Neue Firmware auf Buffalo- Air Station WHR-HP-G300N B - aktuell DD-WRT v3.0-r30949

keinnickfrei
Goto Top
Hallo Forenmitglieder!

Ich habe ein paar Buffalo Router (AirStation WHR-HP-G300N) ausrangiert bekommen und würde darüber gerne ein VPN realisieren.

Mein Problem ist: Das installierte DD-WRT v3.0-r30949 weigert sich den Posten zu verlassen.
Das ist diese: https://download1.dd-wrt.com/dd-wrtv2/downloads/betas/2016/12-15-2016-r3 ...

Es hat KEIN OpenVPN Modul, von daher kann ich es über diese FW nicht realisieren.

Ich habe die verschiedenste Anleitungen im Web versucht (Back to Stock, Upgrade auf neueres DD-WRT, Upgrade auf Open-WRT) und leider kein Erfolg.
Es bootet einfach wieder von Neuem und bleibt bei derselben FW.

mein letzter Versuch war diese FW via Webupdate in der Oberfläche:
http://downloads.openwrt.org/barrier_breaker/14.07/ar71xx/generic/openw ...
bzw. auch
https://archive.openwrt.org/chaos_calmer/15.05/ar71xx/generic/openwrt-15 ...


Ich weiß, es ist recht vage, aber ich habe es bei verschiedenen Geräten erfolgslos probiert.

Hat jemand eine Idee, woran es liegen kann?

Btw, mein Ziel wäre ein Site2Site VPN zwischen meinem Hauptwohnsitz und meinem Nebenwohnsitz mit möglichst wenig finanziellem Einsatz.
Und wenn ich schon diese Router habe....


Vielen Dank im Voraus für jede Antwort!

Content-Key: 447116

Url: https://administrator.de/contentid/447116

Ausgedruckt am: 08.08.2022 um 02:08 Uhr

Mitglied: aqui
aqui 03.05.2019 aktualisiert um 14:02:58 Uhr
Goto Top
Es gibt ein spezielles Revert Image was das Verhalten zurücksetzt. Das mal probiert ?
https://forum.dd-wrt.com/phpBB2/viewtopic.php?p=451295
Allerdings ist das wohl eher für die HW V.1 statt für V.3 face-sad
Kommt man ggf. über JTAG Anschlüsse auf der Platine da auf eine serielle Konsole ?
Oder ggf. mal mit ddadder und TFTP versuchen:
https://wiki.dd-wrt.com/wiki/index.php/Buffalo#WHR-HP-G300N_specifics
https://dd-wrt.com/support/other-downloads/?path=others%2Feko%2FBuffalo% ...
Mitglied: KeinNickFrei
KeinNickFrei 03.05.2019 aktualisiert um 15:38:17 Uhr
Goto Top
Hallo aqui,

vielen Dank - das revert Image würde an sich gut klingen. Leider sehe ich keinen (funktionalen) Link... werde mal weiter suchen, ob es den noch in einem Mirror oder einem verstreuten Post gibt...

Aufgeschraubt habe ich noch keines davon. TFTP hab ich versucht, ddadder nicht (laut readme wird die HW nicht unterstützt, aber ich kann es ja probieren, wenn ich es schaffe)
Mitglied: aqui
aqui 03.05.2019 aktualisiert um 18:43:04 Uhr
Goto Top
Sonst nimmst du für kleines Geld 2 GL inet Router
https://www.amazon.de/GL-iNet-GL-MT300N-V2-Repeater-Performance-Compatib ...
Alternativ 2 Raspberry Pi's mit OpenVPN oder 2 Mikrotik hAP_lite mit IPsec.
Mitglied: KeinNickFrei
KeinNickFrei 04.05.2019 um 16:10:36 Uhr
Goto Top
Danke für den Tipp - die GL inet Router sehen gut aus (gleich mit Gehäuse, all-in-one)

Und dann am besten ganz einfach via OpenVPN das Site2Site VPN etablieren, oder muss ich bei denen noch was beachten?
Ich bin da noch nicht so fit, also suche ich mir da ein komplettes Tutorial aus dem Netz. Wobei WireGuard besser sein soll...
Mitglied: aqui
Lösung aqui 05.05.2019 um 10:33:37 Uhr
Goto Top
die GL inet Router sehen gut aus
Und funktionieren auch gut ! Kein Wunder...ist ein OpenWRT drauf.
OpenVPN und Wireguard ist im aktuellen Release mit an Bord.
https://docs.gl-inet.com/en/3/release_notes/gl-ar300m/
Mitglied: KeinNickFrei
KeinNickFrei 15.05.2019 um 17:27:07 Uhr
Goto Top
Hallo @aqui
sorry, jetzt muss ich nochmal fragen... wie würdest du das VPN zwischen den beiden GL inet aufsetzen (bzw. wie würdest du es jemand empfehlen, der es noch nie gemacht hat?)
Reicht es über die integrierte WebGUI ?

Ich habe es damit probiert:
https://docs.gl-inet.com/en/3/app/wireguard/

aber irgendwo klemmt es noch.

Die beiden Netzwerk Admins die letztens im Haus waren konnte (oder wollten) mir dazu nichts sagen und ich habe damit leider zu wenig Erfahrung...
Mitglied: aqui
aqui 15.05.2019 aktualisiert um 18:39:37 Uhr
Goto Top
Reicht es über die integrierte WebGUI ?
Ja, das reicht !
Sehr sinnvoll ist in jedem Falle die aktuellste Firmware zu flashen ! (Derzeit 3.0.19)
Du hast dann erstmal generell die Wahl zwischen OpenVPN oder dem brandneuen Wireguard. Letzteres hat ja recht viele Vorschusslorbeeren:
https://www.heise.de/select/ct/2019/5/1551091519824850
Man darf aber nicht vergessen das es derzeit noch Beta ist und ggf. weitere Änderungen in den Code einfliessen. Verlässlicher ist da dann sicher OpenVPN. Wenn man seine Schlüssel hat ist das Setup damit sehr schnell erledigt.
Siehe dazu auch das OpenVPN Tutorial hier:
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
Du hast dich aber für Wireguard entschieden jetzt, oder ?
aber irgendwo klemmt es noch.
Wo denn ganz genau ?? Die o.a Doku erklärt es doch auch für Laien einigermaßen wasserdicht ?!
Mitglied: KeinNickFrei
KeinNickFrei 15.05.2019 um 20:43:49 Uhr
Goto Top
OK, dann blockt vielleicht die Firewall. Also ich habe die Version 3.0.12 - eine neuere zeigt es nicht zum Update an. Dann aktualisiere ich das mal bzw. schau auch mal nach dem ct Artikel (den ich auch habe)

Und ja, ich hätte Wireguard versucht und die Anleitung ist auch extrem einfach (ich bin ja auch Administrator, nur nicht für Netzwerk). Aber der Tunnel baut entweder gar nicht auf oder wenn er steht, kann ich nicht die IP des GL Inet am Ende des Tunnels pingen. Weiteres hab ich dann gar nicht versucht, aber auch die IP meines PCs ließ sich nicht pingen.

Konfig des Wireguard Server GL Inets:

{
"address": "10.0.0.2/32",
"allowed_ips": "0.0.0.0/0",
"end_point": "##MEINE PUBLIC IP (fix)##:51820",
"dns": "64.6.64.6",
"listen_port": "27272",
"persistent_keepalive": "25",
"private_key": "##Zeichenkette##",
"public_key": "##Zeichenkette##"
}

- aber ich probiere jetzt in jedem Fall das Update und schau dann weiter.
Mitglied: aqui
Lösung aqui 16.05.2019 um 11:47:30 Uhr
Goto Top
eine neuere zeigt es nicht zum Update an.
Gibt es ja aber wie du im obigen Links sehen kannst. Die solltest du auch unbedingt verwenden.
WireGuard ist nicht falsch, aber du solltest immer bedenken das das noch Beta ist.
https://www.heise.de/newsticker/meldung/VPN-Software-WireGuard-jetzt-als ...
Es ist aber in jedem Falle einen test wert. Hier rennt es stabil mit der 3.0.19er Version.
https://sarwiki.informatik.hu-berlin.de/WireGuard
Mitglied: KeinNickFrei
KeinNickFrei 16.05.2019 um 18:17:41 Uhr
Goto Top
OK - habe die 3.0.22 installiert (testing) und versuche einfach nochmal von vorne bzw. gedulde mich ein wenig und gehe auch nochmal die Anleitungen durch. Allzu tief werde ich mich aktuell nicht einlesen, vielleicht im Urlaub..
Mitglied: aqui
aqui 16.05.2019 aktualisiert um 18:48:40 Uhr
Goto Top
Testing Images sind immer ein Vabanque Spiel wegen der möglichen Bugs dort. Aber Versuch macht bekanntlich klug ! face-wink
Denk dran: wenn die GL.inet in einer Router Kaskade laufen mit einem anderen Router davor der die Internet Connection macht das du ein entsprechendes Port Forwarding da dann einträgst.
Wenn die GL.inets "one armed" im lokalen Netz stecken, also ohne Kaskade, muss zusätzlich eine statische Route dort des remoten Zielnetzes auf den GL.inet zeigen. Siehe dazu auch:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...
Bzw. "one armed" so:

onearmed
Denk dir dann nur statt "OpenVPN" Wireguard !
Sofern die Dinger direkt oder per NUR Modem am Internet sind entfällt das natürlich !
Mitglied: KeinNickFrei
KeinNickFrei 17.05.2019 aktualisiert um 17:56:33 Uhr
Goto Top
Danke! Und in meinem Beispiel (siehe Config oben) wären das die Ports 51820 und 27272. Vermutlich Any:51820 ZU GL Inet Server und Any:27272 ZU GL Inet Server, richtig? Und sind da noch andere Ports nötig?

Weil bei meinem Wohnsitz hängt es hinter einer Fritzbox und bei meinen Eltern auch hinter einem ISP Modem. Beide kann ich
konfigurieren.

-- Update
Sorry, ja ich meinte Router. Weiß nicht wieso ich Modem geschrieben habe.
Mitglied: aqui
aqui 17.05.2019 um 13:39:15 Uhr
Goto Top
Wie kommst du denn auf "27272" ?? Und wieso 2 Ports ???
Per Default und wenn nicht anders in der Setup Datei definiert nutzt Wireguard nur 51820 !
Es reicht also einzig dieser Port !
auch hinter einem ISP Modem
Nur nochmal doof nachgefragt weil hier immer und immer wieder der Begriff Router und Modem laienhaft durcheinander gewürfelt wird.
Ein Router ist aktiv am IP sprich Layer 3 Forwarding beteiligt, ein reines Modem nicht ! Ein reines Modem ist nichts anderes als ein passiver Medienwandler !! An einem reinen Modem wird deshalb auch kein IP Traffic terminiert oder irgendwelche Zugangsdaten konfiguriert.
Siehe auch hier:
https://administrator.de/wissen/kopplung-2-routern-dsl-port-48713.html#t ...
und hier:
https://administrator.de/wissen/preiswerte-vpn-fähige-firewall-eige ...

Also solltest du wirklich sicher klären ob das ein vollständiger Router davor ist oder nicht !!
Bei einem Router bzw. Kaskade benötigst in jedem Falle ein Port Forwarding vom Port 51820 auf den hinter dem Internet Router liegenden GL.inet Router.
Dann hängt es wie gesagt davon ab ob der GL.inet in einer Kaskade betrieben wird oder ob er nur sog. "one armed" also mit einem Bein quasi als Endgerät im Netz hängt.
Bei letzterem ist dann noch zwingend eine statische Route erforderlich auf dem davor liegenden Router.
Bei einer Kaskade entfällt die statische Route.
Eine Skizze deines Setups hilft immer zur Klärung... face-wink
Mitglied: KeinNickFrei
KeinNickFrei 09.06.2019 aktualisiert um 19:42:49 Uhr
Goto Top
Hallo @aqui,

tut mir Leid, dass ich nochmal poste nach so vielen Tagen. Also es sind Router auf beiden Seiten (habe das Wort Modem zu salopp verwendet)
Es ist Port 51820 aktiv. Und der Tunnel steht nun (ich sehe Traffic im Webinterface)
Aber das war auch schon die ganze Magie. Ich kann nichts pingen. Auch kein Ping auf 8.8.8.8

Laut den Infos von diesem Blogeintrag (https://www.stavros.io/posts/how-to-configure-wireguard/) sind wohl noch weitere Configeinträge nötig.
zb.


Gibt es weitere Prämissen? Also beide Sites/ Wohnorte sind im selben 10.0.0.xxx /24 Netz konfiguriert. Der eine Standort hat eine fixe ext. IPv4 Adresse und beim anderen habe ich eine DynDNS Adresse, die ich verwenden kann.

Irgendwie scheint mir, dass da mehr nötig ist, als es für mich den Anschein hat.
Ich denke, ich bin sehr fähig in meinen Bereichen, aber Netzwerk gehört da NICHT dazu....

Aktuelle Konfig (zensiert) aus dem "Management" Tab des GL Inet:



Und hier die Konfig der Gegenseite (aktuell testweise die Windows Software, die kürzlich veröffentlicht wurde), abgetippt und zensiert:



Sorry der Nachfrage. Ich lese mich ja gern ein, aber irgendwie weiß ich nicht, wo ich anfangen soll und wie lange das dauert. Deshalb suche ich immer nach spezifischen Guides....

Danke nochmal im Voraus!
Mitglied: Pjordorf
Lösung Pjordorf 09.06.2019 um 20:28:24 Uhr
Goto Top
Hallo,

Zitat von @KeinNickFrei:
Aber das war auch schon die ganze Magie. Ich kann nichts pingen. Auch kein Ping auf 8.8.8.8
OK. Siehe übernächsten Punkt.

Gibt es weitere Prämissen?
Eine richtige Grundkonfiguration

Also beide Sites/ Wohnorte sind im selben 10.0.0.xxx /24 Netz konfiguriert.
Und wie soll dann das Routing Funktionieren wenn beide Standorte die gleichen IIPs (Netze) etc. haben? Entweder du baust dir weitere Hardware hinzu um damit umzugehen (Nicht Trivial) oder jeder Standort bekommt sein eigenes IP Netz. z.B. 10.0.0.0/24 und 10.110.210.0/24. Dann kann auch geroutet werden. Das dürfte dein Problem von oben eliminieren.

Sorry der Nachfrage. Ich lese mich ja gern ein, aber irgendwie weiß ich nicht, wo ich anfangen soll und wie lange das dauert.
Na, es dauert so lange bis du es Kapiert hast. Oder du beauftragst einen Fachmann das zu machen. face-smile

Deshalb suche ich immer nach spezifischen Guides....
VPN Grundlagen ist dein Suchbegriff.

Gruß,
Peter
Mitglied: KeinNickFrei
KeinNickFrei 09.06.2019 aktualisiert um 21:19:06 Uhr
Goto Top
Hallo Peter,
Danke für die Antwort. Ich dachte, wenn beide Standorte das selbe Subnet (10.0.0.x/24 in dem Fall) haben, macht es die Sache leichter und es funktioniert, solange keine IPs doppelt vorkommen. Dass das Routing damit wohl nicht klarkommt, wenn ich das richtig verstehe, wusste ich nicht bzw. daran dachte ich nicht.
Dann ändere ich das mal....

Edit:
OK, im Testsetup hab ich den einen Bereich mal auf 10.0.1.xxx/24 geändert.
Dennoch selbes Bild...

Ps: Etwas kapieren klappt halt auch am besten, wenn man praktisch probiert, wenn man sonst (leider) niemanden kennt, den man fragen kann face-wink
Mitglied: aqui
Lösung aqui 10.06.2019 aktualisiert um 10:31:26 Uhr
Goto Top
Nicht denken sondern Nachdenken !!! face-wink
https://administrator.de/wissen/vpns-einrichten-pptp-117700.html#toc-7
Bei doppelten IPs ist doch logischerweise keinerlei eindeutige Wegefindung mehr möglich. Grundlagen von IP Routing ! face-wink
Mitglied: KeinNickFrei
KeinNickFrei 10.06.2019 um 11:30:09 Uhr
Goto Top
OK.
Vielen Dank. Ich verstehe, dass ich einfach noch zu weit von dem Thema weg bin. Ich werde weiter probieren , mich einlesen und mir etwas aneignen aber unter der Gewissheit, dass der Padawan da noch viel zu lernen hat.

Deine Guides werde ich mir durchlesen, @aqui.
Mitglied: aqui
aqui 10.06.2019 um 15:50:50 Uhr
Goto Top
Das wird schon...! face-wink