Problem mit cipher DDWRT OpenVPN
Ich hoffe Sie können mir helfen!
Guten Abend,
ich habe ein Problem mit einem mit DDWRT geflashten Router.
Den Router möchte ich als OPENVPN CLIENT nutzen.
Das Problem ist auf dem OPENVPN SERVER wird nicht der Standard cipher verwendet.
Wo und wie kann ich auf dem Router den cipher ändern.
Vielen Dank
Peter
ich habe ein Problem mit einem mit DDWRT geflashten Router.
Den Router möchte ich als OPENVPN CLIENT nutzen.
Das Problem ist auf dem OPENVPN SERVER wird nicht der Standard cipher verwendet.
Wo und wie kann ich auf dem Router den cipher ändern.
Vielen Dank
Peter
Please also mark the comments that contributed to the solution of the article
Content-Key: 203878
Url: https://administrator.de/contentid/203878
Printed on: April 26, 2024 at 08:04 o'clock
35 Comments
Latest comment
Das geht in der client.conf Datei.
Hast du das hier gelesen ??
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Hast du das hier gelesen ??
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Hi netzwerkanfanger11,
mal so ganz nebenbei, die deutsche Tastatur enthält auch Umlaute oder ist die falsche Schreibweise Deines gewählten Nic so Ok...
Zum Thema, Aqui hat Dir schon einen Link aufgezeigt, der Dein Wissen in Sachen OpenVPN deutlich steigern kann.
Du solltest aber schon mal sagen um welchen Router es sich handelt, da die DD-WRT Versionen hier einige Unterschiede in der GUI-Konfiguration aufweisen.
Außerdem lässt sich der cipher bei nicht allen Versionen per GUI ändern.
In den Systemdateien des DD-WRT Routers kann die cipher-Einstellung zwar geändert werden, (/tmp/openvpncl/openvpn.conf) ist aber flüchtig und die Änderungen sind nach dem Systemneustart wieder futsch.
Es gibt da zwar eine Möglichkeit, die ist aber ganz und gar nicht trivial.
Gruß orcape
mal so ganz nebenbei, die deutsche Tastatur enthält auch Umlaute oder ist die falsche Schreibweise Deines gewählten Nic so Ok...
Zum Thema, Aqui hat Dir schon einen Link aufgezeigt, der Dein Wissen in Sachen OpenVPN deutlich steigern kann.
Du solltest aber schon mal sagen um welchen Router es sich handelt, da die DD-WRT Versionen hier einige Unterschiede in der GUI-Konfiguration aufweisen.
Außerdem lässt sich der cipher bei nicht allen Versionen per GUI ändern.
In den Systemdateien des DD-WRT Routers kann die cipher-Einstellung zwar geändert werden, (/tmp/openvpncl/openvpn.conf) ist aber flüchtig und die Änderungen sind nach dem Systemneustart wieder futsch.
Es gibt da zwar eine Möglichkeit, die ist aber ganz und gar nicht trivial.
Gruß orcape
Hi,
der WRT54 hat im GUI keine Möglichkeit den tls-cipher zu ändern.
Er läuft bei mir problemlos mit Servereinstellung BF-CBC (128bit).
Mit AES-128-CBC z.B. funktioniert das so einfach nicht.
Die Einstellungen lassen sich im Client nur ändern, wenn Du den NVRAM des Routers flashst.
Änderst Du die /tmp/openvpncl/openvpn.conf händisch, ist das ganze nach einem Neustart weg.
Das NVRAM flashen hatte ich mit "nicht gerade trivial" gemeint.
Ich bin den einfacheren Weg gegangen und habe den cipher im Server geändert.
Hier mal ein Link, vielleicht hilft Dir das weiter....
http://www.winteltosh.de/2008/12/site-to-site-openvpn-mit-linksys-wrt54 ...
Alternative E3000, da lässt sich der cipher im GUI ändern. (Ist eh deutlich schneller für den Tunnel..)
Bei EBay für 40 €uronen.
Gruß orcape
der WRT54 hat im GUI keine Möglichkeit den tls-cipher zu ändern.
Er läuft bei mir problemlos mit Servereinstellung BF-CBC (128bit).
Mit AES-128-CBC z.B. funktioniert das so einfach nicht.
Die Einstellungen lassen sich im Client nur ändern, wenn Du den NVRAM des Routers flashst.
Änderst Du die /tmp/openvpncl/openvpn.conf händisch, ist das ganze nach einem Neustart weg.
Das NVRAM flashen hatte ich mit "nicht gerade trivial" gemeint.
Ich bin den einfacheren Weg gegangen und habe den cipher im Server geändert.
Hier mal ein Link, vielleicht hilft Dir das weiter....
http://www.winteltosh.de/2008/12/site-to-site-openvpn-mit-linksys-wrt54 ...
Leider kann der Server auf den ich zugreifen möchte nicht geädert werden kann.
Hast Du keinen ssh-Zugriff ?Alternative E3000, da lässt sich der cipher im GUI ändern. (Ist eh deutlich schneller für den Tunnel..)
Bei EBay für 40 €uronen.
Gruß orcape
Er brauch nichtmal SSH Zugriff, denn per Default ist Telnet auf den DD-WRT aktiv !!
Installier dir also Putty oder TeraTerm auf deinem Rechner und verbinde dich mit Telnet auf den DD-WRT.
Dort kannst du dann die client.conf mit einem Texteditor anpassen, das ist 5 Minuten Sache und dann startest du den Client erstmal testweise über das CLI Interface um zu sehen das er die Verbindung auf den Server fehlerfrei aufbaut.
Ist das der Fall sicherst du die client.conf über das CLI !
Dann ist die nach einem Reboot auch wieder verfügbar ! Das ist doch kein Hexenwerk und wie gesagt in 5 Minuten erledigt !
Installier dir also Putty oder TeraTerm auf deinem Rechner und verbinde dich mit Telnet auf den DD-WRT.
Dort kannst du dann die client.conf mit einem Texteditor anpassen, das ist 5 Minuten Sache und dann startest du den Client erstmal testweise über das CLI Interface um zu sehen das er die Verbindung auf den Server fehlerfrei aufbaut.
Ist das der Fall sicherst du die client.conf über das CLI !
Dann ist die nach einem Reboot auch wieder verfügbar ! Das ist doch kein Hexenwerk und wie gesagt in 5 Minuten erledigt !
CLI = Command Line Interface = Kommandoprompt = sieht man wenn man mit Telnet oder SSH draufgeht...
Für die Lösung der Sicherung guckst du hier:
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=58982&sid=ca5b093364b7 ...
Für die Lösung der Sicherung guckst du hier:
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=58982&sid=ca5b093364b7 ...
Hi,
nun, auch auf den Verdacht hin, das ich bei Aqui in Ungnade falle...
...letztlich wird über das Command Line Interface, wenn´s so funktioniert, bei jedem boot des Routers nur die Datei /tmp/openvpncl/openvpn.conf neu geschrieben bzw. geändert.
Ich hatte mir einige Seiten im Internet diesbezüglich verinnerlicht und bin trotzdem zu keinem Ergebnis gekommen.
Viel, was darüber geschrieben steht, hat nicht funktioniert.
Die Einträge in die /tmp/openvpncl/openvpn.conf waren nach einem Neustart des Routers stets wieder gelöscht.
Ob es unter DD-WRT für den WRT54GL noch eine andere Variante des Client-GUI gibt, die Dir eine Möglichkeit für die Änderung des Cipher offen lässt, weiß ich auch nicht.
Funktionierende DD-WRT Software-Varianten gibt es einige für den WRT54, da wären Versionen von
BrainSlayer, Eko und die im DD-WRT-Forum nicht gern gesehene Kong-Variante.
Mein E3000 läuft z.B. mit einer Kong-Variante mit Möglichkeit der Client Cipher-Einstellungen seit Monaten ohne Probleme mit funktionierendem OpenVPN-Tunnel.
Gruß orcape
nun, auch auf den Verdacht hin, das ich bei Aqui in Ungnade falle...
...letztlich wird über das Command Line Interface, wenn´s so funktioniert, bei jedem boot des Routers nur die Datei /tmp/openvpncl/openvpn.conf neu geschrieben bzw. geändert.
Ich hatte mir einige Seiten im Internet diesbezüglich verinnerlicht und bin trotzdem zu keinem Ergebnis gekommen.
Viel, was darüber geschrieben steht, hat nicht funktioniert.
Die Einträge in die /tmp/openvpncl/openvpn.conf waren nach einem Neustart des Routers stets wieder gelöscht.
Ob es unter DD-WRT für den WRT54GL noch eine andere Variante des Client-GUI gibt, die Dir eine Möglichkeit für die Änderung des Cipher offen lässt, weiß ich auch nicht.
Funktionierende DD-WRT Software-Varianten gibt es einige für den WRT54, da wären Versionen von
BrainSlayer, Eko und die im DD-WRT-Forum nicht gern gesehene Kong-Variante.
Mein E3000 läuft z.B. mit einer Kong-Variante mit Möglichkeit der Client Cipher-Einstellungen seit Monaten ohne Probleme mit funktionierendem OpenVPN-Tunnel.
Gruß orcape
Es gibt mehrere Möglichkeiten das zu lösen:
Die .conf Datei in einen Flash gesicherten Speicherbereich des Routers zu kopieren und im Startup Script dann einfach mit cp... die Datei an die richtige Stelle kopieren.
Im Tutorial ist beschrieben wie man mit wenig Aufwand eine SD Speicherkarte in den DD-WRT integriert.
Dorthin kann man die Datei ebenfals bootsicher speichern und beim Startup an die richtige Stelle kopieren.
Mit beiden Optionen kann man das im Handumdrehen lösen...
Die .conf Datei in einen Flash gesicherten Speicherbereich des Routers zu kopieren und im Startup Script dann einfach mit cp... die Datei an die richtige Stelle kopieren.
Im Tutorial ist beschrieben wie man mit wenig Aufwand eine SD Speicherkarte in den DD-WRT integriert.
Dorthin kann man die Datei ebenfals bootsicher speichern und beim Startup an die richtige Stelle kopieren.
Mit beiden Optionen kann man das im Handumdrehen lösen...
Guckst du hier:
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=87042
Damit klappt es auf Anhieb !
Übrigens...Das Forum hier und auch das DD-WRT Forum hat wunderbare Suchfunktionen !!!
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=87042
Damit klappt es auf Anhieb !
Übrigens...Das Forum hier und auch das DD-WRT Forum hat wunderbare Suchfunktionen !!!
aber wenn ich in der CLI nach einem Neustart in die openvpn.conf sehe Dann ist die Zeile nicht angehängt!
..ob der Eintrag in der /tmp/openvpncl/openvpn.conf angekommen ist, solltest Du mit Vi über die Konsole oder Putty checken, vorrausgesetzt Du hast die ssh-Verbindung aktiviert, wovon ich mal ausgehe.Ich konnte leider immer wieder feststellen, das die Sache nicht ganz so trivial ist, wie sie erscheint. Die Unmengen von DD-WRT Versionen, die allein für den WRT-54 existieren, machen das ganze auch nicht leichter und die Howto´s sind mitunter schon recht veraltet.
Wenn Du das Ding zum laufen gebracht hast, dann nicht versuchen eine aktuellere Version einzuspielen, es sei denn es funktioniert irgend etwas nicht. Da verursachst Du meist wieder andere Probleme.
Gruß orcape
Das Kommando "dmesg" sollte alle Boot Meldungen anzeigen. Du kannst unten auch den Umweg über die NVRAM Settings machen, auch das bewirkt das man die Datei fest im Flash sichern kann. Du kannst auch aufs jffs Filesystem umschalten in den Settings.
Ansonsten bau eine SD Karte ein, dann bist du alle Sorgen ebenfalls los. Eiegntlich ist aber der obige Workaround problemlos zu machen und funktioniert auch !
Ansonsten bau eine SD Karte ein, dann bist du alle Sorgen ebenfalls los. Eiegntlich ist aber der obige Workaround problemlos zu machen und funktioniert auch !
Du kannst es deshalb sehen weil es ja permanent gespeichert ist und es immer ausgeführt wird !
Würdest du es nicht mehr sehen könntest du es nicht mehr verändern oder editieren. Macht ja also Sinn das so zu machen.
Da ist jetzt unverständlich was du daran nicht kapierst...eigentlich doch ein sinnvolles Verhalten.... oder war das jetzt falsch verstanden ?!
Würdest du es nicht mehr sehen könntest du es nicht mehr verändern oder editieren. Macht ja also Sinn das so zu machen.
Da ist jetzt unverständlich was du daran nicht kapierst...eigentlich doch ein sinnvolles Verhalten.... oder war das jetzt falsch verstanden ?!
Ich verstehe nur nicht das mein openvpn.conf dann nicht bei jedem Boot mit meinen Wünschen abgeändert wird, und ich denn Umweg über das NVRAM machen soll.
Das wird wohl hier eine Frage der Bootreihenfolge sein.Wenn das Startup-Script geladen wird, nachdem die gespeicherte openvpncl.conf eingelesen wurde, da kannst Du als Startup reinschreiben was Du willst, es bleibt die /tmp/openvpncl.conf, wie Du Sie unter den OVPN-Einstellungen konfiguriert hast.
Ja selbst wenn openvpn nicht das geänderte File nimmt trotzdem sollte ich das geäderte File mit cat /tmp/openvpncl/openvpn.conf in der Konsole sehen!
...ob mit cat /tmp/openvpncl/openvpn.conf oder mit Vi aufgerufen /tmp/openvpncl/openvpn.conf zeigt nur an, was im NVRAM gespeichert ist. Wenn aber Deine geänderte .conf im NVRAM nicht gespeichert wird, kannst Du sie auch in der Konsole nicht sehen.Du verwechselst hier CLI und ssh-Konsole, oder reden wir aneinander vorbei ?.
Nee Sorry, Du hast Recht, lag wohl etwas daneben.
Ich meinte damit, die Eingaben im GUI des Routers unter administration-startup
(echo cipher AES-128-CBC >> /tmp/openvpncl/openvpn.conf),
werden von der Bootreihenfolge des Routers her, vermutlich erst geladen, wenn dieser die Daten aus der OpenVPN-Clientconfig bereits gelesen hat.
Deshalb auch nur die Config wie im Router-GUI eingetragen.
Ich meinte damit, die Eingaben im GUI des Routers unter administration-startup
(echo cipher AES-128-CBC >> /tmp/openvpncl/openvpn.conf),
werden von der Bootreihenfolge des Routers her, vermutlich erst geladen, wenn dieser die Daten aus der OpenVPN-Clientconfig bereits gelesen hat.
Deshalb auch nur die Config wie im Router-GUI eingetragen.
Also gehe ich davon aus das mein Startupskript aus irgend einem Grund entweder nicht ausgeführt wird oder sonst was passiert!
...genauso sieht das aus. Ich bin letztendlich auch den "Weg des geringsten Wiederstands" gegangen und habe den Cipher auf dem Server geändert. Für einen 2. remoten Standort habe ich dann gleich einen anderen Router verwendet, der dieses Future auf dem OpenVPN-Client unterstützt.Der Vorschlag von Aqui mit der CF-Karte mag ja Ok sein, kostet Dich aber, wenn Du erst kaufen musst, auch 15 €, wenn nicht mehr.
Da kannst Du dann auch gleich den Versuch machen, das Teil bei EBay in etwas besseres zu wandeln.
Denn die Geschwindigkeit Deiner Datenübertragung über den Tunnel hängt auch von der eingesetzten CPU ab und die ist beim WRT54 schon am untersten Limit, selbst wenn Du das Teil auf 250MHz übertaktet hast.
Gruß orcape
Zitat Aqui...
Du solltest dem Link von Aqui folgen, der auf das DD-WRT Forum verweist.
Oder Du gehst auch den Weg des geringeren Widerstands....
Es gibt mehrere Möglichkeiten das zu lösen:
Die .conf Datei in einen Flash gesicherten Speicherbereich des Routers zu kopieren und im Startup Script dann einfach mit cp... die Datei an die richtige Stelle kopieren.
So wie ich das verstehe sind die Speichermöglichkeiten des WRT54 sehr begrenzt, deshalb die zusätzliche CF-Karte.Die .conf Datei in einen Flash gesicherten Speicherbereich des Routers zu kopieren und im Startup Script dann einfach mit cp... die Datei an die richtige Stelle kopieren.
Du solltest dem Link von Aqui folgen, der auf das DD-WRT Forum verweist.
Oder Du gehst auch den Weg des geringeren Widerstands....
Hast du das hier mal gelesen:
http://www.dd-wrt.com/phpBB2/viewtopic.php?p=725635
http://www.dd-wrt.com/phpBB2/viewtopic.php?p=725635