OpenVPN Problem - ASUS RT-AC56U als OpenVpn Server hinter Fritzbox 7390
Hallo ich habe ein Problem mit der Einrichtung meines OpenVPN Servers auf einem Asus Router mit Merlin FW, vielleicht kann mir hier jemand weiterhelfen.
Folgendes Setup: Fritzbox als gateway ins Internet (LAN IP 192.168.188.1), wird auch für VOIP Telefonie benutzt und soll bestehen bleiben.
Asus Router ist am LAN Port der Fritzbox angeschlossen und hat ein statische IP (192.168.188.2). WAN Port des Asus Router ungenutzt, da ich nicht zwei verschiedene Subnetzte aufbauen will (wegen UPnP, Airplay etc)
Fritzbox leitet Port 1194 UDP an 192.168.188.2 weiter.
OpenVPN Server ist auf dem Asus Router (Merlin FW, 1194 UDP) aktiv und ich kann auch mit einem OpenVpn Client im selben Subnetz über die LAN Adresse 192.168.188.2 den Server erreichen und die Verbidung aufbauen.
Wenn ich jetzt das ganze über WAN IP der Fritzbox probiere bekomme ich vom VPN Server keine Antwort. Hat jemand eine Erklärung dafür? Weiß der Router etwa nicht wohin er antworten soll?
Internet -> Fritzbox Lan port -> Asus Lan Port
WAN IP -> 192.168.188.1 -> 192.168.188.2
Vielen Dank Schon mal & Gruß
Jan
Folgendes Setup: Fritzbox als gateway ins Internet (LAN IP 192.168.188.1), wird auch für VOIP Telefonie benutzt und soll bestehen bleiben.
Asus Router ist am LAN Port der Fritzbox angeschlossen und hat ein statische IP (192.168.188.2). WAN Port des Asus Router ungenutzt, da ich nicht zwei verschiedene Subnetzte aufbauen will (wegen UPnP, Airplay etc)
Fritzbox leitet Port 1194 UDP an 192.168.188.2 weiter.
OpenVPN Server ist auf dem Asus Router (Merlin FW, 1194 UDP) aktiv und ich kann auch mit einem OpenVpn Client im selben Subnetz über die LAN Adresse 192.168.188.2 den Server erreichen und die Verbidung aufbauen.
Wenn ich jetzt das ganze über WAN IP der Fritzbox probiere bekomme ich vom VPN Server keine Antwort. Hat jemand eine Erklärung dafür? Weiß der Router etwa nicht wohin er antworten soll?
Internet -> Fritzbox Lan port -> Asus Lan Port
WAN IP -> 192.168.188.1 -> 192.168.188.2
Vielen Dank Schon mal & Gruß
Jan
Please also mark the comments that contributed to the solution of the article
Content-Key: 260327
Url: https://administrator.de/contentid/260327
Printed on: April 26, 2024 at 05:04 o'clock
10 Comments
Latest comment
Vermutlich weiss er es wirklich nicht....
Kann es sein das du dem ASUS Router vergessen hast ein Default Gateway zu konfigurieren ???
Das sieht ganz danach aus, denn generell kannst du ja sehen das es klappt wenn du aus dem lokalen Netz eine Verbindung bekommst.
Von extern hast du aber nun auch eine externe IP Adresse als Source (Absender) IP für die eingehende UDP 1194 Verbindung.
Wenn der ASUS Router nun kein Gateway definiert hat auf die 192.168.188.1 (FritzBox) dann ist Schicht im Schacht und der ASUS kann nicht antworten weil er ohne Gateway nicht weiss wo er dieses fremde IP Paket hinschicken soll. Logisch ! Er kennt ja dann nur dein lokales Netz 192.168.188.0 /24..
Vermutlich ist das die Ursache ?!
Alternativ kann natürlich die FB auch die aus dem Internet kommenden UDP 1194 Pakete nicht sauber forwarden.
Das kannst du auf dem ASUS aber ganz einfach mit tcpdump checken. Alternativ mit einem Wireshark.
Rennt auf dem ASUS eine alternative Firmware wie OpenWRT oder DD-WRT ?
Grundlagen für so ein Design und entsprechendes OVPN Troubleshooting findest du auch in diesem Forumstutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Kann es sein das du dem ASUS Router vergessen hast ein Default Gateway zu konfigurieren ???
Das sieht ganz danach aus, denn generell kannst du ja sehen das es klappt wenn du aus dem lokalen Netz eine Verbindung bekommst.
Von extern hast du aber nun auch eine externe IP Adresse als Source (Absender) IP für die eingehende UDP 1194 Verbindung.
Wenn der ASUS Router nun kein Gateway definiert hat auf die 192.168.188.1 (FritzBox) dann ist Schicht im Schacht und der ASUS kann nicht antworten weil er ohne Gateway nicht weiss wo er dieses fremde IP Paket hinschicken soll. Logisch ! Er kennt ja dann nur dein lokales Netz 192.168.188.0 /24..
Vermutlich ist das die Ursache ?!
Alternativ kann natürlich die FB auch die aus dem Internet kommenden UDP 1194 Pakete nicht sauber forwarden.
Das kannst du auf dem ASUS aber ganz einfach mit tcpdump checken. Alternativ mit einem Wireshark.
Rennt auf dem ASUS eine alternative Firmware wie OpenWRT oder DD-WRT ?
Grundlagen für so ein Design und entsprechendes OVPN Troubleshooting findest du auch in diesem Forumstutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Hi,
Aus Deinem LAN heraus funktioniert das nicht.
Das das dann als Konsequenz auf Dauer eines DynDNS-Accounts oder einer statischen IP bedarf, ist Dir auch klar.
Gruß orcape
Wenn ich jetzt das ganze über WAN IP der Fritzbox probiere bekomme ich vom VPN Server keine Antwort.
Du bist aber schon mit dem OpenVPN-Client dann ausserhalb Deines LAN und hast bei diesem auch die WAN-IP in der Konfiguration eingetragen.Aus Deinem LAN heraus funktioniert das nicht.
Das das dann als Konsequenz auf Dauer eines DynDNS-Accounts oder einer statischen IP bedarf, ist Dir auch klar.
Gruß orcape
Normalerweise würde ich den ASUS Router gerne im AP Mode betrieben
Warum machst du es dann nicht. Das wird ja genau so gemacht wie du ihn jetzt angeschlossen hast nur das du das WLAN noch aktivierst dazu !!Dieses Tutorial erklärt dir in der Alternative 3 alle Schritte dazu:
Kopplung von 2 Routern am DSL Port
Wo ist da jetzt das Problem ???
Das mit der Firewall ist barer Unsinn, denn die greift nur auf dem WAN Interface und das ist ja in deinem Mode sogar mit AP vollkommen ohne Funktion bzw. wird ja gar nicht beschaltet !!
Kann man den default gateway per Linux Befehl manuell setzen
Ja das geht ! route add default....http://www.cyberciti.biz/faq/linux-setup-default-gateway-with-route-com ...
oder ganz allgemein:
http://bit.ly/1CrkeE7
Ich werde mal versuchen den LAN default gateway manuell zu setzten (in der WEB GUI geht das bei deaktiviertem DHCP Server nicht)
Die Frage ist dann nur, wo der Router das dann abspeichert oder ob Du es nach jedem Reboot wiederholen musst.Ich frage mich sowieso warum Du keine Routerkaskade nach Alternative 2 machst.
Du könntest alles was UPnP betrifft ins Fritten-Netz verbannen und hättest damit für Deine Clients im 2.Netz etwas an Sicherheit gewonnen.
Portforwarding auf der Fritte für Port 1194 und gut.
Dein ASUS schnurrt übrigens auch mit DD-WRT problemlos und lässt sich sogar per GUI flashen, falls Deine Firmware Probleme macht.
http://www.dd-wrt.com/site/support/router-database
Gruß orcape
Der "AP Modus" im ASUS deaktiviert die VPN Server Funktionen
Was ist denn das für ein Schrott ?? Das kann jeder 30 Euro Baumarkt Router besser..Besorg dir einen 12 Euro TP-Link 841N, flash da OpenWRT drauf und das OVPN Package dann hast du was anständiges als diesen Asus Mist.
Oder nimm einen Raspberry Pi oder Mikrotik 750 Router der realisiert dir das für 30 Euro auch inklusive integriertem Accesspoint !
Netzwerk Management Server mit Raspberry Pi
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...
Asus ist ja prädestinierter DD-WRT Partner
Ist vermutlich wohl auch besser als deren löchrige Firmware die jeder hacken kann:
http://www.heise.de/security/meldung/Asusgate-Zehntausende-Router-geben ...
und zig andere....
Ist vermutlich wohl auch besser als deren löchrige Firmware die jeder hacken kann:
http://www.heise.de/security/meldung/Asusgate-Zehntausende-Router-geben ...
und zig andere....