Zugriff auf Gerät an LTE Router via VPN

Vielen Dank für die Anmerkungen.

Sorry, ich habe ganz vergessen zu erwähnen, dass die VPN-Verbindung über OPENVPN im TUN-Modus läuft. (Konfigurationen von Server + Client habe ich als Bilder angehängt)

Additional Config in DDWRT VPN Client:

client
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-128-CBC
verb 5
auth-nocache
remote-cert-tls server

Site-To-Site VPN ist mit der original Firmware des Netgear Routers meines Wissens nicht möglich, oder täusche ich mich da?
Der Heimnetzrouter erhält eine öffentliche IP-Adresse.

Gruss Silvio

Die Server Konfig kann ich leider nicht zeigen, da ich selbst keinen Zugriff darauf habe. Die Netgear Firmware lässt mich die Konfig Datei nicht sehen, ich kann nur die Einstellungen vornehmen, welche auf dem obigen Screenshot zu sehen sind. Der UDP Port 12973 soll gemäss Netgear Konfig als Port bei TUN-Modus verwendet werden, deshalb habe ich diesen in der DDWRT VPN Konfig festgelegt. Wo nutze ich den Default 1194? Sehe es gerade nicht.

Den Server Log kann ich leider auch nicht einsehen, die Netgear Firmware ist hier leider nicht sehr hilfreich. Ich sehe lediglich, dass die VPN Verbindung zu stande kommt und dann wieder "gedroppt" wird:

[OpenVPN, connection drop]from remote IP address: 213.55.xxx.xxx Sunday, July 04,2021 13:20:01
[OpenVPN, connection drop]from remote IP address: 213.55.xxx.xxx Sunday, July 04,2021 13:20:01
[OpenVPN, connection drop]from remote IP address: 213.55.xxx.xxx Sunday, July 04,2021 13:18:04
[OpenVPN, connection failed]from remote IP address: 213.55.xxx.xxx Sunday, July 04,2021 13:18:04
[OpenVPN, connection successfully]from remote IP address: client/213.55.xxx.xxx Sunday, July 04,2021 13:17:12

Der LTE Router ist jedoch bei den "angeschlossenen Geräten" im Netgear Webinterface zu sehen, und wenn ich mich mit dem LTE Router verbinde und die IP abfrage, wird mir auch die öffentliche IP des Heimnetzrouters angezeigt. Irgendwas stimmt da noch nicht. Der Client Log sieht so aus:

20210704 13:17:09 W NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
20210704 13:17:09 Re-using SSL/TLS context
20210704 13:17:09 LZO compression initializing
20210704 13:17:09 Control Channel MTU parms [ L:1622 D:1212 EF:38 EB:0 ET:0 EL:3 ]
20210704 13:17:12 Data Channel MTU parms [ L:1622 D:1450 EF:122 EB:406 ET:0 EL:3 ]
20210704 13:17:12 Local Options String (VER=V4): 'V4 dev-type tun link-mtu 1558 tun-mtu 1500 proto UDPv4 comp-lzo cipher AES-128-CBC auth SHA1 keysize 128 key-method 2 tls-client'
20210704 13:17:12 Expected Remote Options String (VER=V4): 'V4 dev-type tun link-mtu 1558 tun-mtu 1500 proto UDPv4 comp-lzo cipher AES-128-CBC auth SHA1 keysize 128 key-method 2 tls-server'
20210704 13:17:12 I TCP/UDP: Preserving recently used remote address: [AF_INET]5.149.xx.xx:12973
20210704 13:17:12 Socket Buffers: R=[172032->172032] S=[172032->172032]
20210704 13:17:12 I UDPv4 link local: (not bound)
20210704 13:17:12 I UDPv4 link remote: [AF_INET]5.149.xx.xx:12973
20210704 13:17:12 TLS: Initial packet from [AF_INET]5.149.xx.xx:12973 sid=dc9010cd d1d71c06
20210704 13:17:12 VERIFY KU OK
20210704 13:17:12 Validating certificate extended key usage
20210704 13:17:12 NOTE: --mute triggered...
20210704 13:17:13 4 variation(s) on previous 3 message(s) suppressed by --mute
20210704 13:17:13 I [server] Peer Connection Initiated with [AF_INET]5.149.xx.xx:12973
20210704 13:17:14 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
20210704 13:17:14 PUSH: Received control message: 'PUSH_REPLY redirect-gateway def1 bypass-dhcp route 192.168.1.0 255.255.255.0 route-gateway 192.168.2.1 topology subnet ping 10 ping-restart 120 ifconfig 192.168.2.4 255.255.255.0'
20210704 13:17:14 OPTIONS IMPORT: timers and/or timeouts modified
20210704 13:17:14 NOTE: --mute triggered...
20210704 13:17:14 3 variation(s) on previous 3 message(s) suppressed by --mute
20210704 13:17:14 Using peer cipher 'AES-128-CBC'
20210704 13:17:14 Outgoing Data Channel: Cipher 'AES-128-CBC' initialized with 128 bit key
20210704 13:17:14 Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
20210704 13:17:14 NOTE: --mute triggered...
20210704 13:17:14 2 variation(s) on previous 3 message(s) suppressed by --mute
20210704 13:17:14 net_route_v4_best_gw query: dst 0.0.0.0
20210704 13:17:14 net_route_v4_best_gw result: via 192.168.137.1 dev eth1
20210704 13:17:14 I TUN/TAP device tun1 opened
20210704 13:17:14 do_ifconfig ipv4=1 ipv6=0
20210704 13:17:14 I net_iface_mtu_set: mtu 1500 for tun1
20210704 13:17:14 I net_iface_up: set tun1 up
20210704 13:17:14 I net_addr_v4_add: 192.168.2.4/24 dev tun1
20210704 13:17:14 net_route_v4_add: 5.149.xx.xx/32 via 192.168.137.1 dev [NULL] table 0 metric -1
20210704 13:17:14 net_route_v4_add: 0.0.0.0/1 via 192.168.2.1 dev [NULL] table 0 metric -1
20210704 13:17:14 net_route_v4_add: 128.0.0.0/1 via 192.168.2.1 dev [NULL] table 0 metric -1
20210704 13:17:14 net_route_v4_add: 192.168.1.0/24 via 192.168.2.1 dev [NULL] table 0 metric -1
20210704 13:17:14 I Initialization Sequence Completed
20210704 13:25:04 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
20210704 13:25:04 D MANAGEMENT: CMD 'state'
20210704 13:25:04 MANAGEMENT: Client disconnected
20210704 13:25:04 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
20210704 13:25:04 D MANAGEMENT: CMD 'state'
20210704 13:25:04 MANAGEMENT: Client disconnected
20210704 13:25:04 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
20210704 13:25:04 D MANAGEMENT: CMD 'state'
20210704 13:25:04 MANAGEMENT: Client disconnected
20210704 13:25:04 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
20210704 13:25:04 D MANAGEMENT: CMD 'status 2'
20210704 13:25:04 MANAGEMENT: Client disconnected
20210704 13:25:04 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:16
20210704 13:25:04 D MANAGEMENT: CMD 'log 500'
19700101 01:00:00

(Ich habe meine genaue, öffentliche IP im Log mit "xx" zensiert, im Log ist die IP logischerweise nicht so vermerkt)

Wo genau soll ich nun die Ports auf die freien Ephemeral Ports ändern?

Vielen Dank ;)

Alles Klar. Ich habe das ganze noch einmal versucht aufzuzeichnen. Ich habe vergessen zu erwähnen, dass der LTE Router nicht selbst der VPN-Client ist, sondern ein zweiter Router (Der DDWRT Router) an diesem hängt, da der LTE Router von TP Link kein DD WRT unterstützt. Das sollte aber an der Ausgangslage nichts ändern.

Ziel ist, den Pool mit dem Handy über die dafür vorgesehene App zu steuern. Dies klappt aber nur, wenn sich der Pool im selben Netzwerk befindet wie das Smartphone.

Mich irritiert der OVPN Client Log noch etwas. So wie ich das sehe, bricht die VPN Verbindung im Sekundentakt ab, wird dann aber gleich wieder hergestellt. Ist das normal so? Würde auch auf die "Connection Drop" Meldung im Netgear Router passen

Abend orcape

Jep, der Netgear Router funktioniert als VPN Server. Kann mich vom Handy aus auch problemlos in das VPN Netzwerk Per ovpn Konfigurationsdatei einloggen. Die .ovpn Datei ist aber mit "TAP" Protokoll konfiguriert. Den TAP Modus habe ich auf DDWRT jedoch nkcht zum laufen gebracht.

Danke für die Tool-Empfehlung!

Die Situation ist wie folgt:

Ich kann vom Handy aus alle Geräte im VLAN, sowie Geräte im Heimnetzwerk pingen! Vom Heimnetzwerk kann alle Geräte im VLAN über deren Remote IP pingen. Vom Laptop klappt es über Mobile Hotspot und VPN Client ebenfalls.

Beide Geräte nutzen folgendes Konfigurations-File:

client
dev tun
proto udp
dev-node NETGEAR-VPN
remote xxx.mynetgear.com 12973
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
cipher AES-128-CBC
comp-lzo
verb 5

Weiterhin kann ich die Geräte, welche am VPN DDWRT Router hängen und von diesem IPs im Format 192.168.3.xxx erhalten weder vom Handy im VLAN, noch vom Heimnetzwerk aus pingen.

Dafür muss ich auch die OVPN Konfiguration des Netgear Routers (Server) ändern oder? Dann müsste entsprechend OpenWRT auf den Router flashen, da es kein DD WRT für den Netgear gibt....

Letztendlich bleibt mir wohl aber keine andere Wahl, denn ich kann die Server Konfig des Netgear-Openvpn Servers nicht bearbeiten. Möglich ist nur den VPN Service auf dem Router zu aktivieren, oder halt nicht zu aktivieren ^^ .

Die Konfig Dateien erstellt er selbst. Ich kann höchstens die Client Konfigs umschreiben, aber das reicht vermutlich nicht aus, oder verstehe ich dich jetzt komplett falsch?

Nö, SSH ist leider aus "Sicherheitsrisiken" deaktiviert, hab den Zugriff per SSH und Putty bereits erfolglos probiert.

Ich denke am günstigsten geht es, wenn ich einen gebrauchten Router auf Ebay für unter 10 Euro kaufe, auf den ich DD-WRT flashen kann. Ansonsten wäre der von dir genannte Router eine relativ einfache Lösung für mich!

Soo... Habe nun einen frischen DD WRT geflashten Router als VPN Server eingerichtet. OpenWrt auf dem Heimnetzrouter war mir zu heiss, da ich mich mit dieser Firmware überhaupt nicht auskenne... Der Server läuft soweit und die Clients können sich einwählen.
Nun bin ich wieder bei meinem Routing-Problem angelangt.

Wie aktiviere ich das IPv4 Forwarding auf der DDWRT Firmware? Habe das von Aqui gepostete "Tutorial" soweit verfolgt und bestmöglich nachgemacht, Pings auf den Client sind aber, aus dem Heimnetz, immernoch nicht möglich.

Anbei Screenshots von allem was ich so konfiguriert habe ;)

Sind wohl viele Fehler drin. Kenne mich leider nicht extrem gut mit Netzerkgeschichten aus...

Das Erstellen der Zertifikate mit OpenSSL hat mich schon fast zum kochen gebracht, da OpenSSL, Nasm usw auf meinem Rechner noch nicht installiert waren...

Server Log:

Serverlog:
20210715 12:47:30 I net_iface_up: set tun2 up
20210715 12:47:30 I net_addr_v4_add: 172.18.18.1/24 dev tun2
20210715 12:47:30 Socket Buffers: R=[172032->172032] S=[172032->172032]
20210715 12:47:30 I UDPv4 link local (bound): [AF_INET][undef]:1194
20210715 12:47:30 I UDPv4 link remote: [AF_UNSPEC]
20210715 12:47:30 MULTI: multi_init called r=256 v=256
20210715 12:47:30 IFCONFIG POOL IPv4: base=172.18.18.2 size=252
20210715 12:47:30 I Initialization Sequence Completed
20210715 12:52:40 W xx:22165 WARNING: normally if you use --mssfix and/or --fragment you should also set --tun-mtu 1500 (currently it is 1400)
20210715 12:52:40 xx:22165 TLS: Initial packet from [AF_INET]xx:22165 sid=451218c4 4edcf61e
20210715 12:52:41 xx:22165 VERIFY OK: depth=1 C=CH ST=BE L=xxO=SilvioVPN OU=Ploder CN=Zertifikat name=Zertifikat2 emailAddress=xx.xx@xx.ch
20210715 12:52:41 xx:22165 VERIFY OK: depth=0 C=CH ST=BE L=xxO=OpenVPN OU=changeme CN=Ploderchischte name=Zertifikat4 emailAddress=xx.xxx@xx.ch
20210715 12:52:41 I xx:22165 peer info: IV_VER=3.git:released:662eae9a:Release
20210715 12:52:41 I xx:22165 peer info: IV_PLAT=android
20210715 12:52:41 I xx:22165 peer info: IV_NCP=2
20210715 12:52:41 I xx:22165 peer info: IV_TCPNL=1
20210715 12:52:41 I xx:22165 peer info: IV_PROTO=2
20210715 12:52:41 I xx:22165 peer info: IV_LZO_STUB=1
20210715 12:52:41 I xx:22165 peer info: IV_COMP_STUB=1
20210715 12:52:41 I xx:22165 peer info: IV_COMP_STUBv2=1
20210715 12:52:41 I xx:22165 peer info: IV_AUTO_SESS=1
20210715 12:52:41 I xx:22165 peer info: IV_GUI_VER=net.openvpn.connect.android_3.2.4-5891
20210715 12:52:41 I xx:22165 peer info: IV_SSO=openurl
20210715 12:52:41 W xx:22165 WARNING: 'link-mtu' is used inconsistently local='link-mtu 1458' remote='link-mtu 1522'
20210715 12:52:41 W xx:22165 WARNING: 'tun-mtu' is used inconsistently local='tun-mtu 1400' remote='tun-mtu 1500'
20210715 12:52:41 W xx:22165 WARNING: 'auth' is used inconsistently local='auth SHA1' remote='auth [null-digest]'
20210715 12:52:41 W xx:22165 WARNING: 'keysize' is used inconsistently local='keysize 128' remote='keysize 256'
20210715 12:52:41 xx:22165 Control Channel: TLSv1.3 cipher TLSv1.3 TLS_AES_256_GCM_SHA384 peer certificate: 4096 bit RSA signature: RSA-SHA1
20210715 12:52:41 I xx:22165 [Ploderchischte] Peer Connection Initiated with [AF_INET]xx:22165
20210715 12:52:41 I Ploderchischte/xx:22165 MULTI_sva: pool returned IPv4=172.18.18.2 IPv6=(Not enabled)
20210715 12:52:41 Ploderchischte/xx:22165 OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_6fb544d50265b067.tmp
20210715 12:52:41 Ploderchischte/xx.241:22165 MULTI: Learn: 172.18.18.2 -> Ploderchischte/xx.241:22165
20210715 12:52:41 Ploderchischte/xx:22165 MULTI: primary virtual IP for Ploderchischte/xx:22165: 172.18.18.2
20210715 12:52:41 Ploderchischte/xx:22165 Data Channel: using negotiated cipher 'AES-256-GCM'
20210715 12:52:41 Ploderchischte/xx:22165 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
20210715 12:52:41 Ploderchischte/xx:22165 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
20210715 12:52:41 Ploderchischte/xx:22165 PUSH: Received control message: 'PUSH_REQUEST'
20210715 12:52:41 Ploderchischte/xx:22165 SENT CONTROL [Ploderchischte]: 'PUSH_REPLY redirect-gateway def1 route-gateway 172.18.18.1 topology subnet ping 10 ping-restart 120 ifconfig 172.18.18.2 255.255.255.0 peer-id 0 cipher AES-256-GCM' (status=1)
20210715 12:52:56 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 12:52:56 D MANAGEMENT: CMD 'state'
20210715 12:52:56 MANAGEMENT: Client disconnected
20210715 12:52:56 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 12:52:56 D MANAGEMENT: CMD 'state'
20210715 12:52:56 MANAGEMENT: Client disconnected
20210715 12:52:56 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 12:52:56 D MANAGEMENT: CMD 'state'
20210715 12:52:56 MANAGEMENT: Client disconnected
20210715 12:52:56 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 12:52:56 MANAGEMENT: Client disconnected
20210715 12:52:56 NOTE: --mute triggered...
20210715 12:52:56 1 variation(s) on previous 3 message(s) suppressed by --mute
20210715 12:52:56 D MANAGEMENT: CMD 'status 2'
20210715 12:52:56 MANAGEMENT: Client disconnected
20210715 12:52:56 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 12:52:56 D MANAGEMENT: CMD 'status 2'
20210715 12:52:56 MANAGEMENT: Client disconnected
20210715 12:52:56 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 12:52:56 D MANAGEMENT: CMD 'log 500'
20210715 12:52:56 MANAGEMENT: Client disconnected
20210715 12:57:17 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 12:57:17 D MANAGEMENT: CMD 'state'
20210715 12:57:17 MANAGEMENT: Client disconnected
20210715 12:57:17 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 12:57:17 D MANAGEMENT: CMD 'state'
20210715 12:57:17 MANAGEMENT: Client disconnected
20210715 12:57:17 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 12:57:17 D MANAGEMENT: CMD 'state'
20210715 12:57:17 MANAGEMENT: Client disconnected
20210715 12:57:17 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 12:57:17 MANAGEMENT: Client disconnected
20210715 12:57:17 NOTE: --mute triggered...
20210715 12:57:17 1 variation(s) on previous 3 message(s) suppressed by --mute
20210715 12:57:17 D MANAGEMENT: CMD 'status 2'
20210715 12:57:17 MANAGEMENT: Client disconnected
20210715 12:57:18 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 12:57:18 D MANAGEMENT: CMD 'status 2'
20210715 12:57:18 MANAGEMENT: Client disconnected
20210715 12:57:18 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 12:57:18 D MANAGEMENT: CMD 'log 500'
20210715 12:57:18 MANAGEMENT: Client disconnected
20210715 13:03:59 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 13:03:59 D MANAGEMENT: CMD 'state'
20210715 13:03:59 MANAGEMENT: Client disconnected
20210715 13:03:59 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 13:03:59 D MANAGEMENT: CMD 'state'
20210715 13:03:59 MANAGEMENT: Client disconnected
20210715 13:03:59 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 13:03:59 D MANAGEMENT: CMD 'state'
20210715 13:03:59 MANAGEMENT: Client disconnected
20210715 13:03:59 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 13:03:59 MANAGEMENT: Client disconnected
20210715 13:03:59 NOTE: --mute triggered...
20210715 13:03:59 1 variation(s) on previous 3 message(s) suppressed by --mute
20210715 13:03:59 D MANAGEMENT: CMD 'status 2'
20210715 13:03:59 MANAGEMENT: Client disconnected
20210715 13:03:59 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 13:03:59 D MANAGEMENT: CMD 'status 2'
20210715 13:03:59 MANAGEMENT: Client disconnected
20210715 13:03:59 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20210715 13:03:59 D MANAGEMENT: CMD 'log 500'
19700101 01:00:00

Die Warnungen im Serverlog werde ich noch beheben die Config ist noch nicht ganz fertig.

Ich bin jetzt auf "Hilfe für Dummies" angewiesen: Wo muss ich welche Routen eintragen? Habe ich irgendwo eine IP falsch eingetragen? Was ist sonst alles noch falsch / fehlend?

Die Anleitung von Aqui bringt mich hier gerade nicht weiter, weil das Verständnis etwas fehlt / die Server Konfig für Linux geschrieben ist, und ich nicht weiss, wo ich die Dinge auf dem DD WRT Webinterface eintragen soll.

Ich hoffe, ihr könnt mir da etwas weiterhelfen.

Vielen herzlichen Dank
Gruss Silvio

Gedacht wäre es so:

VPN Server = WAN Eingang (Ethernet) <--> Lan Ausgang Hauptrouter

VPN Client = WAN Eingang (Ethernet) <--> Lan Ausgang LTE Router

Die DDWRT Geräte bekommen ihr Netzwekkabel also quasi so, wie sie es auch tun würden, wenn sie direkt an einem Modem hängen würden. Ist das so nicht richtig überlegt?

Alles Klar, werde ich gleich versuchen.

Folgende Fragen noch: Welchen Gateway soll ich beim Grundsetup des VPN Servers eintragen? Den Standardgateway des Heimnetzrouters?

Spielt es eine Rolle, welche IP Adressen die Clients des VPN Client Routers erhalten? Können z.B. Adressen im Format 192.168.3.1xx auch mit den Geräten mit Adressen im Format 192.168.1.1xx Kommunizieren?

Hmm... Clients verbinden mit dem Server wie gewünscht, die Warnungen sind alle weg! Wenn ich mich mit dem Handy als Client verbinde, kann ich den DD WRT Client problemlos unter seiner "virtuellen IP" pingen, aber die Geräte in seinem Lan Netz nicht. Ich vermute, dass es am fehlenden "iroute-Command" liegt.

Ich kann die Konfigs aus dem oben genannten OpenVPN Tutorial leider nicht 1:1 übernehmen, da ich die Einrichtung über das DDWRT GUI vornehme. Die Einstellungsmöglichkeiten sind auf einem der Screenshots in meinem Post vom 15.07. 13:42 ersichtlich.

Ich habe einen Screenshot der Routing Tabelle des VPN Server Routers sowie einen des VPN Client Routers angehängt, muss ich da allenfalls was eintragen? NAT habe ich in der VPN Client Konfig ausgeschaltet. (Die, mit den schlecht zensierten IP Adressen, ist die Routing Tabelle des VPN Clients.) ;)

Die beiden verbundenen VPN Clients auf dem 2. Screenshot, haben den selben Namen, da sie noch das selbe Zertifikat verwenden ( Wird noch geändert!)

Ich habe deine treffende Darstellung meines Netzwerks noch etwas angepasst, so sollte sie in etwa stimmen.

DDWRT Server Lan Netz = 192.168.2.x
DDWRT Client Lan Netz = 192.168.3.x
Heim-Lan Netz = 192.168.1.x

Kannst du mir vielleicht gerade sagen, welchen Command ich im SSH Terminal eingeben muss, damit ich die Server Konfig sehen kann? Finde nichts dazu im Inet.

Nevermind, habs gefunden ;)

Hier die Konfig:

root@DD-WRT:/tmp/openvpn# cat openvpn.conf
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
keepalive 10 120
verb 3
mute 3
syslog
writepid /var/run/openvpnd.pid
management 127.0.0.1 14
management-log-cache 100
topology subnet
script-security 2
port 1194
proto udp4
auth sha1
cipher AES-128-CBC
data-ciphers AES-256-GCM:AES-128-GCM:AES-128-CBC
client-connect /tmp/openvpn/clcon.sh
client-disconnect /tmp/openvpn/cldiscon.sh
client-config-dir /tmp/openvpn/ccd
comp-lzo yes
tls-server
duplicate-cn
client-to-client
push "redirect-gateway def1"
fast-io
tun-mtu 1500
mtu-disc yes
server 192.168.5.0 255.255.255.0
dev tun2
route-up /tmp/openvpn/route-up.sh
route-pre-down /tmp/openvpn/route-down.sh
persist-key
persist-tun

Der Hauptrouter ist der von dir als "Zuhause-Router" beschriebene Router. Er hat die IP 192.168.1.1 und vergibt Adressen im Format 192.168.1.x So auch an den DD WRT Router, der als VPN Server taugt und die Wan IP 192.168.1.5 vom Zuhause-Router erhält. Der DDWRT-Router ist an seinem WAN Eingang, per Lan-Kabel, direkt an einem der Lan Ausgänge des Zuhause-Routers verbunden.

Vermutlich habe ich einen Fehler gemacht, und den Router als von dir beschriebenen "one armed" angeschlossen. Ich habe nochmals versucht ein Schema von der Situation zu erstellen, vielleicht bringt das etwas Licht ins Dunkle. Ausserdem läuft auf den 2 Routern DD-WRT, nicht OpenWrt, wie du sagst, spielt aber nicht so eine grosse Rolle.

Die Datenmengen, welche durch den Tunnel gerouted werden sind erstmal nebensächlich, der LTE Router ist sowieso mit einer FlatRate-Sim ausgestattet, da spielt das Datenvolumen keine Rolle. Wenn ich meinen Traffic nicht durch den Tunnel senden möchte, kann ich mich ja weiterhin direkt mit dem LTE Router verbinden, dann geht nichts durch die VPN Verbindung. Gerouted werden soll ja nur der Traffic der Geräte, welche am VPN Client Router hängen.

Ich hoffe das Schema verwirrt nicht nur noch mehr

Danke für die Rückmeldungen!

Die Flatrate ist eine echte Flatrate! Bei mir in der Schweiz gibts sowas schon für relativ wenig Geld, ich weiss nicht, wie das in Deutschland aussieht.

Mit der Adressierung der "Modem IP" wollte ich nicht sagen, dass das Modem diese IP hat, sondern, dass diese vom Netzbetreiber, über das Modem, an den Router weitergeleitet wird.

Welche Einstellung verändert denn mein Koppelnetz? Kann ich das Koppelnetz im VPN Server Router frei wählen?

Im Prinzip wäre es schon OK, wenn nur die Clients des VPN Server mit den Geräten im VPN kommunizieren könnte, denn ich kann mich ja jederzeit per Mobile Client ins VPN einloggen und so meinen Pool Fernsteuern. Schöner wäre aber, wenn das auch klappen würde, wenn mein Handy mit dem Zuhause-Wlan verbunden wäre.

Der VPN Server läuft im Gateway Modus! Ich habe bereits versucht das Gerät im "Router-Modus" zu betreiben, hatte danach aber keine Internet Verbindung über Wlan am Gerät mehr, was vermutlich auf die fehlenden statischen Routen zurückzuführen ist.

Gruss Silvio

Sorry, die Zeichnung oben habe ich nicht gesehen, als ich den letzten Kommentar geschrieben habe. Die Zeichnung sollte so exakt stimmen! Ich habe die Einstellungen nun so wie in der Zeichnung übernommen, habe aber via DD WRT Router immernoch keine Internetverbindung. Die Statischen Routen habe ich ebenfalls so wie aufgezeichnet eingetragen. (Metrik 2, evtl ist das falsch?)

Pings klappen! Habe den Gateway aus dem lokalen Interface rausgenommen.
Wan IP wird als 192.168.1.5 angezeigt (siehe Screenshots)

Internetverbindung habe ich weiterhin keine.

Ich kann einfach von den Clients keine Websiten / Internet erreichen. Dass der Router eine Internetverbindung hat, stimmt. IP Config gibt 192.168.1.1 als DNS aus, wie es sein sollte oder?

Verändert leider nix an der Situation. DNS Server in ipConfig am Client ist nun 192.168.2.5, 8.8.8.8 -Ping vom Client geht weiterhin nicht.

Die Wan IP wird Statisch zugeteilt, siehe Screenshot letzter Post. Habe das gestern so eingestellt, da ich ohnehin eine Reservierung für 192.168.1.5 auf dem Netgear eingerichtet habe. Screenshot ebenfalls hier noch einmal angehängt.

Die Clients verlieren ihren Internetzugriff, sobald ich den Router Modus aktiviere. Im Gateway Modus klappt der 8.8.8.8 Ping!

Das Problem liegt vielleicht eher bei den statischen Routen im Netgear Router. Ich verstehe nicht ganz, was die Route auf die 10.0.8.0 bewirken soll?

Denn weder im Router, noch im Gateway Modus ist ein Ping vom Client 192.168.1.7 auf den Client 192.168.2.134 möglich. Umgekehrt aber schon.

Die Statische Route ist konfiguriert. Hatte ich am 17.07.2021 um 12:13:06 Uhr bereits einmal als Screenshot gepostet. (Zweit letztes Bild) neuer Screenshot in diesem Post

Folgender Output im PuTTY Inferface:


root@DD-WRT VPN Server:~# ip a
1: lo: <LOOPBACK,MULTICAST,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master br0 state UP qlen 1000
link/ether a0:21:b7:ac:b4:e5 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP qlen 1000
link/ether a0:21:b7:ac:b4:e6 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.5/24 brd 192.168.1.255 scope global eth1
valid_lft forever preferred_lft forever
6: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
link/ether a0:21:b7:ac:b4:e5 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.5/24 brd 192.168.2.255 scope global br0
valid_lft forever preferred_lft forever
7: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br0 state UP
link/ether a0:21:b7:ac:b4:e5 brd ff:ff:ff:ff:ff:ff
9: tun2: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN qlen 500
link/[65534]
inet 192.168.5.1/24 scope global tun2
valid_lft forever preferred_lft forever

root@DD-WRT VPN Server:~# ip route show

default via 192.168.1.1 dev eth1
127.0.0.0/8 dev lo scope link
192.168.1.0/24 dev eth1 scope link src 192.168.1.5
192.168.2.0/24 dev br0 scope link src 192.168.2.5
192.168.5.0/24 dev tun2 scope link src 192.168.5.1

root@DD-WRT VPN Server:~# ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1): 56 data bytes
64 bytes from 192.168.1.1: seq=0 ttl=64 time=3.912 ms
64 bytes from 192.168.1.1: seq=1 ttl=64 time=3.681 ms
64 bytes from 192.168.1.1: seq=2 ttl=64 time=3.729 ms
64 bytes from 192.168.1.1: seq=3 ttl=64 time=3.708 ms
^C
--- 192.168.1.1 ping statistics ---
107 packets transmitted, 107 packets received, 0% packet loss
round-trip min/avg/max = 3.539/3.951/12.703 ms

root@DD-WRT VPN Server:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: seq=0 ttl=118 time=15.258 ms
64 bytes from 8.8.8.8: seq=1 ttl=118 time=13.921 ms
64 bytes from 8.8.8.8: seq=2 ttl=118 time=13.220 ms
64 bytes from 8.8.8.8: seq=3 ttl=118 time=13.399 ms
^C
--- 8.8.8.8 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 13.220/13.949/15.258 ms

root@DD-WRT VPN Server:~# ping -I br0 192.168.1.1
PING 192.168.1.1 (192.168.1.1): 56 data bytes

^C
--- 192.168.1.1 ping statistics ---
34 packets transmitted, 0 packets received, 100% packet loss

root@DD-WRT VPN Server:~# ping -I br0 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
^C
--- 8.8.8.8 ping statistics ---
13 packets transmitted, 0 packets received, 100% packet loss
root@DD-WRT VPN Server:~#

Alles Klar! Neuste Firmware ist drauf, der Router will mir eine Metrik von 1 aber nicht erlauben... Habe die Route testweise auf Privat gesetzt, verändert nix.

Scheint wohl wieder so ein Netgear "Kompatibilitäts" Thema zu sein, andere User im Netz haben das selbe Problem. Nun gut, dann lasse ich das Ding halt im Gateway Modus ist kein Weltuntergang. Ich kann ja trotzdem übers Handy entweder via WLAN des DD WRT Servers oder halt direkt als VPN Client mit den anderen Clients Kommunizieren.

Was jetzt noch fehlt ist das iRoute Kommando in der Openvpn Server Konfig. Wie kann ich das über Putty ausführen? Welcher Command wäre in meinem Fall nötig?
Danke dir für die ausführliche Hilfe und das Troubleshooting

Ich habe die Config Datei mit Vi über Putty angepasst und gespeichert, nach dem Neustart des Routers sind die Änderungen aber wieder weg. Kann ich die Kommands auch über die Server GUI Konsole eingeben? Vgl. Screenshot

Gibt es einen speziellen SSH Command um die Einstellungen zu speichern? Nach Restart wird das openvpn.conf file zurückgesetzt..

Habs geschafft. DD WRT gibt jedoch bei dieser Konfig folgenden Fehler aus:

Konfig:

dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
keepalive 10 120
verb 3
mute 3
syslog
writepid /var/run/openvpnd.pid
management 127.0.0.1 14
management-log-cache 100
topology subnet
script-security 2
port 1194
proto udp4
auth sha1
cipher AES-128-CBC
data-ciphers AES-256-GCM:AES-128-GCM:AES-128-CBC
client-connect /tmp/openvpn/clcon.sh
client-disconnect /tmp/openvpn/cldiscon.sh
client-config-dir /tmp/openvpn/ccd
comp-lzo yes
tls-server
duplicate-cn
client-to-client
push "redirect-gateway def1"
fast-io
tun-mtu 1500
mtu-disc yes
server 192.168.5.0 255.255.255.0
dev tun2
route-up /tmp/openvpn/route-up.sh
route-pre-down /tmp/openvpn/route-down.sh
persist-key
persist-tun
push "route 192.168.1.0 255.255.255.0"
route 192.168.3.0 255.255.255.0
iroute 192.168.3.0 255.255.255.0

Fehler:

Jan 1 01:00:18 DD-WRT VPN Server daemon.err openvpn[876]: Options error: option 'iroute' cannot be used in this context (/tmp/openvpn/openvpn.conf)

Wenn nur das korrigiert werden sollte, dann sollte der Server ja jetzt laufen. Im Tutorial steht einiges in FETT, weiss nicht auf was du hinaus wolltest. Der Context Fehler ist immernoch da.

Sorry wenn ich die Dinge nicht direkt auf Anhieb kapiere, bin ziemlicher Anfänger und dankbar für deine ausführliche Hilfe.

Ich habe das schon richtig verstanden oder: Das iroute Kommando muss in die Server Konfig?

Bei mir kommt kein fehler zum Route Kommando, sondern zum "iroute". Habe versucht einfach "pull-filter ignore "iroute" zu benutzen, klappt leider nicht.