10
Dd-wrt OpenVPN Backup-VPN auf zweit Router
Hallo,
ich haben auf einen dd-wrt Router A (192.168.X.A) OpenVPN-Server laufen und es funktioniert, nach dieser Anleitung nach:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ich möchte nun aus Unterschiedlichen Gründen ein Backup OpenVPN-Server dd-wrt Router B (192.168.X.B).
Dazu habe ich die Config auf dem Router (192.168.X.A) erweitert:
Die OpenVPN Config auf dem Router B (192.168.X.B) ist identisch mit Router A (192.168.X.A) außer dem OpenVPN Port. Auf dem Router B ist die Firewall und NAT abgeschaltet (weitere Detail siehe Grafik).
Ich finde nun nicht den Konfigurationsfehler, bzw. meinen logischen Fehler nicht.
THX
ich haben auf einen dd-wrt Router A (192.168.X.A) OpenVPN-Server laufen und es funktioniert, nach dieser Anleitung nach:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ich möchte nun aus Unterschiedlichen Gründen ein Backup OpenVPN-Server dd-wrt Router B (192.168.X.B).
Dazu habe ich die Config auf dem Router (192.168.X.A) erweitert:
Akzeptiert eingehende Anfragen am Port UDP 1194.
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT
iptables -I INPUT 1 -p udp --dport 1195 -j ACCEPT
Erlaubt den VPN Clients den Zugriff auf routerinterne Prozesse (Weboberfl&#-28;che, SSH etc)
iptables -I INPUT 3 -i tun0 -j ACCEPT
Erlaubt Verbindungen zwischen VPN Clients sofern "Client-to-Client" bei OpenVPN aktiviert ist.
iptables -I FORWARD 3 -i tun0 -o tun0 -j ACCEPT
Erlaubt Verbindungen vom lokalen Netz ins VPN Netz und umgekehrt (br0 steht f&#-4;r LAN und WLAN).
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
Im NAT habe ich folgende Port Forwarding Einstellungen erstellt:
Name1 UDP 0.0.0.0 (Sub-Net) 1194 (Source) 192.168.X.A 1194 (to Port)
Name2 UDP 0.0.0.0 (Sub-Net) 1195 (Source) 192.168.X.B 1195 (to Port)
Regel1 (Name1) kommt durch 1194 ABER 1195 nicht!?Die OpenVPN Config auf dem Router B (192.168.X.B) ist identisch mit Router A (192.168.X.A) außer dem OpenVPN Port. Auf dem Router B ist die Firewall und NAT abgeschaltet (weitere Detail siehe Grafik).
Ich finde nun nicht den Konfigurationsfehler, bzw. meinen logischen Fehler nicht.
THX
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 328691
Url: https://administrator.de/contentid/328691
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
das "Backup" VPN sollte ein eigenes VPN Netz haben.
Du setzt mehrere Defaultrouten für das Selbe Netzwerk, das haut so nicht hin.
Das Gateway das den Zugriff auf das Netz das über das VPN erreicht werden soll muss dann auch Routen zu beiden VPN Netzen bekommen.
Gruß
Chonta
das "Backup" VPN sollte ein eigenes VPN Netz haben.
Du setzt mehrere Defaultrouten für das Selbe Netzwerk, das haut so nicht hin.
Das Gateway das den Zugriff auf das Netz das über das VPN erreicht werden soll muss dann auch Routen zu beiden VPN Netzen bekommen.
Gruß
Chonta
Ich habe in der OpenVPN Config im Router A:
server 172.16.A.0 255.255.255.0
und im Router B:
server 172.16.B.0 255.255.255.0
eingetragen. Ohne Erfolg.
Das Standard Gatway ist bei beiden 192.168.A.1 über Router A
server 172.16.A.0 255.255.255.0
und im Router B:
server 172.16.B.0 255.255.255.0
eingetragen. Ohne Erfolg.
Das Standard Gatway ist bei beiden 192.168.A.1 über Router A
OpenVPN logt den Verbindungsaufbau mit, was steht da?
Sind die Firewallregeln angepasst worden?
Hat das Defaultgateway auch Routen in die OpenVPN Netze?
Von wo nach Wo versuchst Du eine Verbindung aufzubauen?
Wie schaut die Clientconfig aus?
Gruß
Chonta
Sind die Firewallregeln angepasst worden?
Hat das Defaultgateway auch Routen in die OpenVPN Netze?
Von wo nach Wo versuchst Du eine Verbindung aufzubauen?
Wie schaut die Clientconfig aus?
Gruß
Chonta
Unter System -> OpenVPN ist in den Logs nichts zu sehen.
Im Netz 192.168.X. komme ich mit dem VPN-Client auf 192.168.X.B ohne Probleme drauf, sobald ich durch die Firewall muss klappt es nicht. Irgend etwas beim Routing klappt nicht, aber was?
Der Client-Log liefert außerhabe des 192.168.X.y Netzes:
TLS Error: TLS key negotiation failed
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error]:received
In der Firewall habe ich Port Forwarding:
A: UDP Source 0.0.0.0 1194 - IP 192.168.X.A 1194
A: UDP Source 0.0.0.0 1195 - IP 192.168.X.B 1195
konfiguriert
Im Netz 192.168.X. komme ich mit dem VPN-Client auf 192.168.X.B ohne Probleme drauf, sobald ich durch die Firewall muss klappt es nicht. Irgend etwas beim Routing klappt nicht, aber was?
Der Client-Log liefert außerhabe des 192.168.X.y Netzes:
TLS Error: TLS key negotiation failed
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error]:received
In der Firewall habe ich Port Forwarding:
A: UDP Source 0.0.0.0 1194 - IP 192.168.X.A 1194
A: UDP Source 0.0.0.0 1195 - IP 192.168.X.B 1195
konfiguriert
Der Client-Log liefert außerhabe des 192.168.X.y Netzes:
Der Client kommt doch vom Internet ..... und da sollte der genereill in einem Netzwerk sein, das weder den IP Bereich eines der VPN Netze hat noch des Netzwerkes hinter der FW.sobald ich durch die Firewall muss klappt es
Dann stimmt da was nicht.Gib mal bitte die Routingtabelle vonn der FW aus. Die FW ist doch auch für alle das Defaultgateway oder?
Wenn Du mit Zertifikaten arbeitest, hat der andere ddwrt Router auch andere Zertifikate als der derste, außer Du hast die Zertifikate und Keys vom ersten auf dem zweiten importiert.
Es fehlt immer noch der Post der Configs über die Du versuchst die Verbindung aufzubauen.
Die Firewall loggt evtl. das die Verbindung durchgestellt wird oder wohin geleitet wird.
Gruß
Chonta
Wenn ich im Netz eine VPN-Verbindung (direkt auf die IP 192.168.X.B, auf Hostname nicht) aufbaue läuft es. Aus dem Internet/Netz vor der FW klappt es nicht.
Routing Tabelle:
default 0.0.0.0 192.168.C.1 UG 0 WAN
88.224.0.0 255.255.0.0 * U 0 LAN & WLAN
172.16.2.0 255.255.255.0 172.16.2.2 UG 0 tun0
172.16.2.2 255.255.255.255 * UH 0 tun0
192.168.A.0 255.255.255.0 * U 0 LAN & WLAN
192.168.C.0 255.255.255.0 * U 0 WAN
Die Fett markierten sind für OpenVPN A, allerdings sind keine für OpenVPN B (172.16.3.0)?!
Ich habe nochmal die FW Config angepasst
Routing Tabelle:
default 0.0.0.0 192.168.C.1 UG 0 WAN
88.224.0.0 255.255.0.0 * U 0 LAN & WLAN
172.16.2.0 255.255.255.0 172.16.2.2 UG 0 tun0
172.16.2.2 255.255.255.255 * UH 0 tun0
192.168.A.0 255.255.255.0 * U 0 LAN & WLAN
192.168.C.0 255.255.255.0 * U 0 WAN
Die Fett markierten sind für OpenVPN A, allerdings sind keine für OpenVPN B (172.16.3.0)?!
Ich habe nochmal die FW Config angepasst
# Firewall
# Akzeptiert eingehende Anfragen am Port UDP 1194.
iptables -I INPUT 1 -d 192.168.1.2/24 -p udp --dport 1195 -j ACCEPT
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT
# Erlaubt den VPN Clients den Zugriff auf routerinterne Prozesse (Weboberfl&#-28;che, SSH etc)
iptables -I INPUT 3 -i tun0 -j ACCEPT
# Erlaubt Verbindungen zwischen VPN Clients sofern "Client-to-Client" bei OpenVPN aktiviert ist.
iptables -I FORWARD 3 -i tun0 -o tun0 -j ACCEPT
# Erlaubt Verbindungen vom lokalen Netz ins VPN Netz und umgekehrt (br0 steht f&#-4;r LAN und WLAN).
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
Beide ddwrt-Router sind aber Direckt mit der FW verbunden?
Die FW ist auch das Defaultgateway?
Die Config von den vpn Serveern und von den Clients hast Du imme rnoch nicht gepostet......
Wenn Du im lokalen Netzwerk eine Verbindung herstellen kannst, dann sind die Zertifikate an sich in Ordnung.
Aber sicher das VPN2 auch auf 1195 lauscht und nicht auf 1194?
Wenn dein zweiter ddwrt an den ersten ddwrt angeschlossen ist, macht das ganze als Bakcup keinerlei Sinn, weil solange router1 läuft wird router2 nicht gebaucht und wenn 1 ausfällt ist 2 auch nicht erreichbar..
Leitet die Haupt Firewall überuaupt Port 1195 irgendwohinn? Was ist die Firewall für eine Firewall?
Gruß
Chonta
Die FW ist auch das Defaultgateway?
Die Config von den vpn Serveern und von den Clients hast Du imme rnoch nicht gepostet......
Wenn Du im lokalen Netzwerk eine Verbindung herstellen kannst, dann sind die Zertifikate an sich in Ordnung.
Aber sicher das VPN2 auch auf 1195 lauscht und nicht auf 1194?
Wenn dein zweiter ddwrt an den ersten ddwrt angeschlossen ist, macht das ganze als Bakcup keinerlei Sinn, weil solange router1 läuft wird router2 nicht gebaucht und wenn 1 ausfällt ist 2 auch nicht erreichbar..
Leitet die Haupt Firewall überuaupt Port 1195 irgendwohinn? Was ist die Firewall für eine Firewall?
Gruß
Chonta
Router A ist FW und Router B hängt an Router A, Ansicht weiß ich das es so nicht optimal in sachen Redundanz ist, allerdings schmiert nur der OpenVPN Dienst ab. FW ist das Default Gateway.
Server-Config (Router B):
port 1195
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.3.0 255.255.255.0
push "route 192.168.A.0 255.255.255.0"
push "dhcp-options DNS 192.168.A.1"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
Client Config:
client
dev tun
proto tcp
remote DNS_NAME 1195
resolv-retry infinite
nobind
persist-key
persist-tun
ca F:/Programme/OpenVPN/Cert_VPN/keys/Client/ca.crt
cert F:/Programme/OpenVPN/Cert_VPN/keys/Client/client1.crt
key F:/Programme/OpenVPN/Cert_VPN/keys/Client/client1.key
ns-cert-type server
comp-lzo
verb 3
route-method exe
route-delay 2
tun-mtu 1492
port 1195
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.3.0 255.255.255.0
push "route 192.168.A.0 255.255.255.0"
push "dhcp-options DNS 192.168.A.1"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
Ich bin mir sicher das Router B OPenVPN auf 1195 lauscht, da im Lokalen Netz ich eine Verbindung aufbauen kann.
Die FW ist die von dd-wrt und identisch mit der Config mit der von Router A, zu mindestens habe ich keinen unterscheid gefunden.
Ich habe auch schon testweise den eingehenden Port 1194 auf 1195 umgeleitet, aber auch dann kriege ich keine OpenVPN Verdingung zustande.
Server-Config (Router B):
port 1195
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.3.0 255.255.255.0
push "route 192.168.A.0 255.255.255.0"
push "dhcp-options DNS 192.168.A.1"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
Client Config:
client
dev tun
proto tcp
remote DNS_NAME 1195
resolv-retry infinite
nobind
persist-key
persist-tun
ca F:/Programme/OpenVPN/Cert_VPN/keys/Client/ca.crt
cert F:/Programme/OpenVPN/Cert_VPN/keys/Client/client1.crt
key F:/Programme/OpenVPN/Cert_VPN/keys/Client/client1.key
ns-cert-type server
comp-lzo
verb 3
route-method exe
route-delay 2
tun-mtu 1492
port 1195
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.3.0 255.255.255.0
push "route 192.168.A.0 255.255.255.0"
push "dhcp-options DNS 192.168.A.1"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
Ich bin mir sicher das Router B OPenVPN auf 1195 lauscht, da im Lokalen Netz ich eine Verbindung aufbauen kann.
Die FW ist die von dd-wrt und identisch mit der Config mit der von Router A, zu mindestens habe ich keinen unterscheid gefunden.
Ich habe auch schon testweise den eingehenden Port 1194 auf 1195 umgeleitet, aber auch dann kriege ich keine OpenVPN Verdingung zustande.
Hallo,
in der Server Config fehlt der MTU Wert und setz den bei beiden mal Testweise auf 1400.
Bei remote nur den dns namen nicht den port, der wird ja üner port mitgegeben.
sollten da auch rein (wenn MTU runtersetzen nicht reicht).
Die Firwall sollte das VPN Netz von Router B kennen und auch eine Route dahin haben, wenn Du aus dem VPN Netz ins normale Netz willst.
Kannst Du mitloggen, ob Router A an Router B überhaupt Daten schickt?
Gruß
Chonta
in der Server Config fehlt der MTU Wert und setz den bei beiden mal Testweise auf 1400.
Bei remote nur den dns namen nicht den port, der wird ja üner port mitgegeben.
nobind
floatDie Firwall sollte das VPN Netz von Router B kennen und auch eine Route dahin haben, wenn Du aus dem VPN Netz ins normale Netz willst.
Kannst Du mitloggen, ob Router A an Router B überhaupt Daten schickt?
Gruß
Chonta
Ich habe den MTU Wert auf 1400 reduziert und nobind und float hinzugefügt. Leider hat das nicht geholfen.
Was mich wunder ist das in der Routing Tabelle Router B 172.16.3.1 Einträge fehlen.
Was mich wunder ist das in der Routing Tabelle Router B 172.16.3.1 Einträge fehlen.
