10
OpenVPN Problem - ASUS RT-AC56U als OpenVpn Server hinter Fritzbox 7390
Hallo ich habe ein Problem mit der Einrichtung meines OpenVPN Servers auf einem Asus Router mit Merlin FW, vielleicht kann mir hier jemand weiterhelfen.
Folgendes Setup: Fritzbox als gateway ins Internet (LAN IP 192.168.188.1), wird auch für VOIP Telefonie benutzt und soll bestehen bleiben.
Asus Router ist am LAN Port der Fritzbox angeschlossen und hat ein statische IP (192.168.188.2). WAN Port des Asus Router ungenutzt, da ich nicht zwei verschiedene Subnetzte aufbauen will (wegen UPnP, Airplay etc)
Fritzbox leitet Port 1194 UDP an 192.168.188.2 weiter.
OpenVPN Server ist auf dem Asus Router (Merlin FW, 1194 UDP) aktiv und ich kann auch mit einem OpenVpn Client im selben Subnetz über die LAN Adresse 192.168.188.2 den Server erreichen und die Verbidung aufbauen.
Wenn ich jetzt das ganze über WAN IP der Fritzbox probiere bekomme ich vom VPN Server keine Antwort. Hat jemand eine Erklärung dafür? Weiß der Router etwa nicht wohin er antworten soll?
Internet -> Fritzbox Lan port -> Asus Lan Port
WAN IP -> 192.168.188.1 -> 192.168.188.2
Vielen Dank Schon mal & Gruß
Jan
Folgendes Setup: Fritzbox als gateway ins Internet (LAN IP 192.168.188.1), wird auch für VOIP Telefonie benutzt und soll bestehen bleiben.
Asus Router ist am LAN Port der Fritzbox angeschlossen und hat ein statische IP (192.168.188.2). WAN Port des Asus Router ungenutzt, da ich nicht zwei verschiedene Subnetzte aufbauen will (wegen UPnP, Airplay etc)
Fritzbox leitet Port 1194 UDP an 192.168.188.2 weiter.
OpenVPN Server ist auf dem Asus Router (Merlin FW, 1194 UDP) aktiv und ich kann auch mit einem OpenVpn Client im selben Subnetz über die LAN Adresse 192.168.188.2 den Server erreichen und die Verbidung aufbauen.
Wenn ich jetzt das ganze über WAN IP der Fritzbox probiere bekomme ich vom VPN Server keine Antwort. Hat jemand eine Erklärung dafür? Weiß der Router etwa nicht wohin er antworten soll?
Internet -> Fritzbox Lan port -> Asus Lan Port
WAN IP -> 192.168.188.1 -> 192.168.188.2
Vielen Dank Schon mal & Gruß
Jan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 260327
Url: https://administrator.de/contentid/260327
Printed on: April 25, 2024 at 05:04 o'clock
10 Comments
Latest comment
Vermutlich weiss er es wirklich nicht....
Kann es sein das du dem ASUS Router vergessen hast ein Default Gateway zu konfigurieren ???
Das sieht ganz danach aus, denn generell kannst du ja sehen das es klappt wenn du aus dem lokalen Netz eine Verbindung bekommst.
Von extern hast du aber nun auch eine externe IP Adresse als Source (Absender) IP für die eingehende UDP 1194 Verbindung.
Wenn der ASUS Router nun kein Gateway definiert hat auf die 192.168.188.1 (FritzBox) dann ist Schicht im Schacht und der ASUS kann nicht antworten weil er ohne Gateway nicht weiss wo er dieses fremde IP Paket hinschicken soll. Logisch ! Er kennt ja dann nur dein lokales Netz 192.168.188.0 /24..
Vermutlich ist das die Ursache ?!
Alternativ kann natürlich die FB auch die aus dem Internet kommenden UDP 1194 Pakete nicht sauber forwarden.
Das kannst du auf dem ASUS aber ganz einfach mit tcpdump checken. Alternativ mit einem Wireshark.
Rennt auf dem ASUS eine alternative Firmware wie OpenWRT oder DD-WRT ?
Grundlagen für so ein Design und entsprechendes OVPN Troubleshooting findest du auch in diesem Forumstutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Kann es sein das du dem ASUS Router vergessen hast ein Default Gateway zu konfigurieren ???
Das sieht ganz danach aus, denn generell kannst du ja sehen das es klappt wenn du aus dem lokalen Netz eine Verbindung bekommst.
Von extern hast du aber nun auch eine externe IP Adresse als Source (Absender) IP für die eingehende UDP 1194 Verbindung.
Wenn der ASUS Router nun kein Gateway definiert hat auf die 192.168.188.1 (FritzBox) dann ist Schicht im Schacht und der ASUS kann nicht antworten weil er ohne Gateway nicht weiss wo er dieses fremde IP Paket hinschicken soll. Logisch ! Er kennt ja dann nur dein lokales Netz 192.168.188.0 /24..
Vermutlich ist das die Ursache ?!
Alternativ kann natürlich die FB auch die aus dem Internet kommenden UDP 1194 Pakete nicht sauber forwarden.
Das kannst du auf dem ASUS aber ganz einfach mit tcpdump checken. Alternativ mit einem Wireshark.
Rennt auf dem ASUS eine alternative Firmware wie OpenWRT oder DD-WRT ?
Grundlagen für so ein Design und entsprechendes OVPN Troubleshooting findest du auch in diesem Forumstutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Hi,
Aus Deinem LAN heraus funktioniert das nicht.
Das das dann als Konsequenz auf Dauer eines DynDNS-Accounts oder einer statischen IP bedarf, ist Dir auch klar.
Gruß orcape
Wenn ich jetzt das ganze über WAN IP der Fritzbox probiere bekomme ich vom VPN Server keine Antwort.
Du bist aber schon mit dem OpenVPN-Client dann ausserhalb Deines LAN und hast bei diesem auch die WAN-IP in der Konfiguration eingetragen.Aus Deinem LAN heraus funktioniert das nicht.
Das das dann als Konsequenz auf Dauer eines DynDNS-Accounts oder einer statischen IP bedarf, ist Dir auch klar.
Gruß orcape
Hallo,
ja außerhalb meines Lan's, DynDNS habe ich, aber is auch eh kein Thema da meine WAN IP statisch ist.
VG Jan
ja außerhalb meines Lan's, DynDNS habe ich, aber is auch eh kein Thema da meine WAN IP statisch ist.
VG Jan
Ja das mit dem Default Gateway kann sein.
Normalerweise würde ich den ASUS Router gerne im AP Mode betrieben, da kann ich dann auch den default gateway setzten. Nur leider deaktiviert die ASUS FW dann jegliche VPN Server funktionen. Im Router Modus kann man nur eine LAN IP setzen und dann bei DHCP einen Gateway setzen... Den DHCP habe ich aber ausgeschaltet da dieser auf der Fritzbox aktiv ist.
Auf dem asus läuft die letzte Version von ASUSWRT-Merlin 3.0.0.4_376.49_5.
Kann man den default gateway per Linux Befehl manuell setzen oder eine entsprechendes IP Routing erstellen?
Normalerweise würde ich den ASUS Router gerne im AP Mode betrieben, da kann ich dann auch den default gateway setzten. Nur leider deaktiviert die ASUS FW dann jegliche VPN Server funktionen. Im Router Modus kann man nur eine LAN IP setzen und dann bei DHCP einen Gateway setzen... Den DHCP habe ich aber ausgeschaltet da dieser auf der Fritzbox aktiv ist.
Auf dem asus läuft die letzte Version von ASUSWRT-Merlin 3.0.0.4_376.49_5.
Kann man den default gateway per Linux Befehl manuell setzen oder eine entsprechendes IP Routing erstellen?
Normalerweise würde ich den ASUS Router gerne im AP Mode betrieben
Warum machst du es dann nicht. Das wird ja genau so gemacht wie du ihn jetzt angeschlossen hast nur das du das WLAN noch aktivierst dazu !!Dieses Tutorial erklärt dir in der Alternative 3 alle Schritte dazu:
Kopplung von 2 Routern am DSL Port
Wo ist da jetzt das Problem ???
Das mit der Firewall ist barer Unsinn, denn die greift nur auf dem WAN Interface und das ist ja in deinem Mode sogar mit AP vollkommen ohne Funktion bzw. wird ja gar nicht beschaltet !!
Kann man den default gateway per Linux Befehl manuell setzen
Ja das geht ! route add default....http://www.cyberciti.biz/faq/linux-setup-default-gateway-with-route-com ...
oder ganz allgemein:
http://bit.ly/1CrkeE7
Danke für die Antwort.
Der "AP Modus" im ASUS deaktiviert die VPN Server Funktionen. Der ganze Menü Eintrag VPN ist nicht mehr sichtbar. Daher verwende ich das Gerät im Router Modus nutze aber nur die LAN Ports. WAN Port ist ungenutzt genau auf Grund der von dir beschriebenen Thematik.
Ich werde mal versuchen den LAN default gateway manuell zu setzten (in der WEB GUI geht das bei deaktiviertem DHCP Server nicht)
Gruß Jan
Der "AP Modus" im ASUS deaktiviert die VPN Server Funktionen. Der ganze Menü Eintrag VPN ist nicht mehr sichtbar. Daher verwende ich das Gerät im Router Modus nutze aber nur die LAN Ports. WAN Port ist ungenutzt genau auf Grund der von dir beschriebenen Thematik.
Ich werde mal versuchen den LAN default gateway manuell zu setzten (in der WEB GUI geht das bei deaktiviertem DHCP Server nicht)
Gruß Jan
Ich werde mal versuchen den LAN default gateway manuell zu setzten (in der WEB GUI geht das bei deaktiviertem DHCP Server nicht)
Die Frage ist dann nur, wo der Router das dann abspeichert oder ob Du es nach jedem Reboot wiederholen musst.Ich frage mich sowieso warum Du keine Routerkaskade nach Alternative 2 machst.
Du könntest alles was UPnP betrifft ins Fritten-Netz verbannen und hättest damit für Deine Clients im 2.Netz etwas an Sicherheit gewonnen.
Portforwarding auf der Fritte für Port 1194 und gut.
Dein ASUS schnurrt übrigens auch mit DD-WRT problemlos und lässt sich sogar per GUI flashen, falls Deine Firmware Probleme macht.
http://www.dd-wrt.com/site/support/router-database
Gruß orcape
Der "AP Modus" im ASUS deaktiviert die VPN Server Funktionen
Was ist denn das für ein Schrott ?? Das kann jeder 30 Euro Baumarkt Router besser..Besorg dir einen 12 Euro TP-Link 841N, flash da OpenWRT drauf und das OVPN Package dann hast du was anständiges als diesen Asus Mist.
Oder nimm einen Raspberry Pi oder Mikrotik 750 Router der realisiert dir das für 30 Euro auch inklusive integriertem Accesspoint !
Netzwerk Management Server mit Raspberry Pi
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...
Was ist denn das für ein Schrott ?? Das kann jeder 30 Euro Baumarkt Router besser..
Deshalb hatte ich auf DD-WRT verwiesen, kann aber keine Aussage treffen, ob in dem Image dann OpenVPN integriert ist.Das sollte der TO dann schon mal selbst testen.
Gruß orcape
Asus ist ja prädestinierter DD-WRT Partner 
Ist vermutlich wohl auch besser als deren löchrige Firmware die jeder hacken kann:
http://www.heise.de/security/meldung/Asusgate-Zehntausende-Router-geben ...
und zig andere....
Ist vermutlich wohl auch besser als deren löchrige Firmware die jeder hacken kann:
http://www.heise.de/security/meldung/Asusgate-Zehntausende-Router-geben ...
und zig andere....
