May 03, 2019

2608

Neue Firmware auf Buffalo- Air Station WHR-HP-G300N B - aktuell DD-WRT v3.0-r30949

Hallo Forenmitglieder!

Ich habe ein paar Buffalo Router (AirStation WHR-HP-G300N) ausrangiert bekommen und würde darüber gerne ein VPN realisieren.

Mein Problem ist: Das installierte DD-WRT v3.0-r30949 weigert sich den Posten zu verlassen.
Das ist diese: https://download1.dd-wrt.com/dd-wrtv2/downloads/betas/2016/12-15-2016-r3 ...

Es hat KEIN OpenVPN Modul, von daher kann ich es über diese FW nicht realisieren.

Ich habe die verschiedenste Anleitungen im Web versucht (Back to Stock, Upgrade auf neueres DD-WRT, Upgrade auf Open-WRT) und leider kein Erfolg.
Es bootet einfach wieder von Neuem und bleibt bei derselben FW.

mein letzter Versuch war diese FW via Webupdate in der Oberfläche:
http://downloads.openwrt.org/barrier_breaker/14.07/ar71xx/generic/openw ...
bzw. auch
https://archive.openwrt.org/chaos_calmer/15.05/ar71xx/generic/openwrt-15 ...

Ich weiß, es ist recht vage, aber ich habe es bei verschiedenen Geräten erfolgslos probiert.

Hat jemand eine Idee, woran es liegen kann?

Btw, mein Ziel wäre ein Site2Site VPN zwischen meinem Hauptwohnsitz und meinem Nebenwohnsitz mit möglichst wenig finanziellem Einsatz.
Und wenn ich schon diese Router habe....

Vielen Dank im Voraus für jede Antwort!

Please also mark the comments that contributed to the solution of the article

Content-Key: 447116

Url: https://administrator.de/contentid/447116

Printed on: April 26, 2024 at 06:04 o'clock

19 Comments

Latest comment

Es gibt ein spezielles Revert Image was das Verhalten zurücksetzt. Das mal probiert ?
https://forum.dd-wrt.com/phpBB2/viewtopic.php?p=451295
Allerdings ist das wohl eher für die HW V.1 statt für V.3

Kommt man ggf. über JTAG Anschlüsse auf der Platine da auf eine serielle Konsole ?
Oder ggf. mal mit ddadder und TFTP versuchen:
https://wiki.dd-wrt.com/wiki/index.php/Buffalo#WHR-HP-G300N_specifics
https://dd-wrt.com/support/other-downloads/?path=others%2Feko%2FBuffalo% ...

Hallo aqui,

vielen Dank - das revert Image würde an sich gut klingen. Leider sehe ich keinen (funktionalen) Link... werde mal weiter suchen, ob es den noch in einem Mirror oder einem verstreuten Post gibt...

Aufgeschraubt habe ich noch keines davon. TFTP hab ich versucht, ddadder nicht (laut readme wird die HW nicht unterstützt, aber ich kann es ja probieren, wenn ich es schaffe)

Sonst nimmst du für kleines Geld 2 GL inet Router
https://www.amazon.de/GL-iNet-GL-MT300N-V2-Repeater-Performance-Compatib ...
Alternativ 2 Raspberry Pi's mit OpenVPN oder 2 Mikrotik hAP_lite mit IPsec.

Danke für den Tipp - die GL inet Router sehen gut aus (gleich mit Gehäuse, all-in-one)

Und dann am besten ganz einfach via OpenVPN das Site2Site VPN etablieren, oder muss ich bei denen noch was beachten?
Ich bin da noch nicht so fit, also suche ich mir da ein komplettes Tutorial aus dem Netz. Wobei WireGuard besser sein soll...

die GL inet Router sehen gut aus

Und funktionieren auch gut ! Kein Wunder...ist ein OpenWRT drauf.
OpenVPN und Wireguard ist im aktuellen Release mit an Bord.
https://docs.gl-inet.com/en/3/release_notes/gl-ar300m/

Hallo @aqui
sorry, jetzt muss ich nochmal fragen... wie würdest du das VPN zwischen den beiden GL inet aufsetzen (bzw. wie würdest du es jemand empfehlen, der es noch nie gemacht hat?)
Reicht es über die integrierte WebGUI ?

Ich habe es damit probiert:
https://docs.gl-inet.com/en/3/app/wireguard/

aber irgendwo klemmt es noch.

Die beiden Netzwerk Admins die letztens im Haus waren konnte (oder wollten) mir dazu nichts sagen und ich habe damit leider zu wenig Erfahrung...

Reicht es über die integrierte WebGUI ?

Ja, das reicht !
Sehr sinnvoll ist in jedem Falle die aktuellste Firmware zu flashen ! (Derzeit 3.0.19)
Du hast dann erstmal generell die Wahl zwischen OpenVPN oder dem brandneuen Wireguard. Letzteres hat ja recht viele Vorschusslorbeeren:
https://www.heise.de/select/ct/2019/5/1551091519824850
Man darf aber nicht vergessen das es derzeit noch Beta ist und ggf. weitere Änderungen in den Code einfliessen. Verlässlicher ist da dann sicher OpenVPN. Wenn man seine Schlüssel hat ist das Setup damit sehr schnell erledigt.
Siehe dazu auch das OpenVPN Tutorial hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Du hast dich aber für Wireguard entschieden jetzt, oder ?

aber irgendwo klemmt es noch.

Wo denn ganz genau ?? Die o.a Doku erklärt es doch auch für Laien einigermaßen wasserdicht ?!

OK, dann blockt vielleicht die Firewall. Also ich habe die Version 3.0.12 - eine neuere zeigt es nicht zum Update an. Dann aktualisiere ich das mal bzw. schau auch mal nach dem ct Artikel (den ich auch habe)

Und ja, ich hätte Wireguard versucht und die Anleitung ist auch extrem einfach (ich bin ja auch Administrator, nur nicht für Netzwerk). Aber der Tunnel baut entweder gar nicht auf oder wenn er steht, kann ich nicht die IP des GL Inet am Ende des Tunnels pingen. Weiteres hab ich dann gar nicht versucht, aber auch die IP meines PCs ließ sich nicht pingen.

Konfig des Wireguard Server GL Inets:

{
"address": "10.0.0.2/32",
"allowed_ips": "0.0.0.0/0",
"end_point": "##MEINE PUBLIC IP (fix)##:51820",
"dns": "64.6.64.6",
"listen_port": "27272",
"persistent_keepalive": "25",
"private_key": "##Zeichenkette##",
"public_key": "##Zeichenkette##"
}

- aber ich probiere jetzt in jedem Fall das Update und schau dann weiter.

eine neuere zeigt es nicht zum Update an.

Gibt es ja aber wie du im obigen Links sehen kannst. Die solltest du auch unbedingt verwenden.
WireGuard ist nicht falsch, aber du solltest immer bedenken das das noch Beta ist.
https://www.heise.de/newsticker/meldung/VPN-Software-WireGuard-jetzt-als ...
Es ist aber in jedem Falle einen test wert. Hier rennt es stabil mit der 3.0.19er Version.
https://sarwiki.informatik.hu-berlin.de/WireGuard

OK - habe die 3.0.22 installiert (testing) und versuche einfach nochmal von vorne bzw. gedulde mich ein wenig und gehe auch nochmal die Anleitungen durch. Allzu tief werde ich mich aktuell nicht einlesen, vielleicht im Urlaub..

Testing Images sind immer ein Vabanque Spiel wegen der möglichen Bugs dort. Aber Versuch macht bekanntlich klug !

Denk dran: wenn die GL.inet in einer Router Kaskade laufen mit einem anderen Router davor der die Internet Connection macht das du ein entsprechendes Port Forwarding da dann einträgst.
Wenn die GL.inets "one armed" im lokalen Netz stecken, also ohne Kaskade, muss zusätzlich eine statische Route dort des remoten Zielnetzes auf den GL.inet zeigen. Siehe dazu auch:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bzw. "one armed" so:

Denk dir dann nur statt "OpenVPN" Wireguard !
Sofern die Dinger direkt oder per NUR Modem am Internet sind entfällt das natürlich !

Danke! Und in meinem Beispiel (siehe Config oben) wären das die Ports 51820 und 27272. Vermutlich Any:51820 ZU GL Inet Server und Any:27272 ZU GL Inet Server, richtig? Und sind da noch andere Ports nötig?

Weil bei meinem Wohnsitz hängt es hinter einer Fritzbox und bei meinen Eltern auch hinter einem ISP Modem. Beide kann ich
konfigurieren.

-- Update
Sorry, ja ich meinte Router. Weiß nicht wieso ich Modem geschrieben habe.

Wie kommst du denn auf "27272" ?? Und wieso 2 Ports ???
Per Default und wenn nicht anders in der Setup Datei definiert nutzt Wireguard nur 51820 !
Es reicht also einzig dieser Port !

auch hinter einem ISP Modem

Nur nochmal doof nachgefragt weil hier immer und immer wieder der Begriff Router und Modem laienhaft durcheinander gewürfelt wird.
Ein Router ist aktiv am IP sprich Layer 3 Forwarding beteiligt, ein reines Modem nicht ! Ein reines Modem ist nichts anderes als ein passiver Medienwandler !! An einem reinen Modem wird deshalb auch kein IP Traffic terminiert oder irgendwelche Zugangsdaten konfiguriert.
Siehe auch hier:
Kopplung von 2 Routern am DSL Port
und hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Also solltest du wirklich sicher klären ob das ein vollständiger Router davor ist oder nicht !!
Bei einem Router bzw. Kaskade benötigst in jedem Falle ein Port Forwarding vom Port 51820 auf den hinter dem Internet Router liegenden GL.inet Router.
Dann hängt es wie gesagt davon ab ob der GL.inet in einer Kaskade betrieben wird oder ob er nur sog. "one armed" also mit einem Bein quasi als Endgerät im Netz hängt.
Bei letzterem ist dann noch zwingend eine statische Route erforderlich auf dem davor liegenden Router.
Bei einer Kaskade entfällt die statische Route.
Eine Skizze deines Setups hilft immer zur Klärung...

Hallo @aqui,

tut mir Leid, dass ich nochmal poste nach so vielen Tagen. Also es sind Router auf beiden Seiten (habe das Wort Modem zu salopp verwendet)
Es ist Port 51820 aktiv. Und der Tunnel steht nun (ich sehe Traffic im Webinterface)
Aber das war auch schon die ganze Magie. Ich kann nichts pingen. Auch kein Ping auf 8.8.8.8

Laut den Infos von diesem Blogeintrag (https://www.stavros.io/posts/how-to-configure-wireguard/) sind wohl noch weitere Configeinträge nötig.
zb.

PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Gibt es weitere Prämissen? Also beide Sites/ Wohnorte sind im selben 10.0.0.xxx /24 Netz konfiguriert. Der eine Standort hat eine fixe ext. IPv4 Adresse und beim anderen habe ich eine DynDNS Adresse, die ich verwenden kann.

Irgendwie scheint mir, dass da mehr nötig ist, als es für mich den Anschein hat.
Ich denke, ich bin sehr fähig in meinen Bereichen, aber Netzwerk gehört da NICHT dazu....

Aktuelle Konfig (zensiert) aus dem "Management" Tab des GL Inet:

{
   "address": "10.0.0.2/32",  
    "allowed_ips": "0.0.0.0/0",  
    "end_point": "MEINE-DYNDNS-DOMAIN:51820",  
    "dns": "64.6.64.6",  
    "listen_port": "63781",  
    "persistent_keepalive": "25",  
    "private_key": "LANGE-ZEICHENKETTE=",  
    "public_key": "NOCH-EINE-LANGE-ZEICHENKETTE="  
}

Und hier die Konfig der Gegenseite (aktuell testweise die Windows Software, die kürzlich veröffentlicht wurde), abgetippt und zensiert:

INTERFACE
private_key: "LANGE-ZEICHENKETTE=",  
Addresse = 10.0.0.2/32
DNS = 64.6.64.6

PEER
public_key: "NOCH-EINE-LANGE-ZEICHENKETTE="  
AllowedIPs = 0.0.0.0/0
Endpoint = "MEINE-DYNDNS-DOMAIN:51820"  
Persistentkeepalive = 25

Sorry der Nachfrage. Ich lese mich ja gern ein, aber irgendwie weiß ich nicht, wo ich anfangen soll und wie lange das dauert. Deshalb suche ich immer nach spezifischen Guides....

Danke nochmal im Voraus!

Hallo,

Zitat von @139689:
Aber das war auch schon die ganze Magie. Ich kann nichts pingen. Auch kein Ping auf 8.8.8.8

OK. Siehe übernächsten Punkt.

Gibt es weitere Prämissen?

Eine richtige Grundkonfiguration

Also beide Sites/ Wohnorte sind im selben 10.0.0.xxx /24 Netz konfiguriert.

Und wie soll dann das Routing Funktionieren wenn beide Standorte die gleichen IIPs (Netze) etc. haben? Entweder du baust dir weitere Hardware hinzu um damit umzugehen (Nicht Trivial) oder jeder Standort bekommt sein eigenes IP Netz. z.B. 10.0.0.0/24 und 10.110.210.0/24. Dann kann auch geroutet werden. Das dürfte dein Problem von oben eliminieren.

Sorry der Nachfrage. Ich lese mich ja gern ein, aber irgendwie weiß ich nicht, wo ich anfangen soll und wie lange das dauert.

Na, es dauert so lange bis du es Kapiert hast. Oder du beauftragst einen Fachmann das zu machen.

Deshalb suche ich immer nach spezifischen Guides....

VPN Grundlagen ist dein Suchbegriff.

Gruß,
Peter

Hallo Peter,
Danke für die Antwort. Ich dachte, wenn beide Standorte das selbe Subnet (10.0.0.x/24 in dem Fall) haben, macht es die Sache leichter und es funktioniert, solange keine IPs doppelt vorkommen. Dass das Routing damit wohl nicht klarkommt, wenn ich das richtig verstehe, wusste ich nicht bzw. daran dachte ich nicht.
Dann ändere ich das mal....

Edit:
OK, im Testsetup hab ich den einen Bereich mal auf 10.0.1.xxx/24 geändert.
Dennoch selbes Bild...

Ps: Etwas kapieren klappt halt auch am besten, wenn man praktisch probiert, wenn man sonst (leider) niemanden kennt, den man fragen kann

Nicht denken sondern Nachdenken !!!

VPNs einrichten mit PPTP
Bei doppelten IPs ist doch logischerweise keinerlei eindeutige Wegefindung mehr möglich. Grundlagen von IP Routing !

OK.
Vielen Dank. Ich verstehe, dass ich einfach noch zu weit von dem Thema weg bin. Ich werde weiter probieren , mich einlesen und mir etwas aneignen aber unter der Gewissheit, dass der Padawan da noch viel zu lernen hat.

Deine Guides werde ich mir durchlesen, @aqui.

Das wird schon...!

German solved Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments