A inet6 add ::/3 dev tun1
20180705 09:46:46 I add_route_ipv6(2000::/4 -> fdbf:1d37:bbe0::69:13:0:1 metric -1) dev tun1
20180705 09:46:46 /sbin/route -A inet6 add 2000::/4 dev tun1
20180705 09:46:46 I add_route_ipv6(3000::/4 -> fdbf:1d37:bbe0::69:13:0:1 metric -1) dev tun1
20180705 09:46:46 /sbin/route -A inet6 add 3000::/4 dev tun1
20180705 09:46:46 I add_route_ipv6(fc00::/7 -> fdbf:1d37:bbe0::69:13:0:1 metric -1) dev tun1
20180705 09:46:46 /sbin/route -A inet6 add fc00::/7 dev tun1
20180705 09:46:46 I Initialization Sequence Completed
20180705 09:49:14 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
20180705 09:49:14 D MANAGEMENT: CMD 'state'
20180705 09:49:14 MANAGEMENT: Client disconnected
20180705 09:49:14 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
20180705 09:49:14 D MANAGEMENT: CMD 'state'
20180705 09:49:14 MANAGEMENT: Client disconnected
20180705 09:49:14 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
20180705 09:49:14 D MANAGEMENT: CMD 'state'
20180705 09:49:14 MANAGEMENT: Client disconnected
20180705 09:49:14 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
20180705 09:49:14 D MANAGEMENT: CMD 'status 2'
20180705 09:49:14 MANAGEMENT: Client disconnected
20180705 09:49:14 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
20180705 09:49:14 D MANAGEMENT: CMD 'log 500'
19700101 01:00:00

 

[privacy]

Linksys wrt 1200 ac v1

Wlan (alter Laptop) + udp

34,73 Mbps download
7,22 Mbps upload


Lan (libreelec Box) (fast.com addon)

41,5 Mbps Download

 

[jostu1234]

tja mit dieser anleitung bzw script probiert und jetzt rennt es ... komisch komisch

PING ms
36
DOWNLOAD Mbps
47.97

UPLOAD Mbps
4.45


https://board.perfect-privacy.com/threads/dd-wrt-openvpn-script.3006/

 

[Jürgen Rudorf]

Was bedeutet "100%" hinter CPU-Auslastung, die lt. den Zahlenwerten weit geringer ist:


Oft muss ich nach Start des PC auf meinen VPN-Router zugreifen und auf der Seite /index.asp in seinem SETUP-Menü auf "Anwenden" klicken, um mit dem Internet verbunden zu werden.
Dies muss ich meist so oft wiederholen, bis hinter "Auslastung" der Balken auf 100% erreicht hat, erst dann kommt eine Internetverbindung zustamde.. Ist das normal?

 

[privacy]

@Jürgen Rudorf

Das ist nicht normal was für ein Router benutzt du und welche Firmware Version

Schwache Router können auf 100% Auslastung sein aber da du mehrmals anwenden klicken musst ist nicht normal

 

[Jürgen Rudorf]

Das ist ja das Missverständnis/Grund meiner Frage! Was bedeutet die Prozentangabe? Es handelt sich um etwas anderes, nicht um die Auslastung des Prozessors, denn die beträgt im obigen Bild nur 3,93 %, 2,34 % und 1,50 %, im Hilfstext rechts steht dass sich diese Angaben auf die letzten 1, 5 und 15 Minuten beziehen. Also ist die Auslastung gering. Im Moment habe ich sogar nur jeweils ca. 1 %. Und trotzdem zeigt der Balken 50 % an, was zeigt der Balken an?
Den Router habe ich erst dieses Jahr vorkonfiguriert aus den USA zugesendet bekommen, kostete mit Support über 400 Dollar, hier die Daten:
Router Name
DD-WRT
Router-Modell
Netgear R7000
Firmware-Version
DD-WRT v3.0-r34929 std (02/12/18)
Kernel Version
Linux 4.4.115 #2593 SMP Sat Feb 10 09:57:20 CET 2018 armv7l
Neben dem hin und wieder auftretenden Anmeldeproblem (damit kämpfen lt. Forum viele Nutzer) habe ich noch ein zweites Problem: Trotz Aktivierung der USB-Druckerfunktion in diesem VPN-Router sehe ich den Drucker nicht, der per USB-Kabel direkt in der einzigen USB-Buchse des Routers hängt, also in seinem Netz ist. Leider fand ich nirgends (Hilfe, Forum) etwas über diese USB-Druckerfunktion. Direkt am PC über USB angesteckt läuft er, auch früher über die Fritz!box-USB-Druckerfunktion gab es kein Problem. Da ich mehrere PC hinter dem VPN-Router nutze, möchte ich den USB-Drucker dort als Netzwerkdrucker betreiben.
Gibt es irgend jemanden, der an seinen VPN-Router einen USB-Drucker zum laufen gebracht hat?

 

[privacy]

Der Balken stimmt schon deine cpu ist auf 100% soviel ich weiß heißt 1,xx = 100%

Mein Router ist gerade auf 0.10, 0.16, 0.09 und der Balken ist auf 4%


Was sagt der Support? Hast du den Router von flashrouter ? Vielleicht die Firmware Upgraden

 

[bigplayer]

Gibt es irgend jemanden, der an seinen VPN-Router einen USB-Drucker zum laufen gebracht hat?

Benutze selber keinen USB Drucker über meinen Router.
Hast Du denn alles so wie in dieser Anleitung eingestellt?
https://www.bestvpn.com/guides/sharing-your-printer-with-dd-wrt/

Den Router habe ich erst dieses Jahr vorkonfiguriert aus den USA zugesendet bekommen, kostete mit Support über 400 Dollar, hier die Daten:

Ich selber rate immer von vorkunfigurierten VPN Routern aus einem einfachen Grund ab. Spätestens wenn man mal den Server wechseln will muss man sich doch selber mit dem Thema DD-WRT, Tomato oder welche Firmware auch immer beschäftigen.
400$ finde ich fuer den R7000 vor allem in diesem Jahr schon richtig happig. Ich habe meinen R7000 vor ca 3 Jahren neu für nur 190$ gekauft.
In der Zwischenzeit bekommt man ihn gebraucht mit etwas Glück auf Ebay schon für 50-80 Euro.
Was Dein Problem mit den Anmeldeproblem angeht, warum wendest Du Dich nicht an den Support? Dafür hast Du ja eigentlich den Mehrpreis bezahlt.

Ansonsten würde ich Dir raten eine modifizierte AsusWRT Merlin Software aufzuspielen.
Ja. es gibt tatsächlich eine modifizierte Asus Software die auf dem R7000 läuft, daß ist kein Scherz.
http://www.linksysinfo.org/index.php?threads/asuswrt-merlin-on-netgear-r7000.71108/
Der grosse Vorteil an der Asus Software gegenüber DD-WRT ist, dass man bis zu 5 verschiedene VPN Server eintragen kann und ganz einfach über einen On/Off Button wechseln kann.
Die Einrichtung ist auch viel einfacher. Man läd einfach die richtige Ovpn Datei hoch und fügt unten in der Kommandozeile noch ein paar Befehlszeilen ein die hier im AsusWRT Thread stehen. Eine genaue einfache Anleitung zum VPN Einrichten unter AsusWRT by Merlin gibt es hier auch im Forum.

 

[Jürgen Rudorf]

Benutze selber keinen USB Drucker über meinen Router.
Hast Du denn alles so wie in dieser Anleitung eingestellt?
https://www.bestvpn.com/guides/sharing-your-printer-with-dd-wrt/

DANKE für diesen Link! Ich habe noch einen alten WIN7-PC, auf den sich diese Anleitung bezieht, damit hat es nach Neuinstallation der Druckertreiber geklappt! Aber wegen Punkt 8) dieser Anleitung ("As our reader Micah has pointed out (see comments), it is better to select ‘Do not share this printer’ here (then click ‘Next’)." steht mir der Drucker auf meinem WIN8,1-PC noch nicht zur Verfügung. Problem hier: "Drucker hinzufügen" führt automatisch erst zu einer Suche, die den Drucker natürlich noch nicht findet. Beim Klick auf den Button "Der gesuchte Drucker ist nicht aufgeführt" habe ich dann "Add a network, wireless or Bluetooth printer" wie in Punkt 2 der Anleitung ausgewählt. Dann öffnet sich aber leider nicht das Fenster zur Eingabe einer IP-Adresse (wie in Punkt 3 der Anleitung), sondern automatisch beginnt eine erneute Suche in einem Fenster mit dem Namen "Gerät hinzufügen". Dort wird ein anderer Netzwerkdrucker gefunden, der markiert/vorausgewählt ist und den ich auch nicht löschen möchte, daher kann ich nicht auf den Button "Weiter" klicken. Alternativ kann ich nur auf den Link "Ihre Suche war nicht erfolgreich?" klicken, dann erscheint aber nur das "Windows-Hilfe- und Support"-Fenster. Geanu an diesem Punkt kam ich nicht weiter. Beim WIN7-PC war das anders, dort erschien trotz des vorhandenen anderen Netzwerkdruckers die Eingabemöglichkeit für die IP-Adresse des USB-Druckers.

PROBLEM GELÖST: Unter WIN8.1 darf ich eben nicht im Auswahlmenü "Add a network, wireless or Bluetooth printer" wählen, sondern muss die letzte Auswahlmöglichkeit nehmen, die manuelle Eingabe des IP-Anschlusses. Dort die IP des Routers eintragen. Später im leeren Auswahlfeld der Druckertreiber über den Windows-Update-Button nochmals alle Druckertreiber herunterladen lassen, was tatsächlich 5 Minuten Geduld kostet. Dann konnte ich meinen Druckertreiber auswählen und hatte schließlich mit diesen Einstellungen Erfolg (Druckt einwandfrei, nur unter Win8 sehe ich den Drucker bei der Netzwerk-Anzeige nicht.)

 

[jru]

Hallo Stephan,

Dieser Thread bezieht sich auf die Anleitung OpenVPN auf Routern mit DD-WRT. Bitte schreibt hier nur, wenn Ihr Fragen, Anmerkungen oder anderes Feedback zu dieser Dokumentation habt. Um diesen Thread übersichtlich und frei von veralteten Postings zu halten, wird er ab und zu vom Moderatoren-Team aufgeräumt.

bin ich denn der einzige, der wieder Deine Hilfe braucht? - Ich habe die PP-Lizenz wieder für 2 Jahre verlängert und meine alte Firmware aus 2018 auf diese neuste Version vom 24.11.2020 aktualisiert:



Nach vielen Tagen probieren und streng nach Deiner Anleitung kam ich mit meinem Router Netgear 7000 (hinter der Fritz!box 7590) noch nie wieder über VPN ins Internet. Hier die Serverantworten aus Frankfurt vom letzten Anmeldeversuch, was will der Server mir damit sagen?



Durch die neue Firmware hat sich die Managementoberfläche geringfügig geändert, einige wenige Optionen sind dazugekommen, Deine Muster-Screens passen nicht mehr 100 %ig. Vielleicht muss auf den Servern noch die unbekannte "linux-gnu ... bekannt gemacht werden ??

 

[Gerd]

Flash mal die aktuellste Version, halte dich an die PP-Anleitung und ändere folgende Einstellungen anhand der Bilder.

hand-window 120
inactive 604800
mute-replay-warnings
remote-cert-tls server
persist-remote-ip
reneg-sec 3600
resolv-retry 60
route-delay 2
route-method exe
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
key-direction 1

 

[jru]

Danke, dann muss ich jetzt wohl wieder eine ältere Firmware Build 44715 vom 03.11.2020 aufspielen?
https://dd-wrt.com/support/router-database/?model=R7000_v1
Denn das ist jetzt die neuste in dieser Datenbank, vorher wurde dort das höhere Build 44863 vom 24.11.2020 für den Router Netgear R7000 bereitgestellt, mit dem ich nicht klar kam.

 

[Gerd]

Danke, dann muss ich jetzt wohl wieder eine ältere Firmware Build 44715 vom 03.11.2020 aufspielen?

Sorry. Ich habe mich undeutlich ausgedrückt. Ich habe von der beta Firmware gesprochen. Die ist etwas aktueller als die Stable Datenbank, von der du deine Firmware hast.

Hier kannst du die beta Firmware vom 21.03.2021 für deinen Router downloaden.

Dein oberer Log hat wahrscheinlich angegeben, dass die Time Settings nicht stimmen.
Gib unter Setup-> Basic Setup-> Time Settings-> Server IP/Name den Eintrag de.pool.ntp.org an.
Danach müsste es wieder laufen.

Falls du auf die beta Firmware flashst, dann kannst du meine Einstellungen verwenden.

 

[blasen]

Huhu, nachdem update auf das neuste DD-WRT geht bei mir überhaupt nichts mehr. Die Anleitung scheint nicht mehr aktuell zu sein. Jemand eine Idee?

Unter Status wird überhaupt nichts angezeigt.

 

[Gerd]

Es gibt viele Möglichkeiten DD-WRT zu konfigurieren.

Eine davon ist:

1. Setup/Basic Setup/Time Settings
- NTP Client aktivieren
- Time Zone: Europe/Berlin
- Server IP/Name: de.pool.ntp.org

2. Services/VPN






Additional Config:

hand-window 120
inactive 604800
mute-replay-warnings
remote-cert-tls server
persist-remote-ip
reneg-sec 3600
resolv-retry 60
route-delay 2
route-method exe
tls-cipher TLS_CHACHA20_POLY1305_SHA256:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS_AES_256_GCM_SHA384:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
key-direction 1

3. Administration/Commands:
Die unteren Firewallregeln weglassen.

iptables --flush FORWARD
iptables -P FORWARD DROP
iptables -I FORWARD -o tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -t nat -I POSTROUTING -o tun+ -j MASQUERADE

 

[meinvpn]

Rein interessehalber.....nachdem ich meinen alten Archer C9 auf DD-WRT (47911) umgerüstet habe, würde mich interessieren, was ich genau einstellen muss, wenn ich ChaCha20 nutzen möchte ?
Hätte jetzt gegenüber dem letzten Post von Gerd nur die Encryption Cipher umgestellt. Reicht das ?

 

[Gerd]

Reicht das ?

Ja, das reicht völlig aus.