Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst OpenVPN Ubuntu Server vs DD-WRT Router

Mitglied: aracarac

aracarac (Level 1) - Jetzt verbinden

19.01.2014, aktualisiert 21:34 Uhr, 2809 Aufrufe, 14 Kommentare

Hallo liebes Forum,

Mein Problem:

Ich möchte ein VPN Netzwerk erstellen. Szenario:
64edf1eb02d6a387e6fd24a578254a23 - Klicke auf das Bild, um es zu vergrößern

1. OpenVPN Server ist ein Ubuntu 12.4 Root Server gehostet bei Server4you.
Habe OpenVPN installiert und Server läuft auch.


Serverconfig:

port 1194
proto udp
dev tun0
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
route 185.168.1.0 255.255.255.0
client-config-dir client01
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Netstat -r:

Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
default vg-642-3.s4y19. 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
62.75.177.0 * 255.255.255.0 U 0 0 0 eth0
185.168.1.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
2. OpenVPN Client ist ein WRT54GL Router mit DD-WRT.
Der Client läuft auch.

Netstat -r vom Router:

Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
10.8.0.5 * 255.255.255.255 UH 0 0 0 tun0
192.168.178.0 * 255.255.255.0 U 0 0 0 vlan1
185.168.1.0 * 255.255.255.0 U 0 0 0 br0
10.8.0.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0
169.254.0.0 * 255.255.0.0 U 0 0 0 br0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default fritz.box 0.0.0.0 UG 0 0 0 vlan1

Diverse Fakten:

- VPN Server hat 10.8.0.1 als VPN-IP.

- VPN Client hat 10.8.0.6 als VPN-IP.

- Lokale Netzwer vom Router ist 185.168.1.0

- Der WRT Router hängt hinter einer fritzbox. Bei der Fritzbox habe ich den Port 1194 freigegeben.

- Auf dem WRT Router habe ich diese Firewall Regel eingetragen:
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT
iptables -I INPUT 1 -s 10.8.0.0/24 -j ACCEPT
iptables -I FORWARD 1 -s 10.8.0.0/24 -j ACCEPT

So nun zu meinem Problem !!!

- Ich kann vom Server aus den Client anpingen z.b auf 10.8.0.6.

- Ich kann vom Client aus den Server anpingen auf 10.8.0.1

- Ich kann aber nicht das lokale Netzwerk hinter der WRT54 erreichen. Ich habe z.b einen Computer an der WRT mit der IP 185.168.1.120 den ich nicht vom Server aus anpingen kann.

WAS MACH ICH FALSCH !!! Wenn Ihr mehr Infos braucht dann bitte. Ich komme nicht auf das lokale Netzwerk hinterm WRT Client.!?
Mitglied: colinardo
20.01.2014, aktualisiert um 10:04 Uhr
Hi,
sieht soweit OK aus wenn die IP 185.168.1.0 das private Netz hinter dem WRT wäre, aber das ist ja keine IP aus einem privaten Adressbereich ..., checke auch mal die Firewall des Clients hinter dem WRT den du via ICMP(Ping) erreichen willst, ob dieser überhaupt Pings aus anderen Subnezten durchlässt: siehe folg. Kommentar https://www.administrator.de/forum/routing-zwischen-2-subnetzen-%c3%bcbe ...

Alles weitere zur Standortvernetzung mit OpenVPN kannst du hier nachlesen:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...

Grüße Uwe
Bitte warten ..
Mitglied: aqui
20.01.2014, aktualisiert um 10:00 Uhr
Die route auf die statische IP "route 185.168.1.0 255.255.255.0" ist unsinnig und auch überflüssig ! Der Server hat doch eine Internet Anbindung als öffentlicher Server ?!
Die "kennt" der Server doch so oder so, weil es eine öffentliche IP ist ! Hier müssen die Routen auf die lokalen LANs an den DD-WRT Clients rein, denn die kann der Server ja nicht kennen.
Wenn also dann musst du DAS dort konfigurieren.
Der Rest steht in dem bereits vom Kollegen colinardo zitierten Tutorial oben !
Bitte warten ..
Mitglied: aracarac
20.01.2014 um 11:01 Uhr
Hallo,

185.168.1.0 ist das lokale Netzwerk hinterm Client WRT54 Router und nicht die öffentliche IP des Servers!

Ich müßte doch eigentlich vom Server aus die IP 185.168.1.1 auch anpingen können. Oder? Das ist doch die IP womit ich auf den WRT Router zugreifen kann?
Bitte warten ..
Mitglied: colinardo
20.01.2014, aktualisiert 21.01.2014
Zitat von aracarac:

Hallo,

185.168.1.0 ist das lokale Netzwerk hinterm Client WRT54 Router und nicht die öffentliche IP des Servers!
Dir ist schon klar das dies eine IP-Adresse aus dem öffentlichen IP-Adressraum ist und deine Clients wenn sie denn eine Internetseite ansprechen möchten welche eine IP aus dem Adressraum hat diese nicht erreichen können ?

Ich müßte doch eigentlich vom Server aus die IP 185.168.1.1 auch anpingen können. Oder? Das ist doch die IP womit ich auf den WRT Router zugreifen kann?
Für den Zugriff von der Server-Seite in die Client-LANs gibt es beim DD-WRT etwas wichtiges zu beachten ! Lese dazu bitte unbedingt (ist aber auch schon in @aquis Anleitung verlinkt unter der Überschrift Besonderheit DD-WRT Client !!:): http://cyberdelia.de/2011/03/ddwrt-openvpn-nat-und-lan2lan-kopplung.htm ...

Wenn du diese dort angegebenen Firewall-Regeln implementierst klappt das...

Grüße Uwe
Bitte warten ..
Mitglied: orcape
21.01.2014 um 10:41 Uhr
WAS MACH ICH FALSCH !!! Wenn Ihr mehr Infos braucht dann bitte.
In Deiner OVPN-Server.conf verweist folgender Eintrag....
client-config-dir client01
...auf das ccd-File.
Poste mal den Inhalt dieser Datei.
Vielleicht hilft Dir ja auch das schon weiter.
http://www.synology-forum.de/entry.html?66-Entfernte-und-lokale-Netze-m ...
Gruß orcape
Bitte warten ..
Mitglied: aracarac
21.01.2014 um 11:33 Uhr
Hallo,

Habe jetzt das lokale Netz hinterm WRT Router geändert auf 172.168.1.0.

Im ccd File steht:
iroute 172.168.1.0 255.255.255.0


Danke im vorraus
Bitte warten ..
Mitglied: aqui
21.01.2014, aktualisiert um 21:06 Uhr
Bedenke das der iroute Befehl nur die Hälfte ist um das Subnetz an den Client zu routen !
Du brauchst zusätzlich noch eine Kernel route Befehl der dieses Netz an Openvpn routet.
Lies dir dazu mal die iroute Doku im OVPN Manual durch.
Bitte warten ..
Mitglied: aracarac
22.01.2014 um 00:22 Uhr
Hallo,

Geht das denn nicht ein bisschen genauer. Ich kann mittlerweile von einem Client zum anderen Client die VPN ips erreichen und kann z.B auch durch 10.8.0.6 z.B die GUI vom WRT Router aufrufen. Ich schaffe es aber nicht das lokale Netz 172.168.1.0 zu erreichen.

Wo muss ich ansetzen? Irgenwie habe ich dass soweit verstanden das das lokale Netzwerk in das VPN Netzwerk geroutet werden muss?! Aber wie??
Bitte warten ..
Mitglied: colinardo
22.01.2014 um 01:22 Uhr
hast du oben den Kommentar nicht gelesen ?
dann hier nochmal : http://cyberdelia.de/2011/03/ddwrt-openvpn-nat-und-lan2lan-kopplung.htm ...
Bitte warten ..
Mitglied: aracarac
22.01.2014 um 09:12 Uhr
Gruss Colinardo,

Habe ich schon versucht. Wenn ich die Firwall Regel eintrage die in dem Tutorial stehen dann kann ich gar nichs mehr pingen.

Mit dieser Firewall hier kann der Server und der Client wenigstens sich gegenseitig anpingen:
iptables -I INPUT 1 -p udp -dport 1194 -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I INPUT -i tap+ -j ACCEPT
iptables -I FORWARD -i tap+ -j ACCEPT


????
Bitte warten ..
Mitglied: orcape
22.01.2014, aktualisiert um 09:46 Uhr
Hi,
Mit dieser Firewall hier kann der Server und der Client wenigstens sich gegenseitig anpingen:
...was sind denn das auch für Firewallregeln, die Du da eingegeben hast.
Hat nichts mit dem Link von @colinardo zu tun.
Aber eins nach dem anderen...
Du hast in der Server-conf folgende Zeile stehen...
client-config-dir client01
Diese Zeile sollte einen Pfad zur ccd enthalten, z.B. so...
client-config-dir /var/etc/openvpn-csc (Bsp. aus pfSense conf.)
Da Du einen Linux-Server hast, sollte der Pfad entsprechend angepasst werden.
Weiter....
...hier mal ein Beispiel einer client-config-dir aus einer
funktionierenden OpenVPN-conf (Bsp. aus pfSense conf.)...
ifconfig-push 10.10.8.2 10.10.8.1 (...1 /Server, ...2 /Client)
iroute 192.168.55.0 255.255.255.0
push "route 192.168.55.0 255.255.255.0"
Der Tunnel funktioniert auch ohne die, richtig konfigurierte ccd, allerdings baut der Server dann einen Tunnel mit mehreren IP´s auf Server IP .1 bis Client IP .6 auf. Dabei ist das remote Netz nicht erreichbar, zumindest nicht direkt.
Die funktionierende Firewall.conf eines WRT54GL hatte ich Dir ja schon mal in einem Deiner anderen Threads gepostet, hier nochmal zu mitmeißeln....
iptables -I INPUT -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
Um Fehler zu vermeiden, solltest Du Dich per ssh mit dem Router direkt verbinden und mal ein "route" eingeben um die Interfacedaten zu vergleichen und ggf. anzupassen.
Ich hatte schon Router, da war das nicht tun0 sondern tun1, dann würde ohne Anpassung natürlich Deine Firewall.conf in die Hose gehen.
@colinardo
...die verlinkte Seite mit der Firewall.conf, hat zumindest bei mir so nicht funktioniert.
Fehler meinerseits natürlich nicht ausgeschlossen...
Gruß orcape
Bitte warten ..
Mitglied: aqui
22.01.2014 um 11:15 Uhr
Warum machst du dir denn das VPN Leben so schwer und deaktivierst die Firewall nicht einfach mal temporär ??
Damit hast du die Hürde dann doch erstmal ausgeschaltet, bringst das VPN sauber zum Laufen und machst danach dann wieder die Schotten richtig dicht.
So hast du wenigstens Gewissheit das dein VPN sauber funktioniert und nur die Firewall die verbliebene Baustelle ist !
Strategisch vorgehen heisst das Zauberwort ?!
Bitte warten ..
Mitglied: aracarac
22.01.2014 um 11:36 Uhr
Meinst du die SPI Firewall am Router welches man über die GUI deaktivieren kann??
Bitte warten ..
Mitglied: aqui
22.01.2014 um 11:37 Uhr
Nein eigentlich die am Server, denn die macht dir ja die Probleme, oder ?
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Speedport Hybrid - DD-WRT - OpenVPN ?
Frage von Motte990Router & Routing9 Kommentare

Guten Abend Leute, Ich sitze jetzt seit Stunden an dem Thema OpenVPN am DD-Wrt Router hinter einem Speedport Hybrid. ...

Netzwerke

Dd-wrt OpenVPN Backup-VPN auf zweit Router

Frage von DonJoeNetzwerke10 Kommentare

Hallo, ich haben auf einen dd-wrt Router A (192.168.X.A) OpenVPN-Server laufen und es funktioniert, nach dieser Anleitung nach: Ich ...

Router & Routing

OpenVPN-Server auf DD-WRT-Router hinter FritzBox

gelöst Frage von PedantRouter & Routing8 Kommentare

Hallo, War mal so ich hatte einen DD-WRT-Router als Internetrouter eingesetzt und auf dem einen OpenVPN-Server laufen mit dem ...

Router & Routing

(DD-WRT)(OpenVPN)(Client): Ist es möglich IPs auszuschließen?

Frage von mopaniRouter & Routing

Hallo Leute! Ich habe einen LinkSys WRT54GL v1.1 mit der Firmware DD-WRT v3.0-r34411 vpn (01/08/18) laufen und verwende dort ...

Neue Wissensbeiträge
Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 3 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 4 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 4 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Sicherheit

Zeitenwende: Mehr pot. Mac- (Heise Wortlaut) als Windowsbedrohungen

Information von certifiedit.net vor 5 TagenSicherheit4 Kommentare

Wir hatten es ja hier erst letztens, dass OS bzw Mac auch nicht der Weisheit letzter Schluss ist, nun ...

Heiß diskutierte Inhalte
Backup
VMware ESXi Cluster Backup
Frage von ADRNEXBackup22 Kommentare

Hallo zusammen, Ich habe eine vmware esxi cluster Umgebung mit ca. 20TB Daten, die auf einem SAN liegen. Es ...

Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement20 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Netzwerke
Frage zu Spanning-Tree-Layout
Frage von LordGurkeNetzwerke11 Kommentare

Hallo zusammen, ich habe aktuell das Problem, dass in einem relativ frisch aufgebauten Netzwerk mit redundanten Pfaden und MSTP ...

Router & Routing
OpenWrt Router und IPsec iptables
Frage von Achim462Router & Routing10 Kommentare

Hallo. Ich weiß nicht ob das der richtige Ort für dieses Thema ist. Falls nicht, kann ein Administrator dieses ...