Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Kein Zugriff ins WWW - OpenVPN mit DD-WRT Router (Linksys WRT1900ACS)

Mitglied: johnkincade

johnkincade (Level 1) - Jetzt verbinden

21.12.2017, aktualisiert 10:38 Uhr, 1221 Aufrufe, 17 Kommentare

Hallo!

Habe auf meinen DD-WRT Router (Linksys WRT1900ACS) einen OpenVPN Server nach besten Gewissen eingerichtet.
Mein Ziel wäre es den kompletten Traffic durch das VPN zu schicken. Mittelfristig möchte ich mit zwei weiteren Routern zwei Wohnungen mit dem Elternhaus wo auch der DD-WRT Router/OpenVPN Server steht verbinden. Dachte hier an zwei zusätzliche DD-WRT Router wo ich die OpenVPN Client Funktion nutze. Aktuell teste ich aber am MacBook per Tunnelblick App auf macOS 10.12.6.

VPN Verbindung steht und ich kann auch auf alle im Elternhaus eingebundenen Gerätschaften (NAS, PC,..) zugreifen.
Zwar nur via manueller Eingabe (Finder --> mit Server verbinden) und nicht wie eigentlich erhofft über Finder "Freigaben", aber das ist wieder ein anderes Thema.
Allerdings habe ich wenn ich "push "redirect-gateway def1"" nutze um eben den kompletten Client-Traffic durch das VPN zu schicken am MacBook keinen Zugang mehr ins WWW.


Denke es könnte sich um ein DNS Problem handeln?
Was ist hier zu tun?

Danke.

LG, john



Mitglied: aqui
21.12.2017, aktualisiert um 11:11 Uhr
einen OpenVPN Server nach besten Gewissen eingerichtet.
Hier steht genau was das Gewissen dir sagen sollte:
https://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
Mein Ziel wäre es den kompletten Traffic durch das VPN zu schicken.
Kein Problem, das ist dann eine simple Konfig Zeile in der server.conf Datei:
push "redirect-gateway def1"

Guckst du auch hier:
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
zwei Wohnungen mit dem Elternhaus wo auch der DD-WRT Router/OpenVPN Server steht verbinden.
Ist ne simple Standort Vernetzung mit OpenVPN also ein einfacher Klassiker....
Dachte hier an zwei zusätzliche DD-WRT Router wo ich die OpenVPN Client Funktion nutze.
Eins der vielen Möglichkeiten....
Ein kleiner Raspberry Pi kann das auch sollten da schon Router vorhanden sein:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
bzw.
https://jankarres.de/2014/10/raspberry-pi-openvpn-vpn-client-installiere ...
usw. usw.
und nicht wie eigentlich erhofft über Finder "Freigaben", aber das ist wieder ein anderes Thema.
Stimmt, das kann nicht gehen, denn UDP Naming Broadcasts werden prinzipienbedingt über geroutete Verbindungen nicht übertragen bekanntlich. Dafür gibt es aber einen sehr einfachen Workaround über die hosts oder lmhosts Datei:
https://www.administrator.de/index.php?content=104978#396040
Oder mit einem kleinen eigenen DNS Server:
https://www.heise.de/ct/ausgabe/2017-12-Namensaufloesung-inklusive-Daten ...
Was dann wieder der RasPi miterledigen kann...
nutze um eben den kompletten Client-Traffic durch das VPN zu schicken am MacBook keinen Zugang mehr ins WWW.
Dann hast du auf der Serverseite ein Konfigurationsfehler gemacht !!
Erstmal solltest du feststellen ob du nur ein DNS Problem hast oder auch ein Routing Problem, oder beides.
Im Mac Terminal gibst du bei aktivem Client mal ein ping 8.8.8.8 ein um zu sehen ob du nackte IPs pingen kannst.
Auch ein traceroute -I 8.8.8.8 wäre hier hilfreich um ein Hop für Hop zu sehen und zu erkennen wo es kneift. (Das -I musst du machen damit Mac OS ICMP nutzt für den Ping)
Die Problematik hier ist das der Mac Client natürlich auch einen DNS bekommen muss den er über das VPN Gateway Redirect erreichen kann. Steht der DNS noch auf einer lokalen IP ists natürlich aus mit der Namensauflösung ! Klar. Die Terminalkommandos nslookup oder dig sind hier deine besten Freunde
Dem Client den Google DNS zu konfigurieren machen heutzutage nur noch weltfremde Dummies. Sorry, aber jeder weiß mittlerweile das Google detailierte Profile über diese Nutzer erstellt und die an Dritte vermarktet. Wenn dir deine Privatsphäre also was wert ist setzt du da besser immer die Proxy DNS IP des Internet Routers auf der OVPN Serverseite ein ! Die IP die auch lokale Endgeräte in dem Netzwerk haben.
Wenns unbedingt eine externe sein muss dann etwas Datenschutz freundliches:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Besser aber immer lokale Resourcen !

Die Tücken in kaskadierten Designs beschreibt dieses Tutorial:
https://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
und auch hier:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Leider ist nicht ganz klar ob du so eine Kaskade hast oder der WRT dein einziger Hauptrouter ins Internet ist ?!
In einer Kaskade (und auch nur dann) wäre das Masquerading dann kontraproduktiv.
Bitte warten ..
Mitglied: 134998
21.12.2017 um 11:05 Uhr
NAT Rules are not right. Line 3 and 4 need to be only one rule
Best regards
Tom
Bitte warten ..
Mitglied: johnkincade
21.12.2017 um 14:01 Uhr
Schaut nach nicht viel aus wenn ich die Befehle unter verbundener VPN Verbindung absetze...

bildschirmfoto 2017-12-21 um 14.11.53 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto 2017-12-21 um 14.11.33 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: 134998
21.12.2017, aktualisiert um 14:29 Uhr
Show us the actual routing table of the mac when it's connected to the vpn, please.
Bitte warten ..
Mitglied: aqui
21.12.2017, aktualisiert um 14:54 Uhr
Bei 10.21.173.1 endet der Traceroute, dann ist dort auch der Fehler !
Ist das das interne OVPN IP Netzwerk ??
Oder ist das die LAN IP des OVPN Servers ?
Ist der OVPN Server auch gleich der Router ins Internet oder ist das eine Kaskade.
Falls der Server separat ist oder es eine Kaskade ist benötigt der OVPN Server natürlich eine Default Router auf den Internet Router !
Genauso benötigt der Internet Router zwingend eine statische Route auf das interne OVPN Netzwerk was in der server.conf mit dem Kommando server 10.21.173.0 255.255.255.0 definiert ist sofern OVPN und Internet Router getrennte Geräte sind.
Wie Kollege SimpleCode schon sagt "Show us the actual routing table of the mac when it's connected to the vpn, please."
Allerdinsg dürfte die Routing Tabelle klar sein, denn es geht durch das Gateway Redirect ALLES in den Tunnel.
Sieht man auch daran das ja der next Hop beim 8.8.8.8er Ping schon der OVPN Server ist.
Der hat aber keine Default Route ins Internet das ist das Problem.

Weitere Fragen:
  • Was bzw. WO wird der DHCP Pool mit der IP 192.168.17.1 vergeben ?? Sieht doch nach einer Kaskade aus ?? Mal abgesehen davon sollte man einen dynamischen Pool niemals bei den Anfangs und Endadressen des Netzes starten lassen weil dort die große Gefahr von Adress Überschneidungen passiert. Hier solltest du den Pool besser bei der .17.100 starten lassen !! Also von .100 bis .150 !!
Der LAN Port dieses Gerätes selber hat ja schon die .17.1. Da nimmt das Unglück dann schon seinen Lauf !!!
Wenn der DHCP Server auch noch die .1 vergibt hast du Adress Chaos.
Das solltest du also DRINGENST ändern im DHCP Server !

Leider ist NICHT klar WO diese 192.168.17er Adresse vergeben ist ??
Ist das der LAN Port des DD-WRT ?
Gibt es einen Kaskade Router Internet Router zusätzlich.
Eine kleine Topologie Skizze wäre sicher hier hilfreich wenn dem so ist.
Bitte warten ..
Mitglied: johnkincade
21.12.2017 um 16:14 Uhr
bildschirmfoto 2017-12-21 um 16.22.02 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto 2017-12-21 um 16.21.40 - Klicke auf das Bild, um es zu vergrößern
bildschirmfoto 2017-12-21 um 16.21.11 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: johnkincade
21.12.2017, aktualisiert um 17:20 Uhr
Danke für eure Unterstützung!

10.21.173.1 ist wie auch im Screenshot zu sehen das OVPN IP Netzwerk.
Ja der DD-WRT Router ist auch der Router der ins Internet geht, dahinter hängt nur mehr ein Glasfaser Teilnehmerendgerät.
Ok, habe jetzt den DHCP Pool auf 192.168.17.100 geändert.

bildschirmfoto 2017-12-21 um 16.48.40 - Klicke auf das Bild, um es zu vergrößern

Habe vorhin mit einem Backup zurückgesichert, jetzt wurden nur mehr diese vier Regeln abgesetzt. Leider nach wie vor im VPN-Netz kein Zugriff ins WWW.

Bitte warten ..
Mitglied: 134998
21.12.2017, aktualisiert um 19:03 Uhr
On this screenshot "Redirect Gateway" is "disabled" ??
And for the MASQUERADE rules see my first post above.

The routing table on the Mac is OK. If you post the RT of the router als that would be good.
Bitte warten ..
Mitglied: aqui
22.12.2017, aktualisiert um 19:49 Uhr
Gut, leider ja ein kurzes Gastspiel vom Kollegen SimpleCode jetzt abgemeldet ...aber egal

Der DD-WRT blockiert vermutlich irgendwie Pakete aus dem 10.21.173.0/24 indem er sie entweder nicht routet oder nicht richtig NATet ins Internet.
Die iptables Regel ist in so fern auch irgendwie komisch das das FORWARDING Statement für 10.21.173.0/24 nach dem NAT für dieses netz kommt.
Ich bin jetzt kein iptables Guru aber in anderen Regelwerken ist es so das in der Firewall erstmal das Forwarding kommt und dann das NAT. Das mag aber bei iptables anders sein.
Normal bräuchte man da auch nicht fummeln, denn OpenWRT macht sowas eigentlich von sich aus wenn der OVPN Server konfiguriert ist.
Es kann m.E. nur noch an diesen vermutlich falschem iptables Regelwerk liegen.
Route Table vom Client ist OK, das sieht man ja eh auch daran das alles in den Tunnel geht. Vermutlich NATet aber der OpenWRT den 10er VPN Tunneltraffic nicht und deshalb ist dann da Schluss.
Bitte warten ..
Mitglied: johnkincade
22.12.2017 um 19:43 Uhr
Regarding "Redirect Gateway", see the "Additional Config" in the router tab on the screenshot above.

What do you mean with "NAT Rules are not right. Line 3 and 4 need to be only one rule" exactly?
After the restore yesterday, i set only this iptables rule --> iptables -t nat -A POSTROUTING -a 10.21.173.0/24 -j MASQUERADE

Bitte warten ..
Mitglied: aqui
22.12.2017 um 19:50 Uhr
Du brauchst nicht mehr in Englisch zu antworten. Kollege SimpleCode hat sich am 21.12. aus diesem Forum wieder abgemeldet und wird deinen Frage also nicht mehr lesen ! Deshalb hat er jetzt ne Dummy UserID 134998.
Bitte warten ..
Mitglied: johnkincade
23.12.2017 um 11:33 Uhr
Ok, danke für die Aufklärung.

Welche FW Regeln und in welcher Reihenfolge sollten deiner Meinung nach abgesetzt werden? Ganz ohne gehts wohl nicht.
Überlege den Router inkl. Open VPN Server nochmals komplett neu zu flashen und einzurichten.

Handelt sich hier nicht um das gleiche Problem?
https://www.administrator.de/forum/dd-wrt-openvpn-keine-internetverbindu ...
Bitte warten ..
Mitglied: aqui
23.12.2017, aktualisiert um 15:58 Uhr
Ganz ohne gehts wohl nicht.
Eigentlich sollte es das. Bei einem DD-WRT hier auf einem ollen WRT54 musste man nichts extra konfigurieren, das rannte out of the Box mit dieser Konfig:
https://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
Neu zu flashen brauchst du ja nicht. Es reicht wenn du DD-WRT auf die Factory Defaults zurücksetzt.
Bitte warten ..
Mitglied: johnkincade
06.01.2018 um 08:42 Uhr
Leider kein Erfolg! Hat hier noch irgendjemand Ideen dazu?
Bitte warten ..
Mitglied: aqui
06.01.2018 um 12:20 Uhr
Wie gesagt...hier auf einem alten DD-WRT geflashten Linksys WRT54 mit OpenVPN kein Problem...klappt auf Anhieb ohne zusätzliches "Finetuning".
Folglich kann also nur was an deiner Konfig falsch sein.
Vielleicht alles nochmal jungfräulich aufsetzen und neu konfigurieren ?!
Bitte warten ..
Mitglied: johnkincade
18.03.2018 um 08:22 Uhr
Hallo!

1) Konnte das Problem mit “gesamten traffic durch das vpn routen” noch nicht lösen. Wobei ich auch etwas davon abgekommen bin. Für die Nutzung öffentlicher Wifi’s wäre es vorteilhaft, sonst eigentlich nicht.

2) Hätte gestern versucht mein am OSX mit Tunnelblick und unter iOS mit der mobilen OpenVPN App verwendetes Client-Konfiguration.ovpn unter Windows mit dem OpenVPN Client zum laufen zu bekommen. Aber er schreibt mir ins Log er kann Teile/Zeichen der Konfigurations-Datei nicht interpretieren. Habe die Datei dann nochmals unter OS x gegengeprüft und lief sofort. Es kommt nicht mal zur Passwort-Abfrage meines Keys.

Jemand dazu eine Idee?

Gruß, john
Bitte warten ..
Mitglied: aqui
18.03.2018, aktualisiert um 14:11 Uhr
er schreibt mir ins Log er kann Teile/Zeichen der Konfigurations-Datei nicht interpretieren.
Dann hast du da ja vermutlich Syntax Fehler in der Konfig begangen. Im Grunde ist das ein Kinderspiel. Die Grudnlagen sind in diesem Forums Tutorial erklärt:
https://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
Die OpenVPN Konfig Syntax ist auf allen Betriebssystemen immer gleich.
Es kommt nicht mal zur Passwort-Abfrage meines Keys.
Dazu kann es auch niemals kommen wenn du (hoffentlich !) mit Zertifikaten arbeitest wie es sich gehört ! Da jibbet nix Passwörter !!
Wie gesagt lies dir das obige Tutorial genau durch. Da steht alles was du wissen musst damit es sofort auf Anhieb klappt
Hilfreiche Infos auch hier:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
und
https://blog.doenselmann.com/raspberry-pi-als-openvpn-server/
Hilfreich und zielführend wären auch mal diese Logs zu posten um die Fehler zu sehen, denn die geben einen genauen Hinweis auf das was du falsch gemacht hast in deiner OVPN Konfig.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Speedport Hybrid - DD-WRT - OpenVPN ?
Frage von Motte990Router & Routing9 Kommentare

Guten Abend Leute, Ich sitze jetzt seit Stunden an dem Thema OpenVPN am DD-Wrt Router hinter einem Speedport Hybrid. ...

LAN, WAN, Wireless

DD-WRT Linksys-E3000 Router Interfacezuordnung

gelöst Frage von orcapeLAN, WAN, Wireless2 Kommentare

Hi Leute, ich bin gerade dabei einen Linksys-E3000 V1 zum AP mit getrenntem LAN-WLAN zu konfigurieren. Ich möchte ein ...

Netzwerke

Dd-wrt OpenVPN Backup-VPN auf zweit Router

Frage von DonJoeNetzwerke10 Kommentare

Hallo, ich haben auf einen dd-wrt Router A (192.168.X.A) OpenVPN-Server laufen und es funktioniert, nach dieser Anleitung nach: Ich ...

Router & Routing

OpenVPN-Server auf DD-WRT-Router hinter FritzBox

gelöst Frage von PedantRouter & Routing8 Kommentare

Hallo, War mal so ich hatte einen DD-WRT-Router als Internetrouter eingesetzt und auf dem einen OpenVPN-Server laufen mit dem ...

Neue Wissensbeiträge
iOS

iOS-Bug unterbindet vollständiges VPN-Tunneling

Information von transocean vor 1 TagiOS

Moin, seit dem letzten Update hat iOS für iPhone und iPad ein Problem mit der Verschlüsselung. Lest selbst. Grüße ...

Sicherheit
Corona Malware über manipulierte Router
Information von sabines vor 1 TagSicherheit

Heise berichtet über Malware, die in Zusammenhang zum Suchethema Corona steht und über DNS Einstellungen bei D-Link und Linksys ...

Windows 10
Windows 10 Update KB4535996 fehlerhaft
Information von Frank vor 1 TagWindows 101 Kommentar

Laut Microsoft ist das Update KB4535996 die Ursache für aktuelle Verbindungsprobleme bei Virtual Private Networks (VPNs). Microsoft arbeitet bereits ...

Administrator.de Feedback
Entwicklertagebuch: Der neue Ticker ist da
Information von admtech vor 1 TagAdministrator.de Feedback3 Kommentare

Hallo User, mit dem aktuellen Release haben wir den neuen "Ticker" zur Seite hinzugefügt. Oben im Hauptmenü findet ihr ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Hilfe bei der Einrichtung vom QNAP Nas Server
gelöst Frage von Chris.21SAN, NAS, DAS18 Kommentare

Hallo, ich benötige Hilfe bei der Einrichtung meines neuen NAS Servers von QNAP. ich möchte eine Verbindung vom Internet ...

Drucker und Scanner
OCR Erkennung auf Server
Frage von KodaCHDrucker und Scanner14 Kommentare

Guten Morgen Bisher habe ich einen HP LaserJet Pro MFP M426fdw. Da es nicht viele Dokumente zum Scannen gibt ...

Router & Routing
Vigor 165 vs. Fritzbox 7590
Frage von servilianusRouter & Routing13 Kommentare

Liebe Fachleute, bisher betreibe ich folgende Konstellation Büro: 50.000er-Leitung VDSL Telekom -> Fritzbox 7590 Exposed Host -> Vigor Draytek ...

Windows Server
MS Server 2019 Berechnung Lizenzen Check
gelöst Frage von anteNopeWindows Server10 Kommentare

Hallo zusammen, ich bräuchte nur kurz eine Bestätigung meiner Berechnung und mache es deshalb kurz: 1x Server, 1 Sockel, ...