aqui
Goto Top

VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware

Das folgende Tutorial gibt einen Kurzüberblick über die Einrichtung eines PPTP VPNs bzw. VPN Zugriff und VPN Kopplung von Netzen mit einem Router auf dem die freie Open-Source DD-WRT Firmware anwendbar ist.
Vorteil eines solchen PPTP VPNs ist die Verwendung bordeigener Clients bei Windows, Apple, Linux und den meisten mobilen Telefonen wie Android, iPhone etc.
Die unkomplizierte Installation eines VPNs für remote Mitarbeiter oder Fernwartung etc. ist damit in wenigen Minuten erledigt !


Für OpenVPN Benutzer wird auf das folgende Tutorial verwiesen, das die OpenVPN Integration auf einem DD-WRT Router und auch auf den freien Router/Firewall Lösungen Monowall und Pfsense im Detail beschreibt:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Dieses VPN Tutorial befasst sich mit der Konfiguration eines PPTP (Point to Point Tunneling Protocol) VPNs auf DD-WRT Firmware.
Generell ist bei PPPoE DSL Netzen oder solchen mit Kabel TV Modem mit NAT Routern die Terminierung von VPNs direkt auf den Routern von erheblichem Vorteil, da damit alle Probleme komplett entfallen, die sich mit dem Betrieb von VPN Servern und auch Clients hinter dem NAT (Network Adress Translation) Router im lokalen Netzwerk ergeben.
Generelle Hinweise zum Betrieb von PPTP basierten VPNs liefert dieses_Tutorial bei Administrator.de.
Ein weiterer, wichtiger Vorteil ist die stabile und sichere VPN Kopplung OHNE das Vorhandensein eines PC basierten Servers im Hintergrund ! Ganz abgesehen von den höheren anfallenden Strom- und Betriebskosten im 24 Std. Betrieb !
Die VPN Kopplung ist also weiterhin immer vorhanden sollte ein Server im lokalen LAN einmal ausfallen oder zur Wartung vom Netz genommen werden.
Grund für häufige VPN Verbindungsprobleme ohne VPN Router Terminierung ist meist das Packet Port Forwarding, das dann zwingend auf einem vorgeschalteten NAT Router eingerichtet werden muss wenn der VPN Server im lokalen LAN betrieben wird. Dies ist dann notwendig um dessen NAT Firewall mit den entsprechenden VPN Protokollen zu überwinden. Meist als sog. VPN Passthrough von den Router Herstellern bezeichnet.
Die alternative Firmware DD-WRT erweitert eine Reihe von Routern kostenfrei um diese routerbasierenden VPN Funktionen, so das eine komfortable und einfach einzurichtende VPN Lösung für diese Routersysteme problemlos nachgerüstet werden kann !

Dieses Tutorial beschreibt in der Hauptsache die Konfiguration dieser VPNs mit DD-WRT Firmware und streift das Flashen der Hardware (Router) mit der DD-WRT Firmware nur am Anfang kurz.
Details dazu kann auf dem Wiki zur DD-WRT Firmware sehr ausführlich nachgelesen werden.


back-to-topDie ersten Schritte zur Einrichtung eines DD-WRT VPN Zugangs
Am Anfang steht, wie bereits oben bemerkt, das Flashen des Routers mit der aktuellen DD-WRT Firmware. Ob die vorhandene Router Hardware geeignet für DD-WRT ist kann man hier:
http://www.dd-wrt.com/wiki/index.php/Supported_Devices
oder in Deutsch hier:
http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Unterst.C3.BC ...
detailiert nachlesen !
Der gesamte Installationsprozess ist hier:
http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29
sehr genau erläutert und muss an dieser Stelle nicht nochmal beschrieben werden.
Wichtig ist das man beim Flashen immer das VPN Image auswählt, denn nur das hat den VPN Support mit dem Microsoft kompatiblem PPTP Protokoll !

Beispielhaft für alle DD-WRT fähige Hardware wird das Setup hier an einem preiswerten Linksys WRT54GL Router mit ca. 50 Euro Strassenpreis dokumentiert.
Weiterhin zu empfehlen sind Router von Buffalo wie z.B. der WZR HP-G300-NH, die DD-WRT Firmware ebenfalls gut supporten.
Folgende 4 Netzwerk VPN Szenarien sind denk- und realisierbar:

e26a326f0074d617d92afd094efb42aa-vpn-dd

Ist der Router erfolgreich geflasht und mit Hilfe des Reset Knopfes auf die Werkseinstellungen zurückversetzt worden, sieht man nach dem Weblogin auf die default IP Adresse http://192.168.1.1 (Buffalo Router verwenden die 192.168.11.1) das folgende Konfigurationsmenü im Webbrowser der Wahl (z.B. Firefox):

3a0a67047af6d55995f03065126915ff-dd1

Alle Einrichtungseinstellungen (Setup) zu VPNs befinden sich ausschliesslich im Menü Administration -> Services, das hier als Screenshot Ausschnitt oben schon zu sehen ist.


back-to-topEinrichtung eines VPN (PPTP) Servers zur Einwahl von Clients auf dem Router
Für die Einwahl mit einem VPN Client oder bei einer VPN Netz zu Netz Kopplung wo ein Client Router sich einwählt, muss der PPTP Server Modus aktiv geschaltet werden mit einem Klick auf den Button Einschalten.
Als Server IP trägt man eine freie LAN IP Adresse aus dem lokalen LAN Interfaces des Routers ein !
Für die Client IPs , das ist die IP Adresse die einwählenden VPN Clients automatisch zugeordnet wird aus dem lokalen IP Netz, definiert man nun einen gesonderten lokalen IP Adressbereich wie im u.a. Screenshot zu sehen ist.
(Einwählende VPN Clients sind bei erfolgter Einwahl ja Teil des lokalen LAN Netzes und bekommen natürlich IP Adressen dieses Bereichs..),
Achtung: Dieser Client Bereich und auch die lokale VPN Server IP Adresse darf keinesfalls im lokalen LAN DHCP Bereich sein, sondern muss außerhalb dessen liegen ! Zusätzlich darf er NICHT statisch an andere geräte im lokalen LAN vergeben sein !
Nochmals: Dieser Bereich darf sich mit dem IP Adresspool des lokalen DHCP Servers im Router NICHT überschneiden !
Auch darf dieser Bereich keinesfalls mit evtl. statisch konfigurierten IP Adressen im lokalen Netz (wie z.B. Server, Print Server etc.) kollidieren bzw. sich überschneiden und muss immer separat und unbenutzt sein !
Ist nur ein einziger VPN Client vorhanden, wie z.B. nur ein einziger Außenstellen Router, reicht hier auch die Angabe einer einzelnen freien IP Adresse aus dem lokalen Netz mit den o.a. Bedingungen.
Unter Chap Secrets werden dann die Usernamen und Passwörter für die Clients nach dem u.a. Muster <benutzername> * <passwort> * eingetragen.
Entweder kann dies pro User passieren oder einmalig, was dann für alle User gilt.

Die folgende Abbildung zeigt dir korrekte Konfiguration des PPTP Servers auf einem Buffalo Router mit DD-WRT Firmware:
74ba588ce6ee7a7242de6e4a10e5ebd7

Man kann hier sehen das als VPN Server IP Adresse die 192.168.11.254 ("ganz oben" im IP Adressbereich) benutzt wurde. So liegt diese IP nicht irgendwo mitten drin im Host Adressbereich und ist einfach zu merken !
Der VPN Client Bereich wird dynamisch aus dem Pool 192.168.1.250 bis 192.168.1.250 vergeben. Es können hier im Beispiel also gleichzeitig 4 VPN Clients bedient werden. (Ggf. ist das auf eigene Belange anzupassen wenn mehr oder weniger Clients vorhanden sind !)
Als DNS Server wird die lokale LAN IP des Routers verwendet, denn diese ist auch lokal DNS Proxy.
Achtung: wer hier einen lokalen DNS Server betreibt sollte diesen hier angeben, damit lokale Namen aufgelöst werden können !

Fürs korrekte Routing bei der Kopplung zweier DD-WRT Router in einer Netz zu Netz Kopplung ist noch unbedingt eine statische Route einzutragen !:
  • Setup > Advanced Routing
  • Route Name auf "pptp-dialin" setzen
  • Metric auf "0"
  • Destination LAN NET to "172.16.1.0" (172.16.1.0 / 24 hier als Beispiel IP fürs remote Netzwerk
  • Subnet Mask auf "255.255.255.0"
  • Gateway auf "172.16.1.1" (Anpassen wenn remotes IP Netz anders ist !)
  • Interface auf "ANY"
  • Save
Das ist analog bei 2 Routern auch auf der Gegenseite zu machen mit dem anderen remoten IP.
Die genaue Vorgehensweise findet man Schritt für Schritt nochmal hier:
http://www.dd-wrt.com/wiki/index.php/Point-to-Point_PPTP_Tunneling_with ...


back-to-topEinrichtung der VPN (PPTP) Clients zur Einwahl auf dem VPN Server
Die dedizierte Einrichtung der bordeigenen VPN Clients in unterschiedlichen Betriebssystemen beschreibt das allgemeine PPTP VPN Tutorial hier bei Administrator.de unter:
VPNs einrichten mit PPTP
Als Beispiel hier einmal ein Screenshot eines aktiven VPN Clients am Windows Beispiel nach der Eingabe von ipconfig -all:
527dbd0f2f53ef094726141779339601
Hier sieht man die korrekte Vergabe der oben konfigurierten IP Adressen
Ein anschliessender Ping auf einem im lokalen Netzwerk befindlichen Server mit der IP Adresse 192.168.11.126 funktioniert ebenfalls problemlos !


back-to-topEinrichtung eines VPN Router Clients bei einer Netz zu Netz Kopplung
Soll der Router sich bei einer VPN Netz zu Netz Kopplung z.B. als Client System in einen anderen VPN Server Router mit DD-WRT oder PPTP Windows/Linux Server (z.B. IPCop oder WinServer 2003) oder einen anderen PPTP fähigen Router einwählen, muß auf diesem System der PPTP Client aktiviert sein, denn dieser Router verhält sich dann ja wie ein VPN Client gegenüber seinem remoten VPN Server.
Auch in einer reinen DD-WRT Umgebung muss immer ein System ein Server System sein (meist der zentrale Router) wo sich die anderen (PPTP) Clients einwählen.
Dazu wird wie im u.a. Screenshot zu sehen der Client aktiviert mit Klick auf Einschalten. Folgende Einstellungen sind dort zu machen:
Server IP oder DNS Name: Hier kommt die Ziel IP Adresse oder der DNS Name des Ziel VPN Servers rein.
Entferntes Subnetz: Hier wird die IP Netzadresse ! des remoten, lokalen Netzwerkes eingetragen. Achtung bei einem Netzwerk ist der Hostteil der IP Adresse immer 0 wie z.B. bei 172.16.1.0 ! (24 Bit Maske)
Entfernet Subnetzmaske: Hier kommt die zugehörige Subnetzmaske des remoten, lokalen Netzwerkes rein. Gemäß dem o.a. Beispiel ist das für z.B. 172.16.1.0 dann 255.255.255.0
MPPE-Verschlüsselung: Achtung hier sind nach Zielsystem unterschiedliche Einträge zu tätigen:
  • Anderer DD-WRT Router: mppe required (default Einstellung)
  • Windows PPTP VPN Server: mppe required,no40,no56,stateless
MRU / MTU: Diese Werte kann man erstmal auf dem eingestellten Wert belassen.
NAT: Hier kann man Einstellen ob der Router NAT, also Network Adress Translation, zum entfernten Netz machen soll. Aus Sicherheitsgründen kann das durchaus sinnvoll sein wenn man z.B. ausschliesslich nur Dienste im entfernten Netz nutzen möchte aber gleichzeitig sein lokales Netz durch eine NAT Firewall schützen möchte.
Der Nachteil ist, das damit aus dem remoten Netz heraus keine Rechner im lokalen Netz erreicht werden können. Ist eine transparente Netzkopplung, wo jeder mit jedem kann gefordert, muss NAT ausgeschaltet sein wie im Beispiel !
Nutzername/Passwort: Hier ist der entsprechnde Nutzername und das Passwort des VPN Clients einzutragen, so wie es am Server oben beschrieben für den Zugang konfiguriert wurde.

c3b00ebc5e8b36bcb84d329439f78d44-dd3


back-to-topAktivieren der dynamischen DNS Namensauflösung (DynDNS) bei VPN Verbindungen

Für eine VPN Einwahl auf einem Server macht es Sinn den dynamischen DNS Service zu aktivieren. Der Grund ist die sich zyklisch ändernde IP Adresse des VPN Server Routers auf der DSL Providerseite bei PPPoE Betrieb. (Sog. Provider Zwangslogout )
Ohne einen dynamischen DNS Service müsste man immer erst umständlich ermitteln wie diese dynamische IP Adresse aktuell lautet um sie dem Client dann zu konfigurieren. Eine umständliche Prozedur und für einen störungsfreien VPN Betrieb nicht akzeptabel !
Mit einem dynamischen DNS Service entfällt dieses Problem, da die IP Adresse immer aktuell zum dafür eingerichteten Hostnamen wie z.B. meinrouter.dyndns.org konfiguriert wird und der Router permanent über diesen festen Hostnamen erreichbar ist trotz variabler IP Adresse.
Im Internet gibt es viele Anbieter die diesen DNS Service für Privatpersonen kostenfrei zur Verfügung stellen. Der wohl Bekannteste ist dynDNS.org aber der DD-WRT Router ist universell für fast alle Anbieter konfigurierbar wie man im Auswahlmenü hier sehen kann:

df26714660b8921b423911d1a2aa21f7-dd5

Das entsprechende Setup findet man im Bereich Setup -> DDNS
Dort sind dann die Daten einzutragen die man bei der Einrichtung eines privaten Accounts beim jeweiligen Anbieter für sich persönlich festgelegt hat.
Ein Eintrag kann dann als beispiel ggf. so aussehen:

7fa739ed3d9904c30db607aca5177ac6-dd6

Eien Anleitung zum Einrichten eines DynDNS Accounts findet man HIER.

Mit diesen schnellen Einstellungen steht dem Betrieb eines eingerichteten VPNs mit PPTP nichts mehr im Wege !
PPTP ist vom Protokoll nicht ganz so sicher wie IPsec, bietet aber für die Vielzahl der privaten oder kleinen VPNs eine leicht zu managen und leicht einzurichtende Alternative bei der Anwendung von VPNs und remote Verbindungen über das Internet. Die Sicherheit bei PPTP steht und fällt mit der Verwendung eines entsprechend langen Passwortes das keine Banalwörter enthalten sollte !
Außerdem sind PPTP basierte VPN Clients auf vielen Betriebssystemen wie Windows, Mac OS-X und Linux vom Betriebssystem her ohne lästige Zusatzsoftware verfügbar.
Die Einrichtung eines VPN Clients kann man hier nachlesen:
Windows unter Einrichtung des Clients
Mac OS-X
Linux


back-to-topAllgemeine Tipps zum VPN Design
Es gehört zu den goldenen Regeln eines vorausschauenden VPN Designs das lokales und remotes Netzwerk NIEMALS gleich sein dürfen !!
Ist ja auch logisch, da so ein Routing der remoten Netze bei Gleichheit vollkommen unmöglich wird.

Viele Laien wählen als IP Netzwerk die allseits bekannten IP Netze 192.168.1.0 /24 oder 192.168.2.0 /24 usw. da diese oft per Default von allen Consumer DSL (Speedport usw.) und Kabelroutern verwendet werden und zuhauf im Einsatz sind.
192.168.178.0 /24 scheidet ebenfalls aus, da jede FritzBox dieses Netz lokal verwendet ! Niemand macht sich die Mühe das umzustellen und übernimmt oft kritiklos und häufig auch aus Unwissen diese Standard Einstellungen !
Die Folge davon ist das diese IP Netze in vielen öffentlichen Netzen wie in Hotels, Hotspots, Flughäfen und (leider) auch zahllosen Firmennetzen benutzt werden.
Tritt dann IP Adress Gleichheit der remoten und lokalen VPN Netze ein, macht das einen VPN Betrieb technisch unmöglich !

Es ist daher dringend angeraten beim Aufbau und Planung von VPN Zugängen etwas exotischere IP Netze zu wählen die einen IP Adresskonflikt dadurch nahezu unmöglich machen und einen störungsfreien VPN Betrieb ermöglichen bzw. fast garantieren.
Sieht man sich einmal den RFC-1918 etwas genauer an der die IP Adresskontingente für Private Netze global festlegt:
http://de.wikipedia.org/wiki/Private_IP-Adresse
erkennt man sehr schnell das man sich nicht mit den immer wiederkehrenden banalen 192.168er IP Adressen abfinden muss, sondern auch noch den Block im 172er und 10er Bereich zur freien Verfügung hat.
Wählt man nun bei der VPN Planung etwas IP netztechnisch "Exotisches" für die Adressierung wie z.B.
192.168.217.0 /24
oder
172.24.1.0 /24
oder
10.168.70.0 /24
oder auch
10.1.68.1.0 /24
oder oder oder....
kann man sich relativ sicher sein das ein IP Adresskonflikt durch gleiche IP Netze doch sehr sehr selten ist und man sich VPN Probleme gleich von Anfang an aus der (IP) Welt schafft und so einen störungsfreien Betrieb des VPNs auf Dauer erreicht !
Kommentar vom Moderator Dani am 26.02.2010 um 19:56:42 Uhr
Moin,
die Anleitung hat sich bewährt und ist auch entsprechend der Kommentaranzahl gewachsen. Bitte in Zukunft einen Fragebeitrag eröffnen und per Link auf diese Anleitung verweisen. Sonst wird es hier einfach unübersichtlich!

Content-ID: 67666

Url: https://administrator.de/tutorial/vpn-einrichtung-pptp-mit-dsl-routern-und-dd-wrt-firmware-67666.html

Ausgedruckt am: 30.12.2024 um 14:12 Uhr

Dani
Dani 02.09.2007 um 21:46:49 Uhr
Goto Top
Abend aqui!
genau sowas hat es hier noch gefehlt....sehr schön. Ich hätte es aber gerne vor 4 Wochen gehabt. face-wink Mach weiter so....


Grüße
Dani
Ronny83
Ronny83 08.09.2007 um 09:32:21 Uhr
Goto Top
Moin, eine Frage noch zu der Anleitung: Würde das auch mit 3 Router Clients gehen?

Und kann ich dan in Netzwerk auf jeden PC zugreifen???
aqui
aqui 12.09.2007 um 11:56:04 Uhr
Goto Top
Ja, natürlich klappt das auch mit mehreren Router Clients. Alle diese Router Clients verhalten sich dann wie lokal am Netz angeschlossen und natürlich kannst du dann auf jeden PC in so einem Netzverbund zugreifen ! Genau das ist ja der Sinn eines VPN face-wink
Ronny83
Ronny83 12.09.2007 um 16:31:22 Uhr
Goto Top
Danke für die Antwort!

Hätte noch ne kleine frage zur Konfig:

Hier meine Konfig:

---Nertzwerk 1 mit vpn Server---
IP:10.71.1.254
Subnetz:255.255.255.0
DHCP IPs:10.71.1.10 -50
VPN IPs:10.71.1.100 -110

---Nertzwerk 2 Client---
IP:10.72.1.254
Sunetz:255.255.255.0
DHCP:10.72.1.10 -50


Nun die Frage: Was muss ich beim PPPT-Client bei "entfernter Subnetz" und bei Entfernte Subnetz Maske eingeben? und was kommt bei MPPE-Verschlüsselung rein? mppe required,no40,no56,stateless oder mppe required? was ist besser?
So wie ich das verstanden habe geht der Cient immernoch bei sich ins Internet und nur wen anfragen im Clientnetzwerk kommen die nicht vom Internet beantwortet werden gehen diese über vpn zu server?!?!?

Danke für eure Anwort
aqui
aqui 12.09.2007 um 17:08:17 Uhr
Goto Top
Wie im Tutorial beschrieben ! face-wink
Bei entferntes Subnetz kommt immer das Subnetz auf der anderen Seite rein. Bei deinem Client mit der 10.72.1.254 wäre das dann die 10.71.1.0 , Maske 255.255.255.0 das ist ja dein Subnetz auf der anderen Seite...

Bei einer reinen Linksys zu Linksys Kopplung reicht mppe required was auch als Default drinsteht. Nur wenn der Client ein Windows Rechner oder der Server ein Windows System ist muss dort zwingend mppe required,no40,no56,stateless rein.
sysad
sysad 16.09.2007 um 10:16:14 Uhr
Goto Top
Danke, das hört sich gut an.
Mir ist bei VPN aber L2TP mit IPSec lieber. Kann man das ähnlich günstig implementieren?

Der Wiki-Link

<<in Deutsch hier:
http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Unterst. ...
detailiert nachlesen !>>

wird dort als veraltet bezeichnet. Muss man da noch was extra beachten?
aqui
aqui 18.09.2007 um 08:42:20 Uhr
Goto Top
Deine URL Angabe ist etwas verwirrend und unklar was du damit ausdrücken willst ??

Ein aktiver L2TP Server lässt sich nicht implementieren ! Das kannst du anhand der dd-wrt Featureliste auch nachlesen:
http://www.dd-wrt.com/wiki/index.php/DD-WRT_Doku_%28DE%29#Komplette_Fea ...
Aktiv ist derzeit nur PPTP supportet !

Lediglich L2TP Passthrough ist supported also einen L2TP Weiterleitung auf VPN Endgeräte hinter dem NAT Router im lokalen Segment. Allerdings ist das immer die schlechtere Lösung eines VPN Zugangngs. Da L2TP auf IPsec basiert und das sehr CPU intensiv ist und durch die zusätzliche Begrenzung des Flash Speichers auf dem Linksys muss man derzeit leider mit dieser Limitierung leben. Für kleinere Firmen VPNs oder private Lösungen ist es aber eine einfache und zudem kostenfreie Implementation die mit einer Vielzahl von Clients und Servern genutzt werden kann da so gut wie alle Betriebsysteme PPTP mit an Bord haben.

Für einen L2TP oder IPsec VPN Implementation solltest du VPN Router benutzen die das mit an Bord haben und auch entsprechnede Hardware Resourcen dafür haben wie z.B. die Modelle von Draytek (www.draytek.de) und anderen.
Ronny83
Ronny83 21.09.2007 um 21:31:38 Uhr
Goto Top
Hallo habe es wie in der anleitung gemacht aber es geht nicht. Was mache ich verkert?
Bei den Client steht immer PPTP-Status Getrennt.

Konfig:

Server Linksys WRT54GL v1.1 IP: 10.71.1.254 255.255.255.0
Client Linksys WRT54GL v1.1 IP: 10.72.1.254 255.255.255.0

Hier meine Konfig als Bilder:

http://www.vw-scene-leipzig.de/data/anja1.jpg
http://www.vw-scene-leipzig.de/data/anja2.jpg
http://www.vw-scene-leipzig.de/data/home.jpg


Hoffe ihr könnt mir da Helfen!
Ronny83
Ronny83 22.09.2007 um 08:06:22 Uhr
Goto Top
habe noch mal ein ping von einen client PC zum server gemacht da kommt der fehler


C:\Dokumente und Einstellungen\Anja>ping 10.71.1.254

Ping wird ausgeführt für 10.71.1.254 mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung.
Antwort von 10.5.64.1: Zielnetz nicht erreichbar.
Zeitüberschreitung der Anforderung.
Antwort von 10.5.64.1: Zielnetz nicht erreichbar.

Ping-Statistik für 10.71.1.254:
Pakete: Gesendet = 4, Empfangen = 2, Verloren = 2 (50% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms

C:\Dokumente und Einstellungen\Anja>tracert 10.71.1.254

Routenverfolgung zu 10.71.1.254 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms Router [10.72.1.254]
2 10.5.64.1 meldet: Zielnetz nicht erreichbar.

Ablaufverfolgung beendet.
aqui
aqui 24.09.2007 um 10:15:30 Uhr
Goto Top
Mmmhhh, unerklärlich. Normalerweise wird die PPTP Verbindung sofort aufgebaut. Wenn du Tippfehler bei der Username/Passwort Kombination ausschliessen kannst und auch alle IP Adressen richtig hast (was laut Screenshots so aussieht..) dann solltest du mal einen Wireshark Sniffer (www.wireshark.org) in die WAN Leitung einschleifen und dir den PPTP Verbindungsaufbau ansehen. Dort kann man dann meistens sofort anhand der Packete sehen wo das Problem liegt.

Ferner solltest du mal die Ping Unterdrückung auf dem WAN Interface wegnehmen temporär und nochmal verifizieren das die Gegenüber sich sowohl mit dem DynDNS Namen als auch über die native IP Adresse pingen können. Ggf. solltest du nochmal einen Test mit der nativen DSL IP Adresse machen statt Hostnamen um DynDNS Probleme sicher auszuschliessen...
Ronny83
Ronny83 24.09.2007 um 17:08:38 Uhr
Goto Top
Ich kann bei beiden Routen das dns auflösen und von windows pc aus zu beiden Routern einen vpn verbindung aufbaun.

Der VPN-Server hängt an einer Telekom-Leitung
Der VPN-Client an der Primacom-Leitung,
könnte es da sein das die primacom da irgentwelsche Ports blockt?

Oder was muss ich noch für einstellungen beim Router machen?
aqui
aqui 26.09.2007 um 16:35:08 Uhr
Goto Top
Nein bei PPTP wäre das sehr ungewöhnlich !
Vermutlich ist das dann doch die PPP Verschlüsselung. Vielleicht solltest du auf der Serverseite dann mal mppe required,no40,no56,stateless oder mppe required,no40,no56,stateful lassen und dann nur auf der Clientseite mppe required oder auch auf beiden seiten mppe required,no40,no56,stateless probieren. Einfach mal etwas experimentieren damit. Normalerwesie sollte es problemlos mit mppe required klappen wenn auf beiden Seiten Linksys Maschinen sind. Das kannst du ganz einfach mal testen, indem du beide Router mal Rücken an Rücken mit der WAN Verbindung und statischen IPs verbindest.
So kannst du die Funktion auch immer generell sicher austesten !!!
Ansonsten einfach mal den Wireshark (www.wireshark.org) in die WAN Verbindung schleifen und den PPP Verbindungsaufbau mitsniffern. Da siehst du dann meistens sofort wo der fehler liegt...
Ronny83
Ronny83 28.09.2007 um 18:03:27 Uhr
Goto Top
Wie soll ich auf der Clientseite mppe required eintragen?

das zusammenstellen der geräte ist nicht möglich weil sie einige 100km auseinander sind. ich muss alles per fernconfig machen.

Könnte es sein das es noch irgendwelsche eintragungen beim rauter machen muss?
siehe bild

http://www.vw-scene-leipzig.de/Data/111.jpg

Dank dir
aqui
aqui 28.09.2007 um 22:01:03 Uhr
Goto Top
Sorry, das mit dem Client war natürlich Unsinn.... Nein, eigentlich brauchst du keine Eintrageungen zu machen. WDS im WLAN bzw.der MAC Access Liste dort aus deinem Bild hat mit einem PPTP Dialin überhaupt nichts zu tun...
Wie gesagt schleife mal einen Wireshark in die Client oder Serverseit ein und sieh dir mal den VPN Verbindungsaufbau an. Da siehst du dann sofort wo es hakt...
Ronny83
Ronny83 29.09.2007 um 13:11:49 Uhr
Goto Top
Also verstehe ich dir richtig ich soll einen pc mit zwei Netzwerkkarten nehmen an einen den wan Port des Routers machen und an den anderen das dsl Moden. Und bei den pc einen Netzwerkbrücke machen und da mit der software schaun was passiert!?!?
aqui
aqui 29.09.2007 um 22:26:53 Uhr
Goto Top
Nein, nein ! Viel einfacher: Einen kleinen Hub nehmen (kein Switch !) an den Hub einmal den WAN Port vom Linksys anschliessen, das DSL Modem und den Wireshark und dann mit dem Wireshark mitlesen was beim Verbindungsaufbau passiert !
Anhand des PPTP Verbindungsaufbaus und dessen Verhalten kannst du sofort sehen wo der Fehler liegt !
Ronny83
Ronny83 09.10.2007 um 06:57:39 Uhr
Goto Top
Moin, habe nun das Problem beim Verbindungsaufbau gelöst. --> mein DSL-Modem hatte ein Problem nun ist das neue Modem dran und es geht.

Aber ich sehe aus den Client-Netzwerk nur den Vpn-Server und nicht die pcs hinter dem Vpn-Router ! Wo liegt jetzt das Problem?
aqui
aqui 10.10.2007 um 17:02:13 Uhr
Goto Top
Kannst du diese PC pingen (ahte auf die Firewall dort muss ping erlaubt sein !) ?
Was ergibt ein Zwangsconnect mit Start -> Ausführen -> \\<ip_adresse_pc> ?
Ronny83
Ronny83 10.10.2007 um 20:09:09 Uhr
Goto Top
also ich komme von dem Client Netzwerk jetzt auf mein win2k pc im VPN-Server lan.
Aber von server-lan nicht auf die pcs in Clientlan. bis zum Router in client lan komm ich aber nicht dahinter. Firewall habe ich beim router testweise mal ausgemacht.
aqui
aqui 10.10.2007 um 21:30:16 Uhr
Goto Top
Hast du beim Router in den PPTP Settings NAT aktiviert ?? Das muss ggf. raus, sonst kommst du bei Verbindungsaufbau in diese Richtung nicht über den NAT Prozess im VPN !
Ronny83
Ronny83 11.11.2007 um 15:48:29 Uhr
Goto Top
So habe ein bischen mit dem NAT rumgespielt aber ich sehe vom Server-Lan(10.71.1.x) nur den Router im Client-Lan(10.72.1.x, VPN hat die 10.71.1.100), was dahinter steht sehe ich nicht und kann das auch nicht anpingen.

Die leute die im Client-Lan sind können im Server-Lan alles sehen und anpingen.

Hat jemand da noch ne idee??
60225
60225 23.02.2008 um 19:27:30 Uhr
Goto Top
darf ich mich hier einklinken?
Habe alles so eingerichtet für zwei WRT54GL. Funktioniert aber nur in eine Richtung. Warum? Kann auch nicht anpingen? Andere Richtung geht aber perfekt. Woran könnte das liegen? Ich dachte, wenn es geht, dann auch in beide Richtungen?!
Ronny83
Ronny83 23.02.2008 um 21:57:22 Uhr
Goto Top
Genau das selbe Problem habe ich auch! geht bloß in eine Richtung aber scheinbar weiß keiner warum oder kennt ne abhilfe.

meines wissen nach muss man da noch ne route angeben.
60225
60225 24.02.2008 um 00:44:22 Uhr
Goto Top
Danke für die Antwort. Werde das mit der Route mal probieren, obwohl ich da wenig Chancen sehe...
Ronny83
Ronny83 24.02.2008 um 10:18:04 Uhr
Goto Top
kannst ja bescheidsagen wen de was raus bekommen hast
60225
60225 26.02.2008 um 18:42:45 Uhr
Goto Top
bin leider etwas enttäuscht! Geht immer noch nicht. habe erst verschiedene Routen eingetragen und dann den Router komplett neu aufgesetzt. Alles ohne Erfolg! Verstehe das nciht, wenn es in eine Richtung geht, warum dann nicht auch in die andere?
aqui
aqui 27.02.2008 um 11:31:32 Uhr
Goto Top
Irgendwas machst du noch falsch. Vermutlich was du meinst mit "...Routen einrichten". Das ist natürlich Unsinn, denn alle Netze sind am Router direkt dran. Extra Routen müssen deshalb in keinem Falle eingerichtet werden !
Hier laufen mehrere diese Netze problemlos... Sei es LAN LAN oder remote VPN Dialin.
Ronny83
Ronny83 27.02.2008 um 11:35:57 Uhr
Goto Top
Man ich bim doch nicht blod. soviel kann man da ja nicht verkert machen. da gibt man ja bloß den vpn server die ip und benutzernamen und pw ein. wen ich mich per windows vpn auf das teile konneckt gehts, aber per linksys nicht. PS habe die v24 RC6 drauf
60225
60225 28.02.2008 um 09:25:08 Uhr
Goto Top
habe es ja mit touten auch nur ausprobiert und dann neu aufgesetzt, also keine änderungen an der firmware vorgenommen, trotzdem geht das netz nur in eine richtung
Blackheart
Blackheart 17.03.2008 um 12:46:21 Uhr
Goto Top
Hallo!

Hoffe ihr könnt mir weiterhelfen habe auch so ein komisches poblem???!!!!!????

Also habe auf den VPN Linksys WRT45GL denn VPN zum 2003 Server aufgebaut haut ja einwandfrei hin und ich sehe ihn auch im Routing und RemoteAccess.

Aber ich komme einfach nicht aufn Server und wenn ich die Clients in die Domain einbinden will geht das auch nicht.

Pingen geht auch nicht da jammert er immer Zeitüberschreitung der anforderung.....

Also was mach ich falsch????

Danke schon für eure Antwort
Blackheart
Ronny83
Ronny83 17.03.2008 um 12:54:08 Uhr
Goto Top
genau so habe ich die config auch. aber es geht bloß in eine richtung. habe auch noch keine lösung gefunden
60225
60225 17.03.2008 um 12:56:57 Uhr
Goto Top
face-wink bei mir das gleiche
Blackheart
Blackheart 17.03.2008 um 15:34:23 Uhr
Goto Top
Hy Leute!

Bin zwar gerade nicht vorort habe aber totzdem ne interessante entdeckung gemacht!!!!!!

Wenn ihr denn VPN Tunnel stehen habt dann geht noch mal auf euren Linksys in die Administration und dort aktiviert ihr dann PPTP Server dann die Lokale IP des Routers und die Externe (Client IP) des Server dann wird es warscheinlich funzn.

Mit freundlichen Grüßen
Blackheart

P.S. gebt mal Bitte hier im Forum bescheid
Ronny83
Ronny83 17.03.2008 um 18:02:53 Uhr
Goto Top
habe die v24 RC6 drauf aber ich finde die option bei mir nicht.
Blackheart
Blackheart 17.03.2008 um 18:05:21 Uhr
Goto Top
Das ist doch die BETA oder????
Is das VPN oder Standard????

Ich verwende sie V23 SP2 VPN Edition!!!!
Ronny83
Ronny83 17.03.2008 um 18:07:49 Uhr
Goto Top
jo ist beta. habe sie hat vpn und openvpn

-wen ich dich richtig verstehe soll ich der server und den client aktivieren.
Blackheart
Blackheart 17.03.2008 um 18:09:56 Uhr
Goto Top
Dann muss es ganz normal drin sein!!!!!
Administration -> Services -> PPTP (Das ist dann der PPTP Server)
Ronny83
Ronny83 17.03.2008 um 18:12:07 Uhr
Goto Top
ja klar aber du sagst ich soll beide (server und client) aktivieren.
richtig?
Blackheart
Blackheart 17.03.2008 um 18:14:38 Uhr
Goto Top
Ja genau

Ich habe leider noch keine gelegnheit gehabt es zu testen aber es sieht dann so aus

PPTP (Server) -> Server IP = Lokale IP
Client IP = Server IP

PPTP (Client) -> Server IP (ÖFFENTLICHE DIE ZUM SERVER GEHT)
User und PW, NAT UMLEITUNG DEAKTIVIEREN
Ronny83
Ronny83 17.03.2008 um 18:17:08 Uhr
Goto Top
aber was ich nicht verstehe ist das sich ja dann der win2003 server auch eine verbindung zum router aufbauen soll. dann würden ja zwei vpn verbindungen pro router offen sein
Blackheart
Blackheart 17.03.2008 um 18:21:33 Uhr
Goto Top
Ja das wäre ja an und fürsich ja nicht so schlimm oder hast du keine Firewall
aufn 2003 hast ja sicher NAT und aufn WRT dann die tolle Linux Firewall

Ich probiers halt mal denn er Routet mir ja ins Netz des SBS das ist kein Problem aber wenn ich dann Zugreiffn will komm ich genau aufn Router WRT

ich kann keine Client einbinden bzw. Laufwerkfreigaben sehen
Wenn ich das aber z.B. mit der Wolke Manage also Start-> Systemsteuerung-> Neue Verbindung-> VPN funktioniert das einwandfrei und so schwer kann das ja denk ich mal nicht sein so ein dämliches VPN einzurichten

Oder was sagst du dazu??????????????
aqui
aqui 17.03.2008 um 18:42:21 Uhr
Goto Top
Laufwerkfreigaben basieren auf UDP Broadcasts die generell nicht über eine geroutete Verbindungen übertragen werden, egal welchen Router man hat.
Ein Zwangsconnect über Start --> Ausführen -> \\<ip_addr_zielrechner> verbindet das Laufwerk aber immer oder eben in der Autostart mit dem net Kommando.
Ronny83
Ronny83 17.03.2008 um 19:40:21 Uhr
Goto Top
aber grade das ist doch der sinn von vpn?! oder
aqui
aqui 18.03.2008 um 15:51:31 Uhr
Goto Top
Von was ?? Das UDP Broadcast übertragen werden ?? Nein, natürlich ist DAS nicht der Sinn eines VPNs sondern eine unschöne Eigenschaft der CIFS bzw. SMB Implementation von Windows, hat aber mit VPNs nicht das geringste zu tun !
Abgesehen davon kann man es mit Win Bordmitteln auch immer hinbekommen.
jadaman
jadaman 29.03.2008 um 19:52:59 Uhr
Goto Top
gibts zu diesem problem schon neuigkeiten?
habe selber gerade versucht, dd-wrt mit win2k3 zu verbinden, die verbindung klappt, der linksys router bekommt eine ip vom server, aber man erreicht dem server vom router-netzwerk nicht...

hängt das vielleicht damit zusammen, das der win2k3 server selbst hinter einem router steht?
60225
60225 29.03.2008 um 19:56:31 Uhr
Goto Top
nein leider keine Neuigkeiten. ping geht auch nicht?
jadaman
jadaman 29.03.2008 um 20:24:38 Uhr
Goto Top
ne kein ping...


hab jetzt mal dd-wrt direkt mit einem pptp fähigen router verbunden, da kann ich den pptp router anpingen, aber die pcs selbst sind nicht anpingbar!
aqui
aqui 31.03.2008 um 11:23:49 Uhr
Goto Top
Hast du dein Firewall in den PCs entsprechend eingestellt ???
  • ICMP echo reply Packete erlaubt ?
  • Das Fremdnetz in der FW eintragen bzw. zulassen oder FW temporär zum Testen mal abschalten !
jadaman
jadaman 31.03.2008 um 11:54:12 Uhr
Goto Top
hab keine firewall am win-server derzeit aktiviert... nachdem dies nur mal zum testen ist...

werd das mal mit einem anderen pptp-router testen...
Blackheart
Blackheart 01.04.2008 um 16:27:23 Uhr
Goto Top
Hy Leute!

Werde demnächst mit dieser Anleitung mal probieren

http://www.dd-wrt.com/wiki/index.php/OpenVPN_-_Site-to-Site_Bridged_VPN ...

mfg. Blackheart
thomas1977
thomas1977 01.04.2008 um 21:51:11 Uhr
Goto Top
Hallo,

ich habe einen Linksys WRT54GL und DD-WRT VPN installiert. Dort habe ich den Server wie hier beschrieben eingerichtet. PPTP-Passthrough an, Firewall aus ....

Mit Win XP Pro SP2 möchte ich per VPN über den Router per PPTP auf das dahinter liegende Netz zugreifen.

Server config :
IP : 192.168.100.1
Client: 192.168.100.20 ( nicht belegt und nicht im DHCP-Pool enthalten)
user * passwort *

Dyndns funktioniert auf Router und pingbar.

Versuche ich mich jetzt zu Testzwecken aus meinem eigenen Netz per VPN auf die interne IP zu verbinden ( 192.168.100.1) geht alles gut. Die DyndnsAdresse und auch die Internet-IP selbst funktionieren nicht, wenn ich diese per VPN anwähle.

Habe gelesen, dass für VPN PPTP der Port 1723 TCP offen sein muss. Das sollte doch eigentlich PPTP-Pass Through erledigen. Port-Scanner sagt - port zu.
Also habe ich folgendes gemacht : /usr/sbin/iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
Port immer noch zu. Kann mir jemand helfen? Intern gehts - von außen nicht.

Danke
Thomas
aqui
aqui 02.04.2008 um 11:43:59 Uhr
Goto Top
PPTP Passthrough darf nicht !! ausgeschaltet werden !!! Der VPN Einwahlrouter hier ist ja der PPTP Server der die eingehende PPTP VPN Session terminiert.
PPTP Passthrough ist dafür gedacht PPTP Session durch die Firewall des Routers auf dahinterliegende PPTP Server im lokalen Netz durchzuschleifen (Passthrough).
Das ist natürlich unsinning wenn der wie hier Router selber der VPN Server ist, folglich gehört PPTP Passthrough ausgeschaltet ! Auf der PPTP Serverseite muss auch nichts geforwardet werden, denn der Router ist ja selber direkt am Internet.

Ferner schreibst du das du mit einem Client der in einem lokalen Netz ist (192.168.100.1) versuchst dich auf diesem VPN Router einzuwählen...
Dafür musst du zwingend sicherstellen, das auch an diesem Netz, bzw. am Router an dem sich dein PPTP VPN Client befindet Port TCP 1723 und das GRE Protokoll in die Port Forwarding Liste auf die lokale IP 192.168.100.1 eingetragen ist !!! Sonst funktioniert kein PPTP.
thomas1977
thomas1977 02.04.2008 um 11:54:54 Uhr
Goto Top
Danke, jetzt weiß ich wenigstens wie das mit passthrough funktioniert. Weiter hilft mir das leider aber auch nicht. ICh kann den VPN-Tunnel zu dem Router mit interner LAN-IP aufbauen. ZU der DynDns oder Internetadresse funktioniert der VPN nicht Fehler 800! Der Router ist direkt am Modem dran und Portforwarding ist nicht nötig! Muss ich die Firewall vom Router aufbohren?
aqui
aqui 02.04.2008 um 12:40:27 Uhr
Goto Top
Ja, am Router wo der Client dran ist musst du im Portforwarding TCP 1723 und das GRE Protokoll auf die lokale Client IP einstellen. PPTP Passthrough muss aktiv sein !
Hier wird vermutlich TCP 1723 geblockt:
http://support.microsoft.com/kb/319108/de

Der VPN PPTP Server, also das Ziel für diesen Client ist ja der Router selber. Hier auf dieser Seite ist nichts einzustellen nur PPTP Passthrough muss hier auf der VPN Serverseite ausgeschaltet sein !
Denk dran das du hier auf diesem VPN Einwahl Router den PPTP Client ausschaltest und auch OpenVPN deaktivierst, wie oben im Tutorial beschrieben. Diese Seite darf nur als PPTP Server arbeiten !
thomas1977
thomas1977 02.04.2008 um 15:40:20 Uhr
Goto Top
Danke vorab für die Hilfe. Wir reden scheinbar aneinander vorbei und ich drücke mich nicht klar aus.

Ich habe einen Router als PPTP VPN Server eingerichtet. config hier wie folgt:
IP: 192.168.100.1
client:192.168.100.20
PPTP-Passthrough ist aus. Firewall aus.
/config Router ende

In das netz des Routers möchte ich mich später von außen einwählen und teste die Verbindung aus dem VPNServer eigenem Netz 192.168.100.0 . Mein Rechner kann die Verbindung zu dem VPNserver über IP 192.168.100.1 wunderbar aufbauen und erhält auch die Client-IP 192.168.100.20. Die Verbindung über DynDNS misslingt.

Portforwarding macht meiner Meinung nach in meinem Fall keinen Sinn. Der Router als VPN-Server hängt direkt am Netz. Der Port 1723 TCP sollte offen sein, da ich unter Commands / Firewall folgendes zu stehen habe:/usr/sbin/iptables -I INPUT -p tcp --dport 1723 -j ACCEPT

Portscan sagt aber, dass der Port am Router zu ist und damit auch nicht erreichbar für den Client. Trotzdem funktioniert es intern! Verstehe das alles irgendwie nicht.
Was ist dieses GRE-Protokol und wie schalte ich es frei/weiter? Danke für die Geduld.
aqui
aqui 02.04.2008 um 15:48:28 Uhr
Goto Top
OK, da hast du dich in der Tat verwirrend ausgedrückt. Ein Test aus dem internen Netz ist nicht möglich, da PPTP Passthrough ausgeschaltet ist aber auch ohne das wird es nicht klappen.

Das kannst du nur von extern testen, aber das ist auch einfach sofern du einen Laptop oder PC mit Analogmodem hast.
Das schliesst du schnell mal an die Telefondose an und richtest dir schnell einen Dialin bei einem Internet by Call Provider wie z.B. Arcor mit folgenden Daten ein:

Rufnummer: 01920791
Benutzername: arcor
Passwort: internet


Steht diese Verbindung kannst du darüber problemlos deinen VPN Zugang testen ! Das LAN muss dafür natürlich deaktiviert sein oder nicht angeschlossen sein !
thomas1977
thomas1977 02.04.2008 um 16:20:22 Uhr
Goto Top
Ein Bekannter hat es soeben versucht. Er bekommt Fehler 678! Ich 800! Werde jetzt eine neue FW auf dem Router installieren zur Zeit ist noch DD-WRT v24 Beta (06/20/07) vpn drauf.

Der Test von innen klappt aber auf die interne Routeradresse mit VPN!!!! Es ist von Innen also doch möglich.
thomas1977
thomas1977 03.04.2008 um 13:08:40 Uhr
Goto Top
Habs nun endlich hinbekommen. Lag an der Beta-Firmware. Nun habe ich 2 Linksys WRT54GL mit OpenVPN verbunden siehe http://www.dd-wrt.com/wiki/index.php/OpenVPN-Site-to-Site-Bridged

Habe hier von Problemen beim bridgen von 2 Routern und PPTP gelesen und deshalb gleich OpenVPN genommen. PPTP-Server läuft noch parallel für die gute alte Win-VPN Einwahl. Keine Performanceprobleme.

Die genannte Arcor-NUmmer konnte ich auf der HP nicht finden, aber diese By-Call von Arcor 0192070.

Danke für die Geduld
aqui
aqui 04.04.2008 um 09:29:00 Uhr
Goto Top
Die Arcor Nummer steht auf der Arcor Homepage unter Produkte -> Privat -> Internet ohne DSL
thomas1977
thomas1977 04.04.2008 um 15:23:22 Uhr
Goto Top
Stimmt. Finde es nun auch. Jedoch konnte ich mit der Nummer nichts ansurfen, weil DNS irgendwie nicht funktionierte. Egal. Works fine now. Thanks a lot!
Computer-Fan
Computer-Fan 14.05.2008 um 16:11:59 Uhr
Goto Top
Hi,

funktioniert das auch mit FONera mit DD-WRT?
Ich habe auf meinem FONera DD-WRT.

Gruß.
thomas1977
thomas1977 14.05.2008 um 22:54:41 Uhr
Goto Top
Sollte meiner Meinung nach funktionieren. Ob nun Fonera, Linksys oder Asus-Router ist doch egal, da alles über die Firmware realisiert wird.
Computer-Fan
Computer-Fan 15.05.2008 um 08:44:25 Uhr
Goto Top
Hi,

ich möchte folgendes realsieren:

Ein DD-WRT-Gerät arbeitet als WLAN-Client.
Es soll sich automatisch mit einem WLAN-AP verbinden der unverschlüsselt ist.
Dann sich mit einem PPTP-VPN-Server verbinden.
Und so aus dem LAN hinten www liefern was durch den PPTP-VPN-Server zur Verfügung gestellt wird.

Ist das möglich mit DD-WRT?

Als Beispiel:
Der WLAN-AP vergibt IPs aus dem Bereich 192.168.100.100 bis 192.168.100.200.
So erhält der DD-WRT-WLAN-Client zum Beispiel die IP 192.168.100.101.
Der PPTP-VPN-Server vergibt Adressen aus dem Bereich von 172.168.100.100 bin 172.168.100.200.
Wenn sich jetzt der DD-WRT-WLAN-Client mit seinem PPTP-Client einwählt bekommt er die IP 172.168.100.109 zum Beispiel.
Was für ein Netz kann ich hinten zum LAN-Port rausgeben lassen?
Muß es ein 172.168.100.xxx Netz sein, sprich das PPTP-VPN-Netz?
Ode kann ich in dem DD-WRT-WLAN-Client-Gerät sagen das es mir eine NAT machen soll und so zum Beispiel ein Netz 10.10.10.yyy ausgebe soll?

Wie verhält sich DD-WRT wenn das VPN mal abreist weil das WLAN kurzzeitig unterbrochen wurde?
Wieviel mal versucht es sich in welchen Abständen neu beim WLAN und dann beim VPN-Server einzubuchen?

Danke.

PS:
Super HowTo.
aqui
aqui 19.05.2008 um 16:28:44 Uhr
Goto Top
Der DD-WRT WLAN Client Modus und der PPTP Server schiessen sich vermutlich gegenseitig aus. Sicher ist das allerdings nicht.
Diese Konfig ist aber auch vollkommen unsinnig auch wenn nicht. Warum sollte denn unbedingt der WRT im Client Modus auch einen PPTP Client haben. Das ist doch so oder so überflüssig.
Der von dir zitierte AP wird ja vermutlich ein Router sein. Es reicht doch vollkommen dort den PPTP Client zu aktivieren, der dann eine Verbindung mit dem 172.168er Netz herstellt und die Packete vom WLAN Client dahin routet.
Der Witz eines VPN Routers ist ja gerade das Endgeräte sich NICHT um VPN Verbindungen kümmern sollten !
Gut, vermutlich wirst du auf dem Fonera Router keinen Zugriff haben, was dich zu dieser grauseligen Konfig führt.
Es ist dann aber besser einen NAT Router mit dem WAN Interface im Fonera Netz zu betreiben und dort kabelbasierend die VPN Verbindung zu realisieren.
Letztlich scheitert das aber so oder so an der mangelnden Möglichkeit ein Port Forwarding auf dies IP für die VPN Verbindung zu konfigurieren, was zwingend nötig ist. Andererseit ist so oder so keine VPN Verbindung möglich. Auch nicht wie du es dir vorstellst, denn ein WLAN Client ist nur eine transparente Layer 2 Bridge, hat also mit der Adressierung im WLAN rein gar nichts zu tun. Die relevanten IP Adressen werden vom am Client angeschlossenen PC gehalten.
Wenn, dann müsste der VPN Client schon direkt auf dem PC laufen, was dann ggf. funktionieren könnte.

Nochwas: Deine 172.168er Adressen sind KEINE privaten und freinen RFC 1918 Adressen !!! Dieser Bereich geht von 172.16.0.0 bis 172.31.255.255 !!
Siehe hier:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Computer-Fan
Computer-Fan 20.05.2008 um 16:53:34 Uhr
Goto Top
Hi,

es sieht im Momemt so aus:

Windows-PPTP-Client auf PC => FONera im WLAN-Client-Modus => AP => PPTP-Server => www

nur mit Zugang zum PPTP-Server bekommst du Zugang zum www.

Ziel:

PC => FONera im WLAN-Client-Modus mit PPTP-Client => AP => PPTP-Server => www

ist das möglich?

Gruß.
aqui
aqui 20.05.2008 um 21:34:42 Uhr
Goto Top
Das kann man so nicht beantworten, da man wissen muesste ob die Fonera SW diesen Doppelmodus supportet !
Vermutlich aber NICHT, denn der PC muesste den PPTP Client halten, denn dessen IP ist relevant fuer die Kommunikation. Der WLAN Client arbeitet nur als Bridge oder gewissermassen als Medienwandler Kabel - WLAN. Dessen IP spielt also gar keine Rolle und ist nur fuer die Administration. Ein PPTP Client hier ist allso vollkommen nutzlos. Deshalb sehr wahrscheinlich ein NO GO !
Computer-Fan
Computer-Fan 21.05.2008 um 00:38:10 Uhr
Goto Top
Hi,

kann die FONera nicht auch auch einen echten WLAN-Client-Modus mit NAT oder echtem Routing?
Und dann noch einen PPTP-Client auf die FONera zwischen WLAN und NAT.

Gruß.
aqui
aqui 21.05.2008 um 11:08:26 Uhr
Goto Top
Die Frage müsstest du als Fonera User selber beantworten oder mal in der Feature Beschreibung von Fonera nachlesen !

Es ist aber auch egal... Wie bereits gesagt ein WLAN Client ist NICHT an der IP Kommunikation beteiligt sondern nur ein WLAN Adapter. Die IP Kommunikation findet aktiv transparent über diesen Client mit dem Gerät dahinter statt. Der PPTP Client ist also vermutlich eh nutzlos auf dem WLAN Client Device und gehört auf den PC dahinter als aktives Endgerät.
Einzige Ausnahme wäre der WLAN Client supportet selber aktiv die WLAN Verbindung. Das ist der sog. WISP Modus. Das die Fonera Kiste das aber auch noch kann so quasi als eierlegende Wollmilchsau ist aber mehr als fraglich....
Die Fonera Doku sollte da eindeutig sein !
dn418553
dn418553 27.05.2008 um 11:43:45 Uhr
Goto Top
Hi... mir grossem Interesse habe ich den Thread gelesen und mit meinem WRT54GL rumprobiert. (mittlerweile seit 3 Tagen)

Aber ich habe ein riesen Problem.

Mein VPN Einwahlserver ist eine Routing und RAS Server auf Win 2003 Server Enterprise. Die Einwahl durch Win-Clients gelingt problemlos.

Konfiguriere ich jedoch alles wie hier für einen WRT54G-PPTP Client vorgesehen, verbindet der WRT (FW v24 vpn) kurzzeitig... und nach 30 sek fliege ich wieder raus.

Folgender Eintrag im Eventlog des Servers:


Der Benutzer "ABC\abc" hat eine Verbindung mit Port VPN3-127 am 27.05.2008 um 11:24 hergestellt und diese am 27.05.2008 um 11:25 getrennt. Verbindungszeit: 0 Min. 41 Sek., 871 Bytes wurden gesendet und 912 Bytes empfangen. Der Grund für das Trennen war: Administrative Einstellungen oder expli.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Kann mir da jemand weiterhelfen ? - Die Verbindung per Windows Client funktioniert Fehlerfrei mit der Anzeige: Gerätename: (PPTP), Servertyp: PPP, Authentifizierrung: MS CHAP V2, Verschlüsselung: MPPE 128

Vielen Dank für die Hilfe im Voraus... Gruss Steve
aqui
aqui 27.05.2008 um 12:39:50 Uhr
Goto Top
Hast du mal etwas mit den mppe required,no40,no56,stateless Parametern rumgespielt ??? Also z.B. mal
mppe required,no40,no56,statefull
mppe required,stateless
mppe required,statefull
usw. versucht.

Vermutlich wird er deshalb rausgeschmissen...
Wichtig ist das was im Windows PPTP VPN Server im Log steht !!! Der zeigt genau an was ihm nicht gefällt in den PPPTP Parametern !! Der erste Blick sollte also hier hineingehen...
dn418553
dn418553 27.05.2008 um 15:25:41 Uhr
Goto Top
Sorry... habe deine Antwort jetzt erst gesehen... irgendwie hat das mit der Benachrichtigungsmail nicht funktioniert.

Bin immer noch dran und probiere die wildesten Sachen aus.... das kann doch nicht so schwer sein face-sad

Ich prüfe die von dir genannten Optionen mal durch und melde mich wieder.

Bis gleich....
dn418553
dn418553 27.05.2008 um 15:53:34 Uhr
Goto Top
So....

also mit folgenden Varianten ist folgendes passiert (Server Eventlog):

mppe required,no40,no56,statefull --> Fehlermeldung bzgl. des GRE Protokolls --> Keine Verbindung
mppe required,no40,no56,stateless --> Login / Logout --> Keine stabile Verbindung aber keinerlei Fehlermeldungen im Log, daher Problem wie bisher beschrieben
mppe required,stateless --> Login / Logout --> Keine stabile Verbindung aber keinerlei Fehlermeldungen im Log, daher Problem wie bisher beschrieben
mppe required,statefull --> --> Fehlermeldung bzgl. des GRE Protokolls --> Keine Verbindung

Das gibts doch nicht.... wieso hält der Router die Verbindung nicht ?

Bin für alle Vorschläge offen face-smile
dn418553
dn418553 03.06.2008 um 09:41:47 Uhr
Goto Top
... ich sagte: " Ich bin für ALLE Vorschläge offen !!" face-wink

CU St.
oo0dlx
oo0dlx 19.08.2008 um 15:09:23 Uhr
Goto Top
ich habe das problem, dass ich bei eingeschaltetem vpn-passthrough in dem DD-WRT router (was ich für ausgehende VPN-Verbindungen aus winXP benötige?!) von außen nicht per VPN zum router connecten kann.

denke mal, weil er die anfrage dann ja durchstellt. hat irgendwer ne ahnung, wie ich das hinbiegen soll?

mfg
aqui
aqui 26.08.2008 um 11:43:31 Uhr
Goto Top
Nein, er stellt die Anfrage definitiv nicht durch, denn das wäre ein simples Port Forwarding was mehr oder weniger jeder Router kann und nichts mit dieser VPN Router Lösung zu tun hat ! VPN Passthrough darf also in dieser Lösung niemals aktiviert sein ! (Ist es auch nicht wenn der Router wie oben beschrieben PPTP VPN Server ist)

Wie du oben im Tutorial ja lesen kannst ist der Router selber VPN Server !!! D.h. der Router selber terminiert die VPN Verbindung und nicht ein Rechner oder was auch immer dahinter.

In dieser Beziehung machst du wohl vermutlich einen Denkfehler oder hast eine falsche Konfiguration aufgesetzt !!!
oo0dlx
oo0dlx 26.08.2008 um 18:43:24 Uhr
Goto Top
hi und erstmal danke für die antwort, jedoch war mir das soweit schon lange klar...
mein problem ist, dass ich von zu hause mit dem windows vpn client (der hinter besagtem router sitzt, auf den sich ja auch eingewählt wird) nicht rauskomme, wenn ich kein passthrough in besagtem router an habe.

mit aktiviertem passthrough kann sich ja aber keiner auf dem router einwählen...
aqui
aqui 02.09.2008 um 14:12:18 Uhr
Goto Top
Beides parallel ist nicht möglich face-sad
64247
64247 08.12.2008 um 23:32:59 Uhr
Goto Top
Ich habe eine Verständnisfrage.

Mein Heim-LAN: 192.168.1.0/24
Router: 192.168.1.1
DHCP vergibt von .2 - .50

PPTP-Server Konfiguration:

PPTP-Server: 192.168.1.1
Client IPs: 192.168.1.60-70

Dann noch die CHAP-Secrets, und schon kann ich mit einem VPN Client mein Heimnetz nutzen, indem ich mich mit dem Client zu meiner externen IP (die statisch ist) verbinde? Habe ich das so richtig aufgefasst, stimmt das so?
aqui
aqui 09.12.2008 um 17:29:30 Uhr
Goto Top
Du würfelst hier ziemlich was durcheinander.... 2 Punkte sind falsch:

1.) "Mein Heim-LAN: 192.168.1.1/24 " ist erstmal schon falsch, denn "192.168.1.1" ist eine Host Adresse wie du weisst aber bezeichnet kein Netzwerk !! Das Netzwerk bezeichent immer die Adresse bei denen die Hostbits der IP alle 0 (Null) sind !!
Richtig wäre also hier : 192.168.1.0/24

2.) "...Client zu meiner externen IP (die statisch ist) verbinde?.."
Nein, das ist falsch. Deine externe IP (DSL Interface) muss nicht statisch sein !! Eine dynamische geht auch. Damit du die dann nicht immer nachsehen musst empfiehlt es sich bei DynDNS einen kostenlosen Account einzurichten und den auf dem Router einzurichten !

Nun kannst du von überallher mit dem PPTP Client und als Ziel IP dann: /meinrouter.dyndns.org auf den Router zugreifen per PPTP VPN.
Wenn du eine statische IP hast kannst du dir das DynDNS natürlich sparen und gibst dann nur die satische DSL IP an...

Der Rest ist aber richtig !!
64247
64247 09.12.2008 um 20:22:16 Uhr
Goto Top
Hallo,
vielen Dank für deine Antwort.

zu 1.) Das ist natürlich völlig richtig - Flüchtigkeitsfehler meinerseits.
zu 2.) Ich habe aber eine statische externe IP - von daher ließ ich DynDNS in meiner Ausführung aus.

Also passts ja so - vielen Dank! Werde es demnächst testen.
MichaelBF
MichaelBF 04.02.2009 um 13:36:09 Uhr
Goto Top
Hallo,

hatte auch das Problem daß die VPN-Kopplung zwischen 2 DDWRT-Routern nicht klappen wollte.
Windows Clients konnten sich am Server problemlos anmelden und die Verbindung aufbauen.

Nur der DDWRT - Client wollte nicht so richtig.
Offensichtlich bekam der Client vom Server keine IP zugeteilt.
Abhilfe hat dann folgende Einstellung im Client gebracht:

noipdefault mppe required

Vielleicht hilfts ja jemanden weiter.
Habe 2 Tage gebraucht die Verbindung zum laufen zu bringen...
Hardware: D-Link DIR300 mit V24SP1


Mfg
Michael
DerWolti
DerWolti 11.03.2009 um 02:46:30 Uhr
Goto Top
Nabend zusammen,

ich habe leider das gleiche Problem wie Steve. Ich versuche per pptp client (DD WRT) an einen Windows 2008 VPN zu kommen, und die Verbindung wird auch aufgebaut, aber leider bleibt sie nur für ca 10 sek bestehen. Ich bekomme eine dynamische IP zugewiesen und die Logons sind ordnungsgemäß im VPN Server zu finden. Mit "stateful" und "stateless" bzw. den anderen Optionen spiele ich nun seit 2 Tagen rum, und bin leider nur zu diesem ergebnis gekommen. Der Router ist nicht mein einwahlrouter und bekommst seine adressen + gateway per DHCP (nach den tipps ettlicher anderer tutorials).

Kann mir irgendjemand dazu weiterhelfen?

Danke im voraus, mfg,

daniel
78076
78076 06.05.2009 um 10:18:08 Uhr
Goto Top
Hallo!
Ich bin auf diesen Beitrag gestossen und habe einige Fragen bezüglich meines Problems.
In meiner unten angeführten Konfiguration funktioniert kein Portforwarding und ich denke das folgende aussage das Problem sein könnte:

ZITAT:
NAT: Hier kann man Einstellen ob der Router NAT, also Network Adress Translation, zum entfernten Netz machen soll. Aus Sicherheitsgründen kann das durchaus sinnvoll sein wenn man z.B. ausschliesslich nur Dienste im entfernten Netz nutzen möchte aber gleichzeitig sein lokales Netz durch eine NAT Firewall schützen möchte.
Der Nachteil ist, das damit aus dem remoten Netz heraus keine Rechner im lokalen Netz erreicht werden können. Ist eine transparente Netzkopplung, wo jeder mit jedem kann gefordert, muss NAT ausgeschaltet sein wie im Beispiel !


Leider funktioniert mein Zugriff auf den PPTP-Server nicht wenn ich NAT deaktiviere.


Meine Konfiguration:

2 mal Lynksys WRTG Router (einmal orig. software vom provider "mywave.at" und einmel mit ddwrt v24)
konfiguriert nach dieser anleitung:
***.overclockers.at/showthread.php?s=&postid=2244589#post2244589

einen laptop per wlan am ddwrt router!

ip´s:

Router1 (mywave) 172.24.0.1 (webif zugriff auf: 172.24.0.1:32000)
Router2 (ddwrt) wan 172.24.0.2
Router2 (ddwrt) lan 192.168.1.1
laptop 192.168.1.2

Die Verbindung zwischen R1 und R2 erfolgt mittels eines 1:1 Kabels von einem der LAN-Ports des R1 auf den WAN-Port des R2

Die Portforwards hab ich auf R2 auf die IP des Laptops eingestellt, leider ohne erfolg!

Wenn ich mich mittels VPN vom Laptop direkt einwähle sind alle Ports geöffnet.
Sobald R2 die Verbindung aufbaut, sind nur Port 80, 53 frei!

Gibt es da eine Lösung?

mfg,
CH
aqui
aqui 06.05.2009 um 11:57:11 Uhr
Goto Top
Das NAT bezieht sich auf ein NAT innerhalb des VPNs, NICHT auf das NAT in Richtung Internet. Normalerweise ist das unsinnig das einzuschalten und gehört deaktiviert. Das NAT in Richtung Internet muss natürlich bestehen bleiben !!

Auch bei einer VPN Kopplung 2er Router sind dann deren lokale Netze durch den VPN Tunnel direkt verbunden. Es findest also ein direktes Routing zw. diesen Netzen statt.
Ein Filter ist da nicht aktiv, das ist unrichtig oder du hast die Firewall entsprechend eingestellt.
Beide Netze hängen transparent zusammen, was du auch eindeutig mit einem Ping verifizieren kannst !
Wichtig ist das beide lokalen Netze unterschiedliche IP Adressen haben bei einer VPN Kopplung.
Das die lokalen Firewalls auf den Endgeräten entsprechende Zugriffe aus dem Fremdnetz zulassen müssen sollte ebenfalls klar sein.
Ansonsten ist nichts zu beachten und das o.a. Szenario funktioniert fehlerlos !
78076
78076 06.05.2009 um 12:16:39 Uhr
Goto Top
Hi!

Wo kann ich prüfen ob das NAT innerhalb des VPNs deaktiviert ist?

Firewalls sind deaktiviert (zumindest bei Router2 und Windows) Router1 hat keine Firewalleinstellungen.

Weis auch nicht weiter.

Gibt es irgendwo ein Log wo ich nachsehen kann wo die "Ports" bei der Weiterleitung hängenbleiben?

mfg,
CH
aqui
aqui 06.05.2009 um 15:38:23 Uhr
Goto Top
"Wo kann ich prüfen ob das NAT innerhalb des VPNs deaktiviert ist? "

A.: Sieh dir den Screenshot oben an !!!
Auf der PPTP Client Seite muus der Konfig Button bei NAT auf Abschalten stehen.
Ist oben im Kringel auch so ersichtlich !!
Auf der PPTP Server Seite ist nichts zusätzlich einzustellen !
78076
78076 06.05.2009 um 16:25:37 Uhr
Goto Top
Sobald ich das NAT deaktiviere wählt sich mein Router nicht mehr ins Internet ein!
aqui
aqui 06.05.2009 um 18:25:34 Uhr
Goto Top
Das kann eigentlich nicht sein. Vermutlich hast du das DSL NAT genommen und nicht das PPTP NAT.

Der PPTP Prozess ist doch vollkommen unabhängig von der Internet Einwahl !!
Da ist es vollkommen egal ob im PPTP Client Router NAT angeklickt ist oder nicht !
Die PPPoE Einwahl funktioniert unabhängig davon. Wäre ja auch schlimm wenn nicht !!!

Mit 2 mal Linksys WRT54 und DD-WRT funktioniert das wenigstens vollkommen problemlos egal ob NAT im VPN Tunnel gemacht wird oder nicht.
Wer weiss was du da rumkonfigurierst ???
Scheinbar nicht das was im o.a. Tutorial beschrieben ist !
78076
78076 07.05.2009 um 16:29:44 Uhr
Goto Top
Router mit DDWRT: Services->PPTP>NAT auf Disable und Neustart des Routers = keine Einwahl

Stelle ich NAT auf Enable erfolg die Einwahl nach 2-3 min.

ZITAT:
"Mit 2 mal Linksys WRT54 und DD-WRT funktioniert das wenigstens vollkommen problemlos egal ob NAT im VPN Tunnel gemacht wird oder nicht"

Beim Router1 ist devinitiv kein DDWRT drauf! Es ist eine Eigene Software des Providers wo man nur folgendes einstellen bzw. einsehen kann:
KAP Status
Portforward
Reboot

Auf dem Router wo der PPTP-Server läuft hab ich natürlich keinen Zugriff da der beim Provider steht.
aqui
aqui 07.05.2009 um 23:13:45 Uhr
Goto Top
Nur nochmal zur Klarstellung:
DDWRT: Services->PPTP>NAT Server -> AUS
DDWRT: Services->PPTP>NAT Client -> AN und Konfig wie oben beschrieben (NAT off)
c3b00ebc5e8b36bcb84d329439f78d44-dd3

Das ist dann ein ganz anderes Szenario wenn das 2te System kein dd-wrt ist aber letztlich egal, denn das kann jeglicher PPTP Server sein. Mit 2 mal DD-WRT klappt das einwandfrei !
Ist aber trotzdem vollkommen unverständlich, denn ob du im PPTP Client NAT machst oder nicht hat bei dd-wrt keinerlei Einfluss auf die PPPoE Einwahl zum Provider.
Der Router wählt sich trotzdem beim Provider ein egal ob NAT im PPTP Client aktiviert ist oder nicht !!
Der PPTP Server muss natürlich ausgeschaltet sein !!!
Ggf. ist das ein Bug in deiner Version.
Letztlich ist es aber egal ob die NAT im VPN Tunnel machst oder nicht sofern du Endgeräte im remoten Netz erreichen willst bzw. derjenige bist der eine Verbindung initiiert.
Andersrum wird es natürlich nicht gehen, denn wenn jemand aus dem remoten Netz zu dir eine Session aufbauen will kommt er über die NAT Firewall nicht rüber.
Deshalb sollte man ja auch tunlichst NAT im VPN Tunnel ausschalten um nicht in diese Falle zu rennen !!!
78076
78076 08.05.2009 um 11:41:02 Uhr
Goto Top
Zwischendurch mal "Danke" das du dich um mein Problem kümmerst!

Es ist leider so das es mit Abgeschalteten NAT nicht funktioniert.

Kann hier leider keine Screenshots einstellen aber bei meinm Router ist alles so Konfiguriert wie hier beschrieben:
www.overclockers.at/showthread.php?s=&postid=2244589#post2244589

Vielleicht kannst du dir die Einstellungen mal ansehen da mir das ganze sehr Spanisch vorkommt!
aqui
aqui 08.05.2009 um 12:07:32 Uhr
Goto Top
Ja, das ist in der Tat sehr ungewöhnlich. Ein aktueller Test hier mit einem Linksys WRT54, latest dd-wrt vpn Release an T-Online DSL mit PPPoE funktioniert mit und ohne NAT im VPN fehlerlos !!
RogerG781
RogerG781 11.10.2009 um 18:33:20 Uhr
Goto Top
Hi Leute,
habe mein DD-WRT auch als PPTP-Client eingerichtet, damit er eine Verbindung zu einem entfernten Windows-Server auf dem RRAS eingerichtet ist, aufbaut.

Das funktioniert auch. Unter der Verwaltungskonsole auf dem SErver sehe ich, dass sich der Client erfolgreich eingewählt hat.
Leider ist aber kein Ping in das Netzwerk über den VPN-Tunel vom Router möglich, IP-Adressbereich und Subnetmask hab ich noch einmal überprüft und sind ok.
Könnte es an einer falschen MTU-Size liegen, obwohl die Verbindung bereits steht?

Folgend Firmware ist installiert: WRT v24-sp1 (07/27/08) std auf einem WRT-54GL
aqui
aqui 12.10.2009 um 10:05:27 Uhr
Goto Top
Ist die Firewall im Windows Server entsprechend angepasst ??
Hast du NAT aktiviert im DD-WRT ??
Kannst du andersrum vom WinServer den dd-wrt pingen ?
RogerG781
RogerG781 15.10.2009 um 17:52:14 Uhr
Goto Top
Router steht im Netz 192.168.10.X und wählt sich auf einem Server im Netz 192.168.78.X ein.

Die Firewall habe ich entsprechend angepasst. NAT habe ich nicht aktiviert, da ich ja eine bidirektionale Verbindung zwischen beiden Netzwerken haben möchte.
Ich kann vom WinServer nur die IP des Router anpingen, die er beim einwählen erhalten hat. Die Fixe IP erreiche ich nicht.
Im Routing und RAS habe ich eine Statische Route eingetragen in der das 10er Netz über das Gateway 192.168.78.233 erreichbar ist, diese IP hat der Router bei der Einwahl erhalten.
Allerdings kann ich aus dem 10er Netz die IP-Adresse des Routers im anderen Netz erreichen, also die 192.168.78.233.
Hier scheint also ein Routing-Problem vorzuliegen. Da schau ich gleich noch mal nach.
aqui
aqui 22.10.2009 um 14:26:16 Uhr
Goto Top
  • Was sagt traceroute oder pathping ?
  • Hast du die Firewalls (Windows, Router) angepasst das sie diese Netze zulassen ?
  • Hast du ICMP (Ping) in den Win Firewall aktiviert ?
wurmelz
wurmelz 11.11.2009 um 08:20:28 Uhr
Goto Top
Hallo...

ich muss mich mal einklinken...

Ich bekomme es nicht zum laufen...

2 WRT54GL mit dem aktuellen DDWRT VPN-Image SP1 (SP2 habe ich schonmal runtergenommen, aber daran liegts auch nicht).... Bis auf die nötigen Zugangsdaten ist alles auf Standart eingestellt

Standort 1
IP-Bereich 192.168.0.0


Standort 2
IP-Bereich 192.168.1.0


Ich kann nicht von Standort 1 den Dyndns-Namen von Standort 2 anpingen und umgekehrt... Vielleicht liegts schon daran... Mich selbst kann ich vom jeweiligen Standort anpingen... Der Router reagiert nicht drauf... Auf wenn ich die IP direkt anpinge nicht.

Hat jemand ne Idee?
aqui
aqui 11.11.2009, aktualisiert am 18.10.2012 um 18:39:56 Uhr
Goto Top
Ja es liegt schon daran ! Du musst die SPI Firewall deaktivieren und ICMP (Ping) erlauben, dann sollte es sofort klappen !!
Muss denn die o.a. Konfig ist zigfach erfolgreich im Einsatz.
Mit der neuen SP2 kannst du übrigens auch eine Routerkopplung mit OpenVPN machen:

OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
wurmelz
wurmelz 12.11.2009 um 07:38:11 Uhr
Goto Top
Prima, klappt! Vielen Dank!!! Aber ist das auch sicher, die Firewall abzuschalten?

Er verbindet noch immer nicht, es ist zum Haare raufen... Kann ich irgendwo ein Logfile einsehen, wo eventuelle Fehlermeldungen stehen?

Was sagen denn die Ports?

18 Unbekannt 431998 87.185.197.138 87.185.219.40 ASSURED
47 TCP 3578 87.185.219.40 87.185.197.138 1723 ESTABLISHED

87.185.197.138 ist in dem Fall der Remoterouter gewesen...

Aber kein Ping auf andere Rechner möglich. NAT ist aus...


UPDATE...

Also ich kann vom PPTP Server aus den Client anpingen, aber keine Rechner dahinter, also nur die 192.168.1.1.Andersrum - vom Client zum Server kann ich nicht pingen...
aqui
aqui 12.11.2009 um 13:13:20 Uhr
Goto Top
Nein, die NAT Firewall ist trotzdem aktiv. Ist nur die Stateful Inspection die man disabled und das ist OK.
Bedenke das du in den Remote Netzen mit einer anderen IP auftauchst !!
Die lokale Windows Firewall blockt alle solche Zugriffe !!! Du musst sie entsprechend customizen indem du entweder das remote netzwerk dazuträgst oder generell alles freigibst !
Prüfe auch ob ICMP (Ping) überhaupt aktiv ist bei dir ! Das geht in den erweiterten Eigenschaften der Win Firewall unter dem Button ICMP. Dort muss der Haken bei Auf eingehende Echo Anforerungen antworten unbedingt gesetzt sein !!
wurmelz
wurmelz 12.11.2009 um 13:47:16 Uhr
Goto Top
Also Firewall ist eigentlich aus... Wo müsste ich denn die Netze eintragen? Müsste das nicht im Router eingetragen werden, dass sich die Netze sehen dürfen?

Ich komme ja auch nicht an die Netzdrucker ran und die dürften nicht von der Windows Firewall beschützt werden, oder?
aqui
aqui 13.11.2009 um 16:52:33 Uhr
Goto Top
Das ist richtig wenn die Drucker simple Netzdrucker sind ohne FW und ohne Win OS und entsprechend pingbar sind. Zwingende Voraussetzung ist dann allerdings das die Netzwerkdrucker natürlich ein default Gateway eingetragen haben was auf den VPN Router zeigt !
Ohne diesen Gatewayeintrag im Drucker ist ein Ping sonst logischerweise natürlich nicht möglich !!

Im zweifelsfall hängst du ganz simpel mal einen Wireshark Sniffer ins Zielnetz und snifferst mal mit ob der VPN Router überhaupt Pakete forwardet.
In der Regel muss auf dem Router nichts eingetragen werden, denn filtern tut er nicht und alle Netze sind direkt an ihm dran. Das setzt voraus das der VPN Router auch gleichzeitig der DSL Router ist !
wurmelz
wurmelz 13.11.2009 um 18:04:41 Uhr
Goto Top
Ok, das werde ich mal überprüfen. Kannst Du mir noch sagen, wie ich die Firewall von Windows konfigurieren muss? Selbst wenn ich den dienst beende, will's nicht gehen.
aqui
aqui 14.11.2009 um 16:45:18 Uhr
Goto Top
Installier dir mal den Windows_Netmonitor auf einem Zielsystem und prüfe mal ob dort überhaupt Pakete aus dem VPN ankommen wenn du diesen anpingst.
wurmelz
wurmelz 16.11.2009 um 11:03:07 Uhr
Goto Top
Also die Drucker haben alle das Gateway drin. Ich versuchs mal mit dem Netmonitor.
wurmelz
wurmelz 16.11.2009 um 11:32:43 Uhr
Goto Top
Hmm, Laut Netmonitor leitet er die Anfragen an die alte IP-Adresse des Servers um, die er vorher mal hatte...???

Ich steh aufm Schlauch! Woher hat er die? Der Server und alle Geräte haben neue Adressen bekommen. DNS habe ich entfernt, wo könnte die Adresse noch gespeichert sein? Wenn ich den Server anpinge, warum hat der dann die alte Adresse? Wo kramt er die bloss her? Ich bin echt mit meinen Nerven am Ende ;)
wurmelz
wurmelz 17.11.2009 um 10:09:51 Uhr
Goto Top
Soo... diese komische IP bin ich scheinbar los... wer weiß, wo die nochmal herkam. Hab alles aus der Registry rausgeschmissen, was darauf noch hindeutete (alte Ports von den Netzdruckern)...

Ich habe nochmal einen Ping gemacht und den aufgezeichnet...

Es steht am Ende ConvID=0 ... Ich habe mal einen Screenshot gemacht. Zu finden hier:

http://www.thorstenschuette.de/netmon.JPG

Vielleicht sagt das jemandem etwas?

Ich kann auch nicht vom ClientPC den Serverrouter anppingen? Doch die Routerfirewall?
aqui
aqui 17.11.2009 um 17:47:22 Uhr
Goto Top
Der gepostete Sniffer Trace ist vollkommen sinnlos und hilft nicht weiter. Dort sind nur unsinnige RDP (Remote Desktop) Pakete drin nichts aber was hilfreich wäre zum Troubleshooten. Vermutlich kannst du den Sniffer nicht bedienen, oder ??
Dort müssten eingehende ICMP (Ping) Pakete zu sehen sein vom VPN Client mit der Zieladresse dieses PCs. Was du da gepostet hast ist sinnloser Müll face-sad
Wenn du nichtmal den Serverrouter von einem lokalen Client anpingen kannst, dann hast du in der Tat ein generelles Problem. Jedenfalls das LAN Interface muss problemlos beidseitig pingbar sein.
Da ist wohl noch mehr ziemlich vermurkst bei dir im Netzwerk.. face-sad
wurmelz
wurmelz 17.11.2009 um 18:19:08 Uhr
Goto Top
Tja sorry, bin Fachidiot. Ich hab den Mist Indie Tonne getreten und zwei Fritzboxen gekauft und klappt auf Anhieb! Danke trotzdem.
aqui
aqui 18.11.2009, aktualisiert am 18.10.2012 um 18:40:00 Uhr
Goto Top
Mmmhhh, als IT Fachidiot sollte man das doch aber gerade hinbekommen ?? Das war eine sinnlose Investition in die FBs denn der OpenVPN Server auf dem DD-WRT wie hier beschrieben:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
wäre noch die andere Alternative gewesen, die einwandfrei und problemlos funktioniert und das auf Anhieb ! Schade, denn mit ein bischen Engegement in die Technik funktionieren beide Lösungen (getestet) fehlerlos !!
Vielleicht rettest du die HW ja noch aus der Tonne und gibst der OpenVPN Lösung ne Chance...?!
wurmelz
wurmelz 18.11.2009 um 12:14:01 Uhr
Goto Top
http://www.dd-wrt.com/wiki/index.php/Point-to-Point_PPTP_Tunneling_with ...

Nach der Anleitung hats mein Kollege hinbekommen... Vielleicht fehlte die Route? Hat die nur nachgetragen und schon schwuppts...

Der Fritz arbeitet aber besser finde ich... Naja, jedenfalls Danke für die Unterstützung.
aqui
aqui 19.11.2009 um 10:56:40 Uhr
Goto Top
Alles wird gut !! Danke für den Hinweis mit dem Routing, ich habe das Tutorial entspr. angepasst !
RogerG781
RogerG781 20.11.2009 um 22:30:11 Uhr
Goto Top
Hi Leute, leider bin ich mit dem VPN nicht weiter.
Also nochmal kurz.
2 Subnetze
1 x 192.168.10.X und 1 x 192.168.78.X
Der WRT dient als Client und verbindet sich mit dem 78.X Netz zu einem Server 2008 mit aktivierten Rouiting und RAS.
Die Verbindung kommt auch zustande. In der RRAS-Konsole wird er mir als aktivierter Client mit der IP 78.242 angezeit, Diese IP kann ich nun von einem beliebiegem Client aus dem 10.er Netz anpingen. Aber die IP-Adressen dahinter sind nicht erreichbar.
Auf dem RRAS-Server ist die zusätzliche Routen eingetragen:
Ziel: 192.168.10.0/24 Gateway 192.168.78.242

Habe ich ein Denkfehler? Was muss ich noch konfigurieren?
RogerG781
RogerG781 24.11.2009 um 11:50:08 Uhr
Goto Top
Keiner eine Idee oder jemand da, der mir ein wenig meinen Denkfehler wegnimmt? face-smile
aqui
aqui 26.11.2009 um 10:58:16 Uhr
Goto Top
Hast du auch auf dem DD-WRT Router die Route auf das .10.0er Netz eingetragen ??

http://www.dd-wrt.com/wiki/index.php/Point-to-Point_PPTP_Tunneling_with ...
Step mit "Advanced Routing..."

Kannst du die LAN IP des Servers pingen ??
Bedenke auch noch folgendes:
Wenn dein Server hinter einem Internet Router steht, dann ist natürlich nicht dieser Internet Router das gateway für dein VPN sondern logischerweise der Server, denn der hält ja den PPTP Tunnel !
Wenn der Internet Router das def. Gateway der Clients ist, dann musst du auf diesem Router natürlich noch eine Route ins VPN angehen ala:
ip route 192.168.10.0 mask 255.255.255.0 gateway <lokale_server_ip>

Sonst verschwinden diese pakete ins Internet. Für den Server selber gilt das natürlich nicht, denn bei aktivem PPTP VPN ist das .10.0er Netz ja an ihm direkt dran.
Nicht aber auf den Clients wenn die ein anderes def. Gateway haben !
Ein traceroute (tracert) oder pathping zeigt dir das sofort !
marcimo
marcimo 02.12.2009 um 18:54:26 Uhr
Goto Top
Hallo, Ich habe einen ASUS Wl-500w Router mit dd-wrt Firmware.
Als DSL Modem verwende ich einfach einen Speedport 701v.
Nun hat der Asus Router ja 2 USB Anschlüsse, an einen möchte ich einen Drucker anschließen und an dem anderen eine externe Festplatte damit ich dort meine Dateien (Word Dokumente, Bilder usw.) speichern kann und übers Netzwerk darauf zu greifen kann. Funktioniert aber alles nicht!
Der Speedport funktioniert einwandfrei nun habe ich einfach das Netzwerkkabel, das vorher zu meinem PC führte abgezogen und in den ASUS Router gesteckt und vom ASUS Router wieder ein Netzwerkkabel in meinem PC gesteckt. Internet funktioniert, und WLAN habe ich nach aufspielen einer neuen dd-wrt Firmware auch ans laufen bekommen. Aber wie kann ich auf die USB Geräte zugreifen?
Muss ich dazu so ein VPN einrichten? Wozu ist so ein VPN eigentlich gut?

Gruß marcimo
aqui
aqui 07.12.2009 um 12:05:31 Uhr
Goto Top
Dein Thread passt vom Thema hier nicht rein, besser du nimmst einen separaten Thread dafür da dies mehr VPN bezogen ist !
Wenn du keinen Schimmer hast was VPNs sind dann, lies dir bitte das hier durch:
http://de.wikipedia.org/wiki/Virtual_Private_Network

Zu deinem USB Problem: Du musst beim Download der dd-wrt Firmware darauf achten das das dd-wrt Image USB Support beinhaltet. Das hast du vermutlich nicht gemacht und das non USB Image genommen ?!
Klar, das dann USB nicht funktioniert !
jpanse
jpanse 21.01.2010 um 10:21:48 Uhr
Goto Top
Hallo, hallo

Leider habe ich ein Problem bei dem ich nicht mehr weiter komme.

Zunächst meine Konfig:

WRT54GL als PPTP Server mit der letzen Beta DD-WRT VPN
LAN IP:192.168.0.1
WAN: Dynamisch vom ISP

PPTP Server: Enable
Broadcast support: Enable
Force MPPE Encryption: Enable

Server IP 192.168.0.1 (habe auch schon mein Dyndns Acc versucht)
Client IP(s) 192.168.1.10

CHAP-Secrets username * password *

PPTP Passtrough: Disable
Portweiterleitungen existieren für Port 1723 keine

PROBLEM: Ich erreiche den PPTP Server aus dem Internet nicht. Es kommt zum Fehler 800.
Was mich jetzt ärgert und darauf schliessen lässt das es am Router liegt ist die Tatsache das es aus dem LAN funktioniert sich zum PPTP-Server zu verbinden.
Getestet habe ich das ganze mit einem XP Clienten. Hat super geklappt, auch über meinen Dyndns Account...nur von anderen Netzen aus geht es nicht. Es kommt immer Fehler 800.
Das Netz an der Arbeit ist aber richtig konfiguriert da ich mich zu anderen PPTP VPN´s verbinden kann. Ich habe keine Idee mehr woran das noch liegen soll.
Wenn ich via SSH auf die Kiste schaue, zeigt mit ein "ps" zumindest an das der PPTPD läuft, die Conf-Files sehen auch gut aus.

Ein netstat -a auf dem Router bringt folgende ausgabe:

root@Router:~# netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:domain 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:ssh 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:telnet 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:https 0.0.0.0:* LISTEN

Angeblich lauscht er ja auf dem Port, aber scheinbar ist er Taub?!

Mein Problem ist einfach das ich mit einem PPTP Client keine Verbindung von Extern auf meinen Router bekomme...Vom ISP her gibt es keine Probleme, habe pptpd auf meiner Slug installiert und den Port 1723 auf die Kiste weitergeleitet, da funktioniert PPTP problem los...nur da haut das Bridgeing nicht hin...

Für Lösungsvorschläge bin ich dankbar.
aqui
aqui 23.01.2010 um 17:11:09 Uhr
Goto Top
Kein Wunder das du einen Fehler 800 bekommst, denn du hast eine vollkommen falsche IP Adressierung gewählt:
Server IP 192.168.0.1 (habe auch schon mein Dyndns Acc versucht)
Client IP(s) 192.168.1.10 <--falsches IP Netz in Bezug zum Server !!

Wie sollte das auch gehen, denn du benutzt 2 unterschiedliche IP Netze was niemals klappen kann !!
Richtig wäre hier:

Server IP 192.168.0.1
Client IP(s) 192.168.0.10-20

oder je nachdem ob Client oder Server im falschen Netz ist dann:

Server IP 192.168.1.1
Client IP(s) 192.168.1.10-20


Beachte den Druckfehler im PPTP Server Screenshot !! Steht auch ganz dick in Rot oben unterm Bild !!!
TheFansi
TheFansi 11.02.2010 um 15:27:10 Uhr
Goto Top
Ich habe mal die ganzen Einstellungen durchgeguckt und mir ist dabei aufgefallen das die Routing Tabelle nicht leer ist. Ist das normel? Ich wüsste auch nicht wie ich die Einträge das löschen kann.

Danke schon mal im voraus.


Gruß
aqui
aqui 11.02.2010 um 17:20:44 Uhr
Goto Top
Welche Routing Tabelle und wo bzw. was willst du uns mit der Erkenntnis sagen ??
Bei einem Router ist in der Regel die Routing Tabelle niemals leer, denn sonst wäre es ja kein Router !!
TheFansi
TheFansi 11.02.2010 um 17:39:34 Uhr
Goto Top
Ich habe die Einträge unter Setup-->Erweitertes Routing --> Routen-Tabelle gefunden.
Die ich habe die nicht eingetragen und die stimmen auch nicht mit meinen Subnetzen überein die ich eingestellt habe.
Ich wollte nur mal wissen was die zu bedeuten haben, denn ich bin da nicht so der guru drinne.

Danke.

Gruß
aqui
aqui 12.02.2010 um 11:25:20 Uhr
Goto Top
Wenn sie mit keinerlei deiner IP Netzen zu tun haben kannst du sie löschen, denn sie gefährden eh dann eine saubere Konfig..
TheFansi
TheFansi 12.02.2010 um 11:34:53 Uhr
Goto Top
Ja das habe ich ja auch versucht. Nur wie?
Wenn ich die Set-Nummern einzeln durchgehe sind die alle leer.
aqui
aqui 12.02.2010, aktualisiert am 18.10.2012 um 18:41:08 Uhr
Goto Top
Mit den Set Nummern hat das rein gar nix zu tun. Die Routing Tabelle wird aus den Interfaces erstellt (direkt angeschlossene IP Netze) und dem Inhalt von evtl. statischen Routen oder den dynamischen Routen sofern du dynamisches Routing mit z.B. RIP auf dem dd-wrt Router aktiviert hast.
Eine saubere Routing Tabelle eines aktiv laufenden Systems sieht z.B. so aus:

4780bc1e199d65f724e35547674c1610

  • Das tun0 Interface ist ein installierter OpenVPN_Server mit Netz bzw. seiner IP auf dem dd-wrt Router.
  • WAN eine IP bzw. Netz Richtung Internet. Hier steht eine öffentliche PPPoE IP wenn ein DSL Modem dran ist.
  • LAN & WLAN ist klar, das ist das lokale IP Netz.
  • 2ter LAN & WLAN Eintrag ist die APIPA IP ist auch normal wenn kein DHCP da sein sollte.
  • Last but not least die Default Route 0.0.0.0 auf den Internet Router

Alles also bestens genau wie es sein soll.....wo ist also dein Problem ??
TheFansi
TheFansi 16.02.2010 um 12:53:05 Uhr
Goto Top
Nee habe kein Problem, wollte nur nachfragen was das zu bedeuten hat.

Ich hätte mal noch ne frage. Kann ich den Router als Modem und VPN-Server gleichzeitig nutzen oder muss ich ein externes Modem davor schalten?

Gruß
aqui
aqui 16.02.2010 um 16:30:33 Uhr
Goto Top
Nein, wenn du dir die Produktspezifikationen des WRT54G einmal durchliest wirst du erkennen das dieser kein eingebautes Modem hat. Es ist ein Router der fürs DSL nur eine Ethernet Schnittstelle hat.
Folglich musst du also einen DSL Router davorschalten ! Der kostet ja nicht die Welt wie du hier sehen kannst:
http://www.pollin.de/shop/dt/NTM4ODgyOTk-/Computer_und_Zubehoer/Netzwer ...
wurmelz
wurmelz 16.02.2010 um 16:56:12 Uhr
Goto Top
Ich hoffe, ich werde die Bnachrichtigungen jetzt los!

Sonst nix zum Thema ;)!
TheFansi
TheFansi 17.02.2010 um 11:13:03 Uhr
Goto Top
Ich habe eine synchrone 6Mbit Leitung würde das Modem das auch unterstützen?
Also die 6Mbit down würde ja denke ich mal kein Problem sein aber was ist mit dem upstream würde das Modem die 6Mbit auch mitmachen?
aqui
aqui 17.02.2010 um 23:48:09 Uhr
Goto Top
Mmmmhhh gute Frage. Max. macht es 24 Mbit. Für popelige 4 Oironen kann man es doch ganz einfach mal ausprobieren, oder ??
TheFansi
TheFansi 18.02.2010 um 08:18:04 Uhr
Goto Top
Ja klar werde ich auch.. Habs mir bestellt mal schauen wanns kommt.

Danke dir aqui, machst einen echt super job auch wenn du warscheinlich meisten nur iwelche blöden Fragen beantwortest wie ich sie z.B. stelle.

Gruß
aqui
aqui 19.02.2010 um 20:44:49 Uhr
Goto Top
Blöde Fragen gibts ja bekanntlich nicht, nur blöde Antworten face-wink