OpenVPN mit DD Wrt
Hallo zusammen,
ich habe mal wieder mich nach einem Jahr dran versucht an meinem DD Wrt Router OpenVPN am Laufen zu bringen.
Soweit hat laut Anleitung dieser Seite gut geklappt. Zertifikate und Keys erstellt und alle Einstellungen gemacht.
Hier mal meine Server Config:
Und hier die Client Config
Verbinde ich mich in meinem eigenem LAN, dann klappt die Verbindung. Ich bekomme eine IP vom OpenVPN Server zugeteilt. Verbinde ich mich von extern, dann bekomme ich folgende Fehlermeldeung.
Ich habe im Router den Port 1194 für TCP & UDP freigeschaltet und diese Firewall Einstellungen gemacht.
Hat jemand eine Idee woran das noch liegen kann? Ich bin kein Profi, aber hab mich ein bisschen eingelesen und habe soweit alles nach Anleitung gemacht.
ich habe mal wieder mich nach einem Jahr dran versucht an meinem DD Wrt Router OpenVPN am Laufen zu bringen.
Soweit hat laut Anleitung dieser Seite gut geklappt. Zertifikate und Keys erstellt und alle Einstellungen gemacht.
Hier mal meine Server Config:
port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt (Master Zertifikat)
cert /tmp/openvpn/cert.pem (Server Zertifikat)
key /tmp/openvpn/key.pem (Server Key)
dh /tmp/openvpn/dh.pem (DH Parameter)
server 172.16.2.0 255.255.255.0
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
Und hier die Client Config
client
dev tun
proto udp
remote server.ddns.net
resolv-retry infinite
nobind
persist-key
persist-tun
ca C:/Programme/OpenVPN/config/ca.crt
cert C:/Programme/OpenVPN/config/client1.crt
key C:/Programme/OpenVPN/config/client1.key
ns-cert-type server
comp-lzo
verb 3
Verbinde ich mich in meinem eigenem LAN, dann klappt die Verbindung. Ich bekomme eine IP vom OpenVPN Server zugeteilt. Verbinde ich mich von extern, dann bekomme ich folgende Fehlermeldeung.
Sat Oct 24 00:04:24 2015 OpenVPN 2.3.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Jul 9 2015
Sat Oct 24 00:04:24 2015 library versions: OpenSSL 1.0.1p 9 Jul 2015, LZO 2.08
Sat Oct 24 00:04:24 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Sat Oct 24 00:04:24 2015 Need hold release from management interface, waiting...
Sat Oct 24 00:04:24 2015 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Sat Oct 24 00:04:24 2015 MANAGEMENT: CMD 'state on'
Sat Oct 24 00:04:24 2015 MANAGEMENT: CMD 'log all on'
Sat Oct 24 00:04:24 2015 MANAGEMENT: CMD 'hold off'
Sat Oct 24 00:04:24 2015 MANAGEMENT: CMD 'hold release'
Sat Oct 24 00:04:25 2015 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sat Oct 24 00:04:25 2015 MANAGEMENT: >STATE:1445637865,RESOLVE,,,
Sat Oct 24 00:04:25 2015 UDPv4 link local: [undef]
Sat Oct 24 00:04:25 2015 UDPv4 link remote: [AF_INET]80.7.55.100:1194 ( eigene IP geändert )
Sat Oct 24 00:04:25 2015 MANAGEMENT: >STATE:1445637865,WAIT,,,
Ich habe im Router den Port 1194 für TCP & UDP freigeschaltet und diese Firewall Einstellungen gemacht.
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT
iptables -I INPUT 3 -i tun0 -j ACCEPT
iptables -I FORWARD 3 -i tun0 -o tun0 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
Hat jemand eine Idee woran das noch liegen kann? Ich bin kein Profi, aber hab mich ein bisschen eingelesen und habe soweit alles nach Anleitung gemacht.
Please also mark the comments that contributed to the solution of the article
Content-Key: 286562
Url: https://administrator.de/contentid/286562
Printed on: April 26, 2024 at 03:04 o'clock
21 Comments
Latest comment
Kardinalsfrage ist WIE du den DD-WRT im Netz integriert hast ??? Direkt, in einer Router Kaskade oder als sog. "one armed router" ???
Da du dazu keinerlei Aussage getroffen hast ist es schwer eine Antwort auf deinen Frage zu geben ohne raten zu müssen
Es macht also Sinn wenn du dein Netzdesign nochmal etwas präzisierst hier !
Ansonsten hat das hiesige Tutorial eigentlich alles erklärt was zum erforlgreichen Betrieb nötig ist:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Da du dazu keinerlei Aussage getroffen hast ist es schwer eine Antwort auf deinen Frage zu geben ohne raten zu müssen
Es macht also Sinn wenn du dein Netzdesign nochmal etwas präzisierst hier !
Ansonsten hat das hiesige Tutorial eigentlich alles erklärt was zum erforlgreichen Betrieb nötig ist:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ist das ganz sicher ein Kabel Modem ???
Also ein reines Modem was dahinter noch einen Ethernet Breitband Router erfordert ? Oder ist das was du als "Unitymedia Kabel Modem" bezeichnest ein vollständiger Router ?
Das kannst du meist daran sehen das auf dem LAN Anschluss ein RFC 1918 IP Netz mit privaten IP Adressen (10er, 172er oder 192.168er) verwendet wird, dann ist es ein NAT Router.
Ein reines Modem ist nur ein passiver Medienwandler und "schleift" nur die öffentlichen IPs des Providers durch so das du am angeschlossenen Endgerät dann meist öffentliche IPs vom Provider hast !
Das ist essentiell wichtig zu wissen !
Wenn es 2 Router sind, also eine Router Kaskade, musst du logischerweise auch UDP 1194 in der Unitymedia Gurke per Port Forwarding auf die IP das kaskadierten Routers forwarden, sonst kann UDP 1194 nicht durchs NAT passieren...logisch !
Bedenke auch das dein OVPN Zugriff wirklich von außen passieren muss !
Du kannst nicht von intern deine externe Router IP oder DynDNS connecten, denn das scheitert am nicht supporteten Hairpin NAT Problem !
Also ein reines Modem was dahinter noch einen Ethernet Breitband Router erfordert ? Oder ist das was du als "Unitymedia Kabel Modem" bezeichnest ein vollständiger Router ?
Das kannst du meist daran sehen das auf dem LAN Anschluss ein RFC 1918 IP Netz mit privaten IP Adressen (10er, 172er oder 192.168er) verwendet wird, dann ist es ein NAT Router.
Ein reines Modem ist nur ein passiver Medienwandler und "schleift" nur die öffentlichen IPs des Providers durch so das du am angeschlossenen Endgerät dann meist öffentliche IPs vom Provider hast !
Das ist essentiell wichtig zu wissen !
Wenn es 2 Router sind, also eine Router Kaskade, musst du logischerweise auch UDP 1194 in der Unitymedia Gurke per Port Forwarding auf die IP das kaskadierten Routers forwarden, sonst kann UDP 1194 nicht durchs NAT passieren...logisch !
Bedenke auch das dein OVPN Zugriff wirklich von außen passieren muss !
Du kannst nicht von intern deine externe Router IP oder DynDNS connecten, denn das scheitert am nicht supporteten Hairpin NAT Problem !
Hallo,
Ich dachte nur die Kühlschränke von Unitymedia sind ausschließlich Schwarz. Sicher das du dort kein Vulkangestein liegen hast?
Es hilft vielleicht etwas mehr wenn du uns den Hersteller sowie die Bezeichnung nennst und ob du eine Öffentliche IP an deinen Router siehst oder nicht. Und nein - Unitymedia ist kein Hersteller.
Gruß,
Peter
Ich dachte nur die Kühlschränke von Unitymedia sind ausschließlich Schwarz. Sicher das du dort kein Vulkangestein liegen hast?
Es hilft vielleicht etwas mehr wenn du uns den Hersteller sowie die Bezeichnung nennst und ob du eine Öffentliche IP an deinen Router siehst oder nicht. Und nein - Unitymedia ist kein Hersteller.
Gruß,
Peter
Das Ding ist komplett schwarz.
Muhahaha...du erkennst also rein an der Farbe ob Router oder Modem ?? Klasse Witz und zeugt von echtem technischen Verständnis !!!Gut solltest du Recht haben kannst du das im DD-WRT Hauptscreen des Setups ja auch in der rechten oberen Ecke sehen wo dir die aktive WAN IP Adresse angezeigt wird !
Diese sollte dann eine öffentliche IP sein, richtig ?
Interessant wäre mal zu sehen was OpenVPN am Prompt meldet beim Client Login wenn du es manuell zum Troubleshooting startest wie im o.a. Tutorial beschrieben ?
Generell sind deine Einstellungen der Firewall unnötig, denn das erledigt DD-WRT. Nicht das du da irgendwas verschlimmbessert hast ?!
Aber sicher! Router sind doch immer rot-silber oder?
Hi,
Ähhhh, meiner ist aber nicht rot-silber sondern silber-rot mit kleinen roten Quadraten, lila Rechtecken und gelben Dreiecken mit blaue rauten drin. Hat der sich ein Virus eingefangen? Was kann das sein?
Gruß,
Peter
Ähhhh, meiner ist aber nicht rot-silber sondern silber-rot mit kleinen roten Quadraten, lila Rechtecken und gelben Dreiecken mit blaue rauten drin. Hat der sich ein Virus eingefangen? Was kann das sein?
Gruß,
Peter
Zitat von @Pjordorf:
Hi,
Ähhhh, meiner ist aber nicht rot-silber sondern silber-rot mit kleinen roten Quadraten, lila Rechtecken und gelben Dreiecken mit blaue rauten drin. Hat der sich ein Virus eingefangen? Was kann das sein?
Hi,
Ähhhh, meiner ist aber nicht rot-silber sondern silber-rot mit kleinen roten Quadraten, lila Rechtecken und gelben Dreiecken mit blaue rauten drin. Hat der sich ein Virus eingefangen? Was kann das sein?
Häää? Komisch.. mein letzter Virus sah ungefähr so aus:
Also DDNS wird wohl funktionieren und der Client findet den OpenVPN
OK, ja, das sieht gut aus und dann ist das somit erstmal geklärt.Kannst du OpenVPN mal manuell starten auf dem CLI wie im Tutorial beschrieben (Login wie Telnet oder SSH mit PuTTY oder TeraTerm) und dich dann aufs CLI des Servers einloggen.
Bitte dann mal den Konsol Output vom Server und das Connect Log vom Client hier posten !
Vergleiche den Server Output mit dem im obigen Tutorial als Beispiel angegebenen !
Dort muss zwangsweise ein Initialization Sequence Completed am Ende stehen.
Bevor du das machst solltest du unbedingt deine Server konf nochmal korrigieren:
port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0" (Wichtig ! Dein lokales LAN Netz was an den Client MUSS, fehlt bei dir !!!)
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
Ohne den push route Befehl kann der Client NICHTS im lokalen Netz erreichen !!
Ist der Client per VPN verbunden zeigt dir ein route print auf dem Client ob die o.a. Ziel IP in den VPN Tunnel geroutet wird !
Zitat von @NeckCheck:
Ich habe keine Passphrase eingestellt, also hilft mir leider dein Link nicht weiter.
Darum gehts in dem Link doch gar nicht ... les ihn mal genauer ...Ich habe keine Passphrase eingestellt, also hilft mir leider dein Link nicht weiter.
was meiner Meinung einer Problem mit der Zertifizierung ausschließt.
Nicht unbedingt...
Mit deinem TLS Handshaking stimmt was nicht !!!
Der Fehler ist doch eindeutig !!!
Mon Oct 26 12:44:16 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Oct 26 12:44:16 2015 TLS Error: TLS handshake failed
Der VPN Tunnel wird gar nicht aufgebaut.
Das hast du gelesen dazu:
https://openvpn.net/index.php/open-source/faq/79-client/253-tls-error-tl ...
https://forums.openvpn.net/topic12938.html
Suche nach "OpenVPN TLS handshake failed" und du findest Millionen Lösungen dazu.
Fazit: Du hast irgendwo vergessen ein UDP 1194 forwarding zu machen oder hast irgendwo einen Firewall Filter ?!
Der Fehler ist doch eindeutig !!!
Mon Oct 26 12:44:16 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Oct 26 12:44:16 2015 TLS Error: TLS handshake failed
Der VPN Tunnel wird gar nicht aufgebaut.
Das hast du gelesen dazu:
https://openvpn.net/index.php/open-source/faq/79-client/253-tls-error-tl ...
https://forums.openvpn.net/topic12938.html
Suche nach "OpenVPN TLS handshake failed" und du findest Millionen Lösungen dazu.
Fazit: Du hast irgendwo vergessen ein UDP 1194 forwarding zu machen oder hast irgendwo einen Firewall Filter ?!