vbmaxi
Goto Top

VPNGateway mit OpenVPN unter OpenWRT

hi @all,
ich habe mir den Router Linksys WRT54GL gekauft und geflasht. Jetzt ist OpenWRT in der WhiteRussian verion drauf. Ich würde gerne eine Art VPN Gateway aufbauen.
Als mein Szenario:
afb76bb84f0efdb9eaccf7dfeb203c95-complete
"Die Einzelteile der Bilder sind im Internet zusammengesucht, nicht das ich gegen irgend ein Copyright-Recht verstoße, falls schon bitte macht mich drauf aufmerksam".

Ich möchte eine VPN-Verbindung von "Client1" über das Internet zu dem VPN-Gateway aufbauen und von "Client1"auf "Local1, Local2, Local1" hinter dem VPN-Gateway aufbauen.

Ich habe im Internet schon einige Anleitungen gelesen aber bin mit dehnen auf keinen grünen Zweig gekommen.


Währe nett wenn ihr einem Anfänger in Sachen VPN ein bisschen unter die Arme greifen könntet.

lg maxi

Content-Key: 77927

Url: https://administrator.de/contentid/77927

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: aqui
aqui 14.01.2008 um 12:17:23 Uhr
Goto Top
Dies Tutorial sollte dir weiterhelfen:


Es ist zwar für dd-wrt gedacht aber die Einstellungen dürften bei OpenWRT analog sein !
Wichtig ist das die IP des Linksys fest und statisch ist und NICHT in der DHCP Range des davorliegenden DSL Routers liegt !
Dieser davorliegende DSL Router muss natürlich unbedingt eine Port Weiterleitung auf den Linksys für das verwendete VPN Protokoll haben !!!
Ist das PPTP wie bei dd-wrt, dann sind das die Ports TCP 1723 und das GRE Protokoll mit der IP Protokollnummer 47. Dieser Router muss zwingend VPN Passthrough supporten sonst wird es nichts mit dem VPN und PPTP.
Sollte OpenWRT einen OpenVPN Server supporten brauchst du lediglich den Port TCP 1194 forwarden auf den Linksys denn das ist der Standard OpenVPN Port ! (Die Ports für PPTP entfallen dann natürlich !)

Wie man einen PPTP Client einrichtet unter Windows siehst du z.B. hier:
http://www.wintotal.de/Artikel/vpnxp/vpnxp.php
Mitglied: vbMaxi
vbMaxi 14.01.2008 um 18:35:17 Uhr
Goto Top
hi aqui,
diese Anleitung habe ich schon gelesen und genau das hab ich auch gesucht nur mein Problem ist das die Whiterussian version keine So ausgeprägte Konfigurationsoberfläche besitzt. Also kann ich das Tutorial nich anwenden.

Trotzdem danke
maxi
Mitglied: vbMaxi
vbMaxi 14.01.2008 um 20:06:47 Uhr
Goto Top
hi aqui,
habs inzwischen hinbekommen den pptd server aufzusetzten. Nur jetzt noch mein Problem: Ich kann von außen nich über meine dydns-Domain auf des Netzwerk zugreifen bei Benutzernamen und Passwort verifizieren bleibt er hängen. Ich habe einen Digitus DN1104-N USB auf der Schachtel steht das er VPN-Passtrought unterstützt auf PPTP. Muss ich da extra was einstellen??

lg vbmaxi
Mitglied: aqui
aqui 15.01.2008 um 12:43:38 Uhr
Goto Top
Ja, aber das ist nur die halbe Miete und betrifft nur das GRE Protokoll !
Du musst auf dem davorliegenden Router unbedingt in der Portweiterleitungstabelle (Port Forwarding) den Port TCP 1723 auf die IP der Linksys Maschine vorwarden, denn sonst wirds nichts mit der PPTP Verbindung !

Denk dran das das NUR für PPTP gilt. Du schmeisst hier ja OpenVPN und PPTP wild durcheinander. Bedenke das das 2 verschiedene VPN Verfahren sind die auch unterschiedliche Protokolle verwenden !!! Aus deinen letzetn Post kann man nun aber vermuten das es bei dir um PPTP geht ?!
Mitglied: vbMaxi
vbMaxi 15.01.2008 um 19:07:14 Uhr
Goto Top
hi aqui,
die Portweiterleitung ist eingerichtet. Allerdings bleibt er wie gesagt bei "Benutzername und Passwort verifizieren" hängen.

Zu Wild durcheinander Würfeln:
ja mein erster Gedanke war auch OpenVPN allerdings is das zu konfigurieren Horror. Und dann hab ich die Anleitung die du mir geschickt hast gelesen und gesehen das des PPTP viel einfacher geht.

lg maxi
Mitglied: aqui
aqui 16.01.2008 um 09:47:34 Uhr
Goto Top
Ok, dann ists PPTP. Das Verhalten lässt darauf schliessen, das der Router vor dem Linksys die Packete nicht weiterleitet oder der PPTP Server im Linksys nicht antwortet.

Das ist natürlich über ein Forum schlecht zu sagen, so das du mal messen musst.
Dazu schleifst du einfach einen Hub in deinen Anschluss des Linksys ein und schliesst dort mal einen Packet Sniffer wie den www.WIRESHARK.org an oder den NetMonitor von MS.
Damit kannst du sofort sehen ob der Router sauber die bei ihm eingehenden PPTP Packete an den Linksys forwardet bzw. ob der Linksys antwortet.
Ggf. solltest du die PPTP Verbindung erstmal sicher im lokalen Netz am Linksys testen, damit du ganz sicher gehen kannst, das dieser auch sauber funktioniert und der Fehler nicht am PPTP VPN Server selber liegt !
Mitglied: vbMaxi
vbMaxi 17.01.2008 um 16:49:50 Uhr
Goto Top
hi aqui,
was anderes es muss eine Verbindung statt finden dan folgender Log in der Logdatei steht:
root@OpenWrt:~# cat pptp-server.log
Using interface ppp0
Connect: ppp0 <--> /dev/pts/1
LCP: timeout sending Config-Requests
Connection terminated.
Modem hangup

Das andere werd ich auch ausprobieren

lg maxi
Mitglied: aqui
aqui 17.01.2008 um 21:07:37 Uhr
Goto Top
Ja, das stimmt, dann kommen Packete dann scheinbar an aber der Client lääst keine Config Requests zu. Das istt ggf. ein Setting in den erweiterten Eigenschaften des PPTP Clients...

Wie gesagt vorab lokal testen ohne NAT und PFW, dann gehst du immer auf Nummer sicher !
Mitglied: vbMaxi
vbMaxi 17.01.2008 um 21:13:55 Uhr
Goto Top
hi aqui,
ohne NAT gehts ja einwandfrei über die Locale IP is es ja kein Problem

lg vbmaxi
Mitglied: aqui
aqui 17.01.2008 um 21:25:27 Uhr
Goto Top
Dann kann es aber doch nur ein Forwarding Problem des davorliegenden Routers sein, das ist dann eindeutig. Vermutlich supportet der kein VPN Passthrough, dann hast du keine Chance.

Das kannst du einfach rausbekommen. Capture mal einen kompletten funktionieren PPTP Verbindungsaufbau lokal mit mit dem Wireshark oder NetMonitor und dann machst du genau das gleiche nochmal wenn du im Internet vor dem Router bist.
Die Packetreichenfolge muss identisch sein, was es bei dir vermutlich nicht ist.
Sollte dem so sein und du siehst kein Protokoll 47 Traffic (GRE Tunnel) dann kann der Vorrouter kein VPN Passthrough und dann hilft nur neue Hardware dort (ggf. eine neuere Firmware für diesen Router, was du so oder so machen solltest) face-sad
Mitglied: vbMaxi
vbMaxi 22.01.2008 um 17:45:59 Uhr
Goto Top
hi aqui,
habs ausprobiert über Internet kein Protokoll 47. Mist!!! face-sad und dabei steht noch auf der schachtel ja is supported. Naja da kann man nichts machen. Firmware updates giebts keine.

Danke für deine Antworten.

vbmaxi
Mitglied: aqui
aqui 22.01.2008 um 18:04:00 Uhr
Goto Top
Dann supportet er de facto kein VPN Passthrough. Digitus hat diesbezüglich auch nicht den besten Ruf face-sad
Vielleicht sind die Treiber ja ein Update auf deren Webseite:
http://www.digitus.de/scripts/download.asp?artnr=DN%2D11004%2DO
Zeigt eigentlich das die eher kein Interesse an der Pflege ihrer Produkte haben. Ist vermutlich auch nur ein OEM zu einer Taiwan Marke.
Am besten du ersetzt das auch mit einem Linksys o.ä.
Ggf. kann man den Digitus ja noch zu einem dummen DSL Modem machen (PPPoE Passthrough) sofern er ein integriertes Modem hat und dieses Feature überhaupt supportet (vermutlich wohl auch nichtmal das...), um ihn ggf. für einen Ethernet only Router wie deinen Linksys als Modem weiterzunutzen und ihn dann direkt ans DSL zu hängen, was so oder so technisch die bessere Lösung ist, damit du dir dann die Frickelei mit dem Port Forwarding generell sparen kannst.
Sonst bleibt dir wohl sonst nur der Austausch....
Mitglied: vbMaxi
vbMaxi 23.01.2008 um 13:31:39 Uhr
Goto Top
hi aqui,
die Treiber die es da zum download giebt sind nur für den Rechner, wegen dem Druckerserver face-sad
Die Sache mit PPoE Passthrough wird auch ausfallen, weil der Digitus kein Modem hat.
Naja dann werd ich mir wohl oder übel nen neuen Router zulegen müsse.

lg vbmaxi
Mitglied: aqui
aqui 23.01.2008 um 14:11:50 Uhr
Goto Top
Wieso das denn ???
Dann ist die Lösung doch viel einfacher: Du gehst mit deinem Linksys direkt ans DSL Modem !!!
Das befreit dich wie gesagt dann auch mit der Frickelei des Port Forwarding !!

DynDNS Account da drauf und fertig ist dein VPN Router....wo ist da das Problem ??! Unter dem Aspekt das du ein separates DSL Modem hast ist es sowieso völlig unverständlich warum du das nicht gleich gemacht hast und den Digitus davor gleich rausgeschmissen hast ???!
Oder war dir die Alternative "Warum einfach machen wenn es umständlich auch geht" dann doch lieber....wohl eher nicht, oder ?!
Mitglied: vbMaxi
vbMaxi 25.01.2008 um 21:41:47 Uhr
Goto Top
hi aqui,
hmm daran hab ich noch gar net gedacht, der Digitus is schon so lang im Einsatz, dass ich total vergessen hab das ich den einfach ersetzen könnte.
Dann werd ich das wohl tuen.

lg maix