Aug 19, 2021

2686

WRT54 mit DD-WRT 3.0-r44 hat Probleme mit OpenVPN (und ich mit Linux)

Hallo @all,
meine Recherche hat ergeben das OVPN auf einem WRT54GL V1.1 einfach zu installieren sei (lt. Anbieter, gibt auch eine gute Anleitung).
Es fuktioniert dann doch nicht auf Anhieb, ist auch nicht immer zu erwarten, deshalb fragte ich beim Anbieter nach.
Der Support bemüht sicht sehr: "you can also try running the following commands, as i don't know which of these commands might work
pkill -f openvpn - service openvpn stop - killall openvpn"
Ich habe aber von Linuxbefehlen gaaaanz wenig Wissen und bin des englischen nicht mächtig.
Frage: Hat wer solch eine Box mit BusyBox v1.32.0 mit OVPN am laufen (evt. mit versteck.mich und möchte mir NICHTadministrator helfen).
Das Problem ist der Start des VPN befor der WRT die Zeit vom NTP-Client geholt hat, wenn ich folgendes richtig deute:

Jan 1 01:00:15 WRT54GL user.info syslog: openvpn : OpenVPN daemon (Client) starting/restarting...
Jan 1 01:00:15 WRT54GL daemon.err httpd[225]: httpd : Request Error Code 408: No request appeared within a reasonable time period.

Stoppen funzt per: service openvpn stop
Start bekomme ich nicht hin:

root@WRT54GL:~#  openvpn --config /tmp/openvpncl/openvpn.conf
Options error: In [CMD-LINE]:1: Error opening configuration file: /tmp/openvpncl/openvpn.conf

List zeigt:

root@WRT54GL:~# ls -l /tmp/openvpncl
-rw-r--r--    1 root     root            22 Aug 17 18:34 credentials

CYL Uwe

Please also mark the comments that contributed to the solution of the article

Content-Key: 1171910884

Url: https://administrator.de/contentid/1171910884

Printed on: April 26, 2024 at 19:04 o'clock

37 Comments

Latest comment

Zumindestens mit einem älteren DD-WRT rennt es fehlerlos:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Dort liegen die Konfig Files auch unter /tmp/openvpn
Grundlagen wie immer:
Merkzettel: VPN Installation mit OpenVPN

Kann ich die Zeit im Router einstellen?

Ja, natürlich. Über die Zeitzonen Settings im DD-WRT Standard Setup. Sorry, aber das springt einem doch beim SetupGUI förmlich ins Auge und muss man nicht extra nach fragen...

Da am besten einen der öffentlichen NTP Server einstellen: https://www.heise.de/ct/hotline/Oeffentliche-Zeitquellen-322978.html

Zitat von @Ossabow:
Ich habe aber von Linuxbefehlen gaaaanz wenig Wissen und bin des englischen nicht mächtig.

Options error: In [CMD-LINE]:1: Error opening configuration file: /tmp/openvpncl/openvpn.conf

List zeigt:

root@WRT54GL:~# ls -l /tmp/openvpncl
> -rw-r--r--    1 root     root            22 Aug 17 18:34 credentials

Hallo Uwe,

sorry, Linux ohne Grundkenntnisse und ohne Englisch: no-go! Beides kann wachsen, man muss nur anfangen und dran bleiben. Bis dahin gibt es die Fertiglösungen.
Ich mache OpenVPN nur über andere Geräte, kann also nichts Spezifisches beitragen, aber im konkreten Fall sagt die Fehlermeldung beim Start doch deutlich:

frei übersetzt (kann ggf. auch DeepL oder Google)

Fehler beim Öffnen der Konfigurationsdatei: Datei  /tmp/openvpncl/openvpn.conf

Wenn Du Dir jetzt nochmal Dein Listing von /tmp/openvpncl anschaust, siehst Du schon das Problem.

Viele Grüße, commodity

Zitat von @aqui:

Ja, natürlich. Über die Zeitzonen Settings im DD-WRT Standard Setup. Sorry, aber das springt einem doch beim SetupGUI förmlich ins Auge und muss man nicht extra nach fragen...

Die Frage war nicht verständlich, ich meinte manuell oder in einer config.

kann also nichts Spezifisches beitragen

ja leider obwohl ich deutsch schreibe wurde die Frage nicht gelesen/verstanden.
Das Listing was ich anschauen soll finde ich nicht aber Danke für die Bemühung.

Hallo.

Zeit/ Zeitzone

Die Frage war nicht verständlich, ich meinte manuell oder in einer config.

Wenn es eine GUI gibt mit einem Menü-Punkt zur Zeit-Konfiguration, trägt diese das auch in die entsprechenden config-Dateien ein. In der Regel kann man (bei entsprechender Kenntnis) das auch manuell in die config-Datei schreiben.

config-Datei für openvpn

Wenn Du Dir jetzt nochmal Dein Listing von /tmp/openvpncl anschaust, siehst Du schon das Problem.

Das Listing was ich anschauen soll finde ich nicht aber Danke für die Bemühung.

Das ist das Problem! Die erforderliche config-Datei:

/tmp/openvpncl/openvpn.conf

scheint nicht vorhanden zu sein.

Jürgen

Zitat von @Ossabow:
ja leider obwohl ich deutsch schreibe wurde die Frage nicht gelesen/verstanden.

doch. Ein bisschen reindenken musst Du Dich aber schon.

Zitat von @chiefteddy:
Das ist das Problem! ...

Danke Jürgen,
ich fühlte mich schon ganz unverstanden

Viele Grüße, commodity

Ist doch sicher normal oder? Ich stoppe den Dienst und /tmp/ wird ein Tempverzeichnis sein.

Wenn ein Dienst meldet, dass er seine Config nicht findet und Du das Verzeichnis listest, und da ist keine Config drin,

bedeutet das schlicht, dass da eine Config erwartet wird und diese ist nicht da. Da solltest Du ansetzen, warum das so sein könnte. Mir fallen zwei Sachen ein.

a) falsches Verzeichnis?
b) Config nicht erstellt?

Und jetzt bin ich raus. Du bist im falschen Forum. Es ist super, dass Du was versuchst und was (wenn auch offenbar kein Linux und kein Englisch) lernen möchtest. Das ist ein Forum für Administratoren und solche, die es werden wollen

Danke commodity für den Versuch.
Meine Kentnisse sagen ls ist ein Befehl, Dienste sind was ganz anderes.

In welchen Forum soll ich bitte User finden die mehr Erfahrung haben als hier???

Nochmal die Frage:
Hat wer solch eine Box mit BusyBox v1.32.0 mit OVPN am laufen

Zitat von @commodity:

Und jetzt bin ich raus. Du bist im falschen Forum. Es ist super, dass Du was versuchst und was (wenn auch offenbar kein Linux und kein Englisch) lernen möchtest. Das ist ein Forum für Administratoren und solche, die es werden wollen

Dein Wissensstand ist etwas veraltet.
Entwicklertagebuch: Mehr User und neue Version
Wir sind ein Ort, an dem IT-begeisterte User sich austauschen, auf dem Laufenden bleiben und ihre Karriere vorantreiben. Werde Teil unserer Community.

Nix mit "Forum für Administratoren"

Danke C.Cavemann, Du machst mir Mut!

Zitat von @Ossabow:

Danke C.Cavemann, Du machst mir Mut!

No Problem, immer wieder gern

Leider bin ich kein IT-Experte oder ein IT-begeisterter User.
Ich bin mehr ein IT-Affiner Handbücherwurm

Mmmhh...irgendwie scheinst du ja die dir hier geposteten Tutorials irgendwie zu ignorieren oder definitiv nicht zu lesen...

Auf exakt deinem Modell HW Ver. 1.1 mit dem dafür latest erhältlichen Image v24 SP2 ! Die BusyBox Version ist die, die in der o.a. Firmware enthalten ist.

Busy Box Version und Inhalt von /tmp/openvpncl :

Daemon stoppen und manuelles Starten:

Macht man mit dem Parameter --daemon im Kommando !

Hier zeigt sich das völlige Fehlen deiner OpenVPN Konfig Datei openvpn.conf im Verzeichnis /tmp/openvpncl ! Nicht zu reden vom Fehlen aller Keys usw.
Das OpenVPN ohne diese Dateien niemals laufen bzw. starten kann leuchtet auch jedem Laien ein und sagt einem der gesunde IT Menschenverstand auch ohne Englisch- und Linux Kenntnisse !!

Daemon wieder starten und Check:

Das komplette Kommando dafür lautet: openvpn --config /tmp/openvpncl/openvpn.conf --route-up /tmp/openvpncl/route-up.sh --route-pre-down /tmp/openvpncl/route-down.sh --daemon
Wie man es entsprechend ja auch im Process Monitor sehen kann.

Diese beiden System Script Dateien fehlen bei dir obendrein auch noch.

Uhrzeit Einstellung:

Passiert auf der "Basic" Setup Seite des GUIs

Fazit:
Works as designed !!!
Wo ist denn jetzt dein wirkliches Problem ?!

Danke aqui für die Antwort, da habe ich zu tun.

CYL Uwe

Das Problem ist der Start des VPN befor der WRT die Zeit vom NTP-Client geholt hat

Wenn der VPNservice stoppt ist das Verzeichnis leer. Dann ergibt:

root@WRT54GL:~# openvpn --config /tmp/openvpncl/openvpn.conf --route-up /tmp/openvpncl/route-up.sh --r
oute-pre-down /tmp/openvpncl/route-down.sh --daemon
Options error: In [CMD-LINE]:1: Error opening configuration file: /tmp/openvpncl/openvpn.conf
Use --help for more information.

Nach Reboot:

root@WRT54GL:~# ls -al /tmp/openvpncl
drwx------    1 root     root             0 Jan  1  1970 .
drwxrwxrwx    1 root     root             0 Jan  1  2000 ..
-rw-r--r--    1 root     root          3577 Jan  1  1970 ca.crt
-rw-r--r--    1 root     root            22 Jan  1  1970 credentials
-rw-r--r--    1 root     root           740 Jan  1  1970 openvpn.conf
-rwx------    1 root     root           324 Jan  1  1970 route-down.sh
-rwx------    1 root     root           741 Jan  1  1970 route-up.sh
-rw-r--r--    1 root     root           636 Jan  1  1970 ta.key
root@WRT54GL:~#

Ziel: Ich möchte den Service starten nachdem die Zeit gestellt wurde.

Wenn der VPNservice stoppt ist das Verzeichnis leer.

Mmmhhh...da stimmt aber generell etwas nicht. Diese Dateien verschwinden doch nicht von Geisterhand aus dem Verzeichnis nur weil der OpenVPN Daemon gestoppt und wieder gestartet wird !! Hier auf dem WRT54 passiert das jedenfalls nicht. Egal ober der Daemon rennt oder nicht sind diese Dateien im Verzeichnis vorhanden.
Es ist auch völlig Wumpe ob der der Daemon rennt oder nicht wenn man die Zeit setzt. Das Setzen der Systemzeit was der DD-WRT so oder so zyklisch automatisch via NTP macht ist doch vollkommen unabhängig davon. Kannst du mit dem date Kommando ja auch immer selber sehen.

ja, kill xxx zeigt keine Wirkung geht aber bei deiner Box.
Was anderes auf die Box tun?

DD-WRT v3.0-r44715 vpn (c) 2020 NewMedia-NET GmbH
Release: 11/03/20
Board: Linksys WRT54G/GL/GS
.............
BusyBox v1.32.0 (2020-11-03 07:03:15 +03) built-in shell (ash)

root@WRT54GL:~# ls -al /tmp/openvpncl
drwx------    1 root     root             0 Jan  1  1970 .
drwxrwxrwx    1 root     root             0 Jan  1  2000 ..
-rw-r--r--    1 root     root          3577 Jan  1  1970 ca.crt
-rw-r--r--    1 root     root            22 Jan  1  1970 credentials
-rw-r--r--    1 root     root           740 Jan  1  1970 openvpn.conf
-rwx------    1 root     root           324 Jan  1  1970 route-down.sh
-rwx------    1 root     root           741 Jan  1  1970 route-up.sh
-rw-r--r--    1 root     root           636 Jan  1  1970 ta.key
root@WRT54GL:~# ps
  PID USER       VSZ STAT COMMAND
  ............
  328 root      2844 S    openvpn --config /tmp/openvpncl/openvpn.conf --daemo
............
  575 root      1456 R    ps
root@WRT54GL:~# **kill 328**
root@WRT54GL:~# ps
  PID USER       VSZ STAT COMMAND
..........
    328 root      2844 S    openvpn --config /tmp/openvpncl/openvpn.conf --daemo
.......
root@WRT54GL:~# service openvpn stop
openvpn : OpenVPN daemon (Client) successfully stopped
openvpn : OpenVPN daemon (Client) hanging, send SIGKILL
The kernel doesn't support the ebtables 'nat' table.  
root@WRT54GL:~# ls -al /tmp/openvpncl
drwx------    1 root     root             0 Jan  1  1970 .
drwxrwxrwx    1 root     root             0 Jan  1  2000 ..
-rw-r--r--    1 root     root            22 Jan  1  1970 credentials
root@WRT54GL:~#

Wie wichtig ist die "vpn modules successfully unloaded" Meldung?

Jan 1 01:00:19 WRT54GL user.info syslog: vpn modules : vpn modules successfully unloaded
Jan 1 01:00:19 WRT54GL user.info syslog: vpn modules : nf_conntrack_proto_gre successfully loaded
Jan 1 01:00:19 WRT54GL user.info syslog: vpn modules : nf_nat_proto_gre successfully loaded
Jan 1 01:00:19 WRT54GL user.info syslog: vpn modules : nf_conntrack_pptp successfully loaded
Jan 1 01:00:19 WRT54GL user.info syslog: vpn modules : nf_nat_pptp successfully loaded
Jan 1 01:00:20 WRT54GL user.info syslog: process_monitor : successfully started
Jan 1 01:00:20 WRT54GL daemon.debug ntpclient[413]: Connecting to 192.168.211.1 [192.168.211.1] ...
Aug 17 14:30:11 WRT54GL daemon.info ntpclient[413]: Time set from 192.168.211.1 [192.168.211.1].

Was anderes auf die Box tun?

Was hast du denn für eine Version derzeit drauf ?? Die letzte verfügbare ist m.E. eine v24 vpn-generic mit v.3.0 und Beta Build 44715
https://dd-wrt.com/support/router-database/?model=WRT54GL_1.0/1.1
Ich flashe die eben mal auf meine Kiste hier und checke das. Hab noch ein älteres Image drauf.

Was hast du denn für eine Version derzeit drauf ??

Ha steht nicht da

V3.0-r44715 vom 03.11.20

Nochmal d´rüber geflasht, ohne Besserung

Hab ich jetzt auch mal geflasht. Die Vorversion war von 2009...

Hier ist es jetzt in der Tat so wie bei dir. Die ganzen Konfigs verschwinden wenn man den Daemon stoppt.
Dafür funktioniert nun aber die Steuerung service openvpn (re)start und auch ...stop um den Daemon zu steuern fehlerfrei.
Es ist etwas mysteriös, denn auch ein find / -name openvpn.conf -print bringt diese Dateien nicht zum Vorschein. Sie sind aber de facto konfiguriert wie das OpenVPN GUI ja zeigt:

Ich vermute das die irgendwo im Flash komprimiert gesichert sind und beim Daemon Start rückkopiert werden um Platz zu sparen.
Folglich lässt sich OpenVPN als Anwendung nicht starten, das dann wie bei dir die .conf Datei nicht gefunden wird.
Unter /etc/config findet man aber z.B. eine "openvpn.nvramconfig". Ob das alles daraus extrahiert wird müsste man checken.
Kopiert man z.B. die openvpn.conf Datei in eine test.conf unter /tmp (nur das ist ein rw Filesystem) startet openvpn davon mit openvpn --config /tmp/test.conf nicht. Weder als Anwendung noch im Daemon Mode. Schon komisch...
Aber ja letztlich auch egal, denn mit der Konfig rennt der OpenVPN Client (und auch der Server) absolut fehlerfrei !
Die korrekte Uhrzeit des DD-WRT ist aber von all dem völlig unabhängig wie du am o.a. Screenshot mit dem date Kommando sehen kannst !

Danke für diese Arbeit!!!
Einer GUI mehr als der Konsole zu trauen fällt nicht leicht, oder?
Nochmal zur Zeit: Wenn der OVPN startet ist die Zeit falsch und das Zertifikat wird richtigerweise nicht akzeptiert.
Nur deshalb möchte ich den OVPN bei richtiger Zeit starten.
Du hast nichts geschrieben zum: "vpn modules successfully unloaded"
Ist das damit raus? Es steht geschrieben der OVPN würde neu starten, bei Fehlern o.s.ä.
Der cron Daemon startet bei gestellter Time neu, kann der den OVPN starten?
Wie sieht es in Deinem Log aus, Zeit auch erst nach dem VPN-Start gesetzt und weshalb funktioniert es da?

Einer GUI mehr als der Konsole zu trauen fällt nicht leicht, oder?

Das ist wohl wahr !!

Allerdings wenn man sieht das die GUI Konfig absolut korrekt in den .conf File übernommen wurde schafft das wieder etwas Vertrauen ins GUI...

Nochmal zur Zeit: Wenn der OVPN startet ist die Zeit falsch

Ooops...das ist aber komisch. Wenn der DD-WRT Internet Zugang hat und du den NTP bzw. Zeitzone usw. gesetzt hast hat er beim Booten ja schon dir richtige Zeit, da sollte es eigentlich keinerlei Probleme geben.

Der cron Daemon startet bei gestellter Time neu, kann der den OVPN starten?

Ja, das geht. Es reicht wenn der einfach einen Daemon Restart macht mit service openvpn restart.
Normal müsstest du das aber nicht. Der OpenVPN Client versucht ja zyklisch den Tunnel aufzubauen. Auch wenn die Zeit per NTP erst 10 Sekunden nach dem Booten gesetzt wird sollte spätestens der 2te oder 3te Connect Versuch des OVPN Clients dann doch klappen ohne rumfrickeln zu müssen.
Da müsste ich mal checken...hab ich noch nicht angesehen.

Bei der "vpn modules successfully unloaded" Meldung hat er noch die falsche Zeit, 3sec später die aktuelle.

Ich checke das....

Mmmhhh... WO siehst du diese Log Messages mit dem Zeitstempel ?? Die messages Datei unter /var/log/ ist leer und dmesg hat keine Zeitstempel.

Guten Morgen,
im GUI unter Status -->Syslog, gibt es wohl erst in den neueren Versionen. Hatte gestern eine V23 geflasht, viel zu alt

Cat/var/log/messages zeigt bei mir das gleiche an.

Gewusst wo....

Du hast Recht. Der OpenVPN Daemon startet kurz bevor die korrekte Zeit per NTP gesetzt wird:

Jan 1 01:00:15 dd-wrt daemon.warn openvpn[300]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan 1 01:00:18 dd-wrt user.info syslog: vpn modules : vpn modules successfully unloaded
Jan 1 01:00:18 dd-wrt user.info syslog: vpn modules : nf_conntrack_proto_gre successfully loaded
Jan 1 01:00:18 dd-wrt user.info syslog: vpn modules : nf_nat_proto_gre successfully loaded
Jan 1 01:00:19 dd-wrt user.info syslog: process_monitor : successfully started
Jan 1 01:00:19 dd-wrt daemon.debug ntpclient[383]: Connecting to ntp1.t-online.de [194.25.134.196] ...
Aug 23 11:01:42 dd-wrt daemon.info ntpclient[383]: Time set from ntp1.t-online.de [194.25.134.196].
Aug 23 11:01:42 dd-wrt daemon.info process_monitor[381]: cyclic NTP Update success (servers ntp1.t-online.de)
Aug 23 11:01:44 dd-wrt daemon.debug process_monitor[381]: Restarting cron (time sync change)  

Das ist aber kein Nachteil, denn dazwischen liegen nur ein paar Sekunden. Der OVPN Client wird bei einem Zeit Mismatch einen weiteren Connect Versuch starten.
Der OpenVPN Daemon (2844) wird nicht gestoppt:

root@dd-wrt:~# ps
  PID USER       VSZ STAT COMMAND
root       940 S    /sbin/init noinitrd
root         0 SW   [keventd]
root         0 RWN  [ksoftirqd_CPU0]
root         0 SW   [kswapd]
root         0 SW   [bdflush]
root         0 SW   [kupdated]
root         0 SW   [mtdblockd]
root      1524 S    watchdog
root      1452 S    telnetd
root      1452 S    syslogd -Z -L
root      1288 S    dropbear -b /tmp/loginprompt -r /tmp/root/.ssh/ssh_host_rsa_key -p
root      1528 S    ttraff
root       824 S    dnsmasq -u root -g root -C /tmp/dnsmasq.conf
root      1460 S    wland
root      2844 S    openvpn --config /tmp/openvpncl/openvpn.conf --daemon
root      1452 S    udhcpc -i vlan1 -p /var/run/udhcpc.pid -s /tmp/udhcpc -O routes -O
root       504 S    cron
root      1528 S    process_monitor
root      1948 S    httpd -n -p 80
root      1268 S    resetbutton
root      1516 S    nas -P /tmp/nas.wl0lan.pid -H 34954 -l br0 -i eth1 -A -m 128 -k 
root      1352 S    dropbear -b /tmp/loginprompt -r /tmp/root/.ssh/ssh_host_rsa_key -p
root      1460 S    -sh
root      1456 R    ps
root@dd-wrt:~# 

Es ist aber in der Tat eine etwas unsaubere Implementation in die Start Scripte. Es wäre sinnvoller den NTP Prozess gleich am Anfang zu starten. Ggf. kann man die Init Scripte da anpassen aber WO sind die jetzt wieder ??

Wenn es funktioniert ist es ja wurst. Der Support meint, wenn das Zertifikat nicht anerkannt wird sei Feierabend.
Momentan ist "vpn modules successfully unloaded" die letzte Meldung vom vpn.
Es taucht in dem log kein weiterer Verbindungsversuch auf, obwohl der Daemon rennt. Wie ist das bei Dir?

Der Support meint, wenn das Zertifikat nicht anerkannt wird sei Feierabend.

Welch' tiefgreifende Erkenntnis des Supports !! Wenn deine Kreditkarten PIN nicht passt jibbet keine Kohle aus'm Automat. Solche evidenten Binsenweisheiten lernt ja schon Klein Fritzchen in der Grundschule.

Im Ernst. Es könnte, sofern OpenVPN megaschnell ist und die Antwort des OpenVPN Servers in Lichtgeschwindigkeit kommt, ein Zeitproblem bei den OpenVPN Zertifikaten geben bei der Gültigkeitsprüfung. Spätestens beim 2ten Connect Versuch wenn die Uhrzeit dann via NTP aber passt sollte das dann sicher klappen.

Es ist aber kein weiterer Connect zu verzeichnen. Wenn Du den VPN-restart manuell auslöst steht was im log?

Gestern habe ich eine Firmware (freshtomato-K26_RT-MIPSR1-2021.7-MiniVPN) mit Datum 15.10.2021 gefunden und geflasht. Was noch besser ist, es funktioniert supi! Tomato hatte ich schon getestet aber der Version fehlte "VPN Tunneling".

Danke an alle, insbesonders aqui.
CYL Uwe

👍 und danke fürs Feedback !

German solved Question Linux