Dd-wrt OpenVPN Backup-VPN auf zweit Router

Mitglied: DonJoe

DonJoe (Level 1) - Jetzt verbinden

07.02.2017 um 16:08 Uhr, 1962 Aufrufe, 10 Kommentare

Hallo,

ich haben auf einen dd-wrt Router A (192.168.X.A) OpenVPN-Server laufen und es funktioniert, nach dieser Anleitung nach:
https://www.administrator.de/content/detail.php?id=123285&nid=327301 ...

Ich möchte nun aus Unterschiedlichen Gründen ein Backup OpenVPN-Server dd-wrt Router B (192.168.X.B).
Dazu habe ich die Config auf dem Router (192.168.X.A) erweitert:
Die OpenVPN Config auf dem Router B (192.168.X.B) ist identisch mit Router A (192.168.X.A) außer dem OpenVPN Port. Auf dem Router B ist die Firewall und NAT abgeschaltet (weitere Detail siehe Grafik).

Ich finde nun nicht den Konfigurationsfehler, bzw. meinen logischen Fehler nicht.

THX
openvpn - Klicke auf das Bild, um es zu vergrößern
Mitglied: Chonta
07.02.2017 um 16:57 Uhr
Hallo,

das "Backup" VPN sollte ein eigenes VPN Netz haben.
Du setzt mehrere Defaultrouten für das Selbe Netzwerk, das haut so nicht hin.
Das Gateway das den Zugriff auf das Netz das über das VPN erreicht werden soll muss dann auch Routen zu beiden VPN Netzen bekommen.

Gruß

Chonta
Bitte warten ..
Mitglied: DonJoe
07.02.2017, aktualisiert um 20:08 Uhr
Ich habe in der OpenVPN Config im Router A:
server 172.16.A.0 255.255.255.0
und im Router B:
server 172.16.B.0 255.255.255.0
eingetragen. Ohne Erfolg.

Das Standard Gatway ist bei beiden 192.168.A.1 über Router A
Bitte warten ..
Mitglied: Chonta
08.02.2017 um 08:16 Uhr
OpenVPN logt den Verbindungsaufbau mit, was steht da?

Sind die Firewallregeln angepasst worden?

Hat das Defaultgateway auch Routen in die OpenVPN Netze?

Von wo nach Wo versuchst Du eine Verbindung aufzubauen?

Wie schaut die Clientconfig aus?

Gruß

Chonta
Bitte warten ..
Mitglied: DonJoe
08.02.2017 um 10:54 Uhr
Unter System -> OpenVPN ist in den Logs nichts zu sehen.

Im Netz 192.168.X. komme ich mit dem VPN-Client auf 192.168.X.B ohne Probleme drauf, sobald ich durch die Firewall muss klappt es nicht. Irgend etwas beim Routing klappt nicht, aber was?

Der Client-Log liefert außerhabe des 192.168.X.y Netzes:
TLS Error: TLS key negotiation failed
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error]:received

In der Firewall habe ich Port Forwarding:
A: UDP Source 0.0.0.0 1194 - IP 192.168.X.A 1194
A: UDP Source 0.0.0.0 1195 - IP 192.168.X.B 1195
konfiguriert
Bitte warten ..
Mitglied: Chonta
08.02.2017 um 11:09 Uhr
Der Client-Log liefert außerhabe des 192.168.X.y Netzes:
Der Client kommt doch vom Internet ..... und da sollte der genereill in einem Netzwerk sein, das weder den IP Bereich eines der VPN Netze hat noch des Netzwerkes hinter der FW.

sobald ich durch die Firewall muss klappt es
Dann stimmt da was nicht.
Gib mal bitte die Routingtabelle vonn der FW aus. Die FW ist doch auch für alle das Defaultgateway oder?
Wenn Du mit Zertifikaten arbeitest, hat der andere ddwrt Router auch andere Zertifikate als der derste, außer Du hast die Zertifikate und Keys vom ersten auf dem zweiten importiert.

Es fehlt immer noch der Post der Configs über die Du versuchst die Verbindung aufzubauen.
Die Firewall loggt evtl. das die Verbindung durchgestellt wird oder wohin geleitet wird.


Gruß

Chonta
Bitte warten ..
Mitglied: DonJoe
08.02.2017 um 14:35 Uhr
Wenn ich im Netz eine VPN-Verbindung (direkt auf die IP 192.168.X.B, auf Hostname nicht) aufbaue läuft es. Aus dem Internet/Netz vor der FW klappt es nicht.

Routing Tabelle:
default 0.0.0.0 192.168.C.1 UG 0 WAN
88.224.0.0 255.255.0.0 * U 0 LAN & WLAN
172.16.2.0 255.255.255.0 172.16.2.2 UG 0 tun0
172.16.2.2 255.255.255.255 * UH 0 tun0

192.168.A.0 255.255.255.0 * U 0 LAN & WLAN
192.168.C.0 255.255.255.0 * U 0 WAN

Die Fett markierten sind für OpenVPN A, allerdings sind keine für OpenVPN B (172.16.3.0)?!



Ich habe nochmal die FW Config angepasst
Bitte warten ..
Mitglied: Chonta
08.02.2017 um 15:34 Uhr
Beide ddwrt-Router sind aber Direckt mit der FW verbunden?
Die FW ist auch das Defaultgateway?

Die Config von den vpn Serveern und von den Clients hast Du imme rnoch nicht gepostet......

Wenn Du im lokalen Netzwerk eine Verbindung herstellen kannst, dann sind die Zertifikate an sich in Ordnung.
Aber sicher das VPN2 auch auf 1195 lauscht und nicht auf 1194?

Wenn dein zweiter ddwrt an den ersten ddwrt angeschlossen ist, macht das ganze als Bakcup keinerlei Sinn, weil solange router1 läuft wird router2 nicht gebaucht und wenn 1 ausfällt ist 2 auch nicht erreichbar..
Leitet die Haupt Firewall überuaupt Port 1195 irgendwohinn? Was ist die Firewall für eine Firewall?

Gruß

Chonta
Bitte warten ..
Mitglied: DonJoe
09.02.2017 um 18:07 Uhr
Router A ist FW und Router B hängt an Router A, Ansicht weiß ich das es so nicht optimal in sachen Redundanz ist, allerdings schmiert nur der OpenVPN Dienst ab. FW ist das Default Gateway.

Server-Config (Router B):
port 1195
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.3.0 255.255.255.0

push "route 192.168.A.0 255.255.255.0"
push "dhcp-options DNS 192.168.A.1"

keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3


Client Config:

client
dev tun
proto tcp

remote DNS_NAME 1195

resolv-retry infinite

nobind

persist-key
persist-tun

ca F:/Programme/OpenVPN/Cert_VPN/keys/Client/ca.crt
cert F:/Programme/OpenVPN/Cert_VPN/keys/Client/client1.crt
key F:/Programme/OpenVPN/Cert_VPN/keys/Client/client1.key

ns-cert-type server
comp-lzo
verb 3

route-method exe
route-delay 2
tun-mtu 1492

port 1195
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.3.0 255.255.255.0

push "route 192.168.A.0 255.255.255.0"
push "dhcp-options DNS 192.168.A.1"

keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Ich bin mir sicher das Router B OPenVPN auf 1195 lauscht, da im Lokalen Netz ich eine Verbindung aufbauen kann.
Die FW ist die von dd-wrt und identisch mit der Config mit der von Router A, zu mindestens habe ich keinen unterscheid gefunden.

Ich habe auch schon testweise den eingehenden Port 1194 auf 1195 umgeleitet, aber auch dann kriege ich keine OpenVPN Verdingung zustande.
Bitte warten ..
Mitglied: Chonta
10.02.2017 um 08:30 Uhr
Hallo,

in der Server Config fehlt der MTU Wert und setz den bei beiden mal Testweise auf 1400.
Bei remote nur den dns namen nicht den port, der wird ja üner port mitgegeben.
sollten da auch rein (wenn MTU runtersetzen nicht reicht).

Die Firwall sollte das VPN Netz von Router B kennen und auch eine Route dahin haben, wenn Du aus dem VPN Netz ins normale Netz willst.

Kannst Du mitloggen, ob Router A an Router B überhaupt Daten schickt?

Gruß

Chonta
Bitte warten ..
Mitglied: DonJoe
10.02.2017, aktualisiert um 18:52 Uhr
Ich habe den MTU Wert auf 1400 reduziert und nobind und float hinzugefügt. Leider hat das nicht geholfen.

Was mich wunder ist das in der Routing Tabelle Router B 172.16.3.1 Einträge fehlen.
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
DSGVO-konforme Löschsoftware für Festplatten
alwayshungryVor 1 TagFrageDatenschutz38 Kommentare

Hallo zusammen, welche Software gibt es, damit man DSGVO-konform Festplatten löschen kann? Ich kenne zwar Blancco, aber gibt es denn da keine gesetzeskonforme Alternativen? ...

Windows Netzwerk
Wie VPN in Zeiten von HomeOffice einfach gestalten
VizKyneticVor 1 TagFrageWindows Netzwerk15 Kommentare

Moin! Vermehrt kommen die Anfragen zu HomeOffice Arbeitsplätzen und der Möglichkeit Remote zu arbeiten. Wir haben verschiedene Lösungen im Einsatz, da diese Struktur über ...

TK-Netze & Geräte
Panasonic NS700 an S0 von Fritzbox
jensgebkenVor 1 TagFrageTK-Netze & Geräte43 Kommentare

Hallo Gemeinschaft, gibt es eine Möglichkeit meine gebrauchte NS700 mit einer Fritzbox zu verbinden, so dass ich auch raustelefonieren kann - hinter der NS ...

Rechtliche Fragen
Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz
anteNopeVor 1 TagFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Flatrates
Mobilfunktarife für die Firma (günstig)
gelöst ingo1988Vor 1 TagFrageFlatrates13 Kommentare

Hallo, kann mir jemand weiterhelfen im Bezug auf Mobilfunktarife für Unternehmen? Ich suche nämlich günstige Angebote im Telekom oder Vodafone Netz, ähnlich wie Lidl ...

Windows 10
Wie kann ich mehrere PCs gleich aufsetzten (mit User)
dressaVor 1 TagFrageWindows 109 Kommentare

Hallo miteinander. Wie kann ich mehrere PCs (über 200) gleich aufsetzten. Ich habe etwa 4 Modele die sich nur von der Baugeneration unterscheiden. Also ...

Microsoft
Wie verteilt Ihr Software im AD auf die Clients? GPO?
Der-PhilVor 1 TagFrageMicrosoft14 Kommentare

Hallo! Die Kernfrage steht eigentlich schon im Titel: Wie verteilt ihr Software und haltet sie aktuell auf den Clients? Bislang mache ich das alles ...

Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 5 StundenIMHOWünsch Dir was19 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...