donjoe
Goto Top

Dd-wrt OpenVPN Backup-VPN auf zweit Router

Hallo,

ich haben auf einen dd-wrt Router A (192.168.X.A) OpenVPN-Server laufen und es funktioniert, nach dieser Anleitung nach:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Ich möchte nun aus Unterschiedlichen Gründen ein Backup OpenVPN-Server dd-wrt Router B (192.168.X.B).
Dazu habe ich die Config auf dem Router (192.168.X.A) erweitert:
Akzeptiert eingehende Anfragen am Port UDP 1194.
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT
iptables -I INPUT 1 -p udp --dport 1195 -j ACCEPT

Erlaubt den VPN Clients den Zugriff auf routerinterne Prozesse (Weboberfl&#-28;che, SSH etc)
iptables -I INPUT 3 -i tun0 -j ACCEPT

Erlaubt Verbindungen zwischen VPN Clients sofern "Client-to-Client" bei OpenVPN aktiviert ist.  
iptables -I FORWARD 3 -i tun0 -o tun0 -j ACCEPT

Erlaubt Verbindungen vom lokalen Netz ins VPN Netz und umgekehrt (br0 steht f&#-4;r LAN und WLAN).
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT 


Im NAT habe ich folgende Port Forwarding Einstellungen erstellt:
Name1 UDP 0.0.0.0 (Sub-Net) 1194 (Source) 192.168.X.A 1194 (to Port)
Name2 UDP 0.0.0.0 (Sub-Net) 1195 (Source) 192.168.X.B 1195 (to Port)

Regel1 (Name1) kommt durch 1194 ABER 1195 nicht!?

Die OpenVPN Config auf dem Router B (192.168.X.B) ist identisch mit Router A (192.168.X.A) außer dem OpenVPN Port. Auf dem Router B ist die Firewall und NAT abgeschaltet (weitere Detail siehe Grafik).

Ich finde nun nicht den Konfigurationsfehler, bzw. meinen logischen Fehler nicht.

THX
openvpn

Content-Key: 328691

Url: https://administrator.de/contentid/328691

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: Chonta
Chonta 07.02.2017 um 16:57:46 Uhr
Goto Top
Hallo,

das "Backup" VPN sollte ein eigenes VPN Netz haben.
Du setzt mehrere Defaultrouten für das Selbe Netzwerk, das haut so nicht hin.
Das Gateway das den Zugriff auf das Netz das über das VPN erreicht werden soll muss dann auch Routen zu beiden VPN Netzen bekommen.

Gruß

Chonta
Mitglied: DonJoe
DonJoe 07.02.2017 aktualisiert um 20:08:31 Uhr
Goto Top
Ich habe in der OpenVPN Config im Router A:
server 172.16.A.0 255.255.255.0
und im Router B:
server 172.16.B.0 255.255.255.0
eingetragen. Ohne Erfolg.

Das Standard Gatway ist bei beiden 192.168.A.1 über Router A
Mitglied: Chonta
Chonta 08.02.2017 um 08:16:41 Uhr
Goto Top
OpenVPN logt den Verbindungsaufbau mit, was steht da?

Sind die Firewallregeln angepasst worden?

Hat das Defaultgateway auch Routen in die OpenVPN Netze?

Von wo nach Wo versuchst Du eine Verbindung aufzubauen?

Wie schaut die Clientconfig aus?

Gruß

Chonta
Mitglied: DonJoe
DonJoe 08.02.2017 um 10:54:20 Uhr
Goto Top
Unter System -> OpenVPN ist in den Logs nichts zu sehen.

Im Netz 192.168.X. komme ich mit dem VPN-Client auf 192.168.X.B ohne Probleme drauf, sobald ich durch die Firewall muss klappt es nicht. Irgend etwas beim Routing klappt nicht, aber was?

Der Client-Log liefert außerhabe des 192.168.X.y Netzes:
TLS Error: TLS key negotiation failed
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error]:received

In der Firewall habe ich Port Forwarding:
A: UDP Source 0.0.0.0 1194 - IP 192.168.X.A 1194
A: UDP Source 0.0.0.0 1195 - IP 192.168.X.B 1195
konfiguriert
Mitglied: Chonta
Chonta 08.02.2017 um 11:09:44 Uhr
Goto Top
Der Client-Log liefert außerhabe des 192.168.X.y Netzes:
Der Client kommt doch vom Internet ..... und da sollte der genereill in einem Netzwerk sein, das weder den IP Bereich eines der VPN Netze hat noch des Netzwerkes hinter der FW.

sobald ich durch die Firewall muss klappt es
Dann stimmt da was nicht.
Gib mal bitte die Routingtabelle vonn der FW aus. Die FW ist doch auch für alle das Defaultgateway oder?
Wenn Du mit Zertifikaten arbeitest, hat der andere ddwrt Router auch andere Zertifikate als der derste, außer Du hast die Zertifikate und Keys vom ersten auf dem zweiten importiert.

Es fehlt immer noch der Post der Configs über die Du versuchst die Verbindung aufzubauen.
Die Firewall loggt evtl. das die Verbindung durchgestellt wird oder wohin geleitet wird.


Gruß

Chonta
Mitglied: DonJoe
DonJoe 08.02.2017 um 14:35:09 Uhr
Goto Top
Wenn ich im Netz eine VPN-Verbindung (direkt auf die IP 192.168.X.B, auf Hostname nicht) aufbaue läuft es. Aus dem Internet/Netz vor der FW klappt es nicht.

Routing Tabelle:
default 0.0.0.0 192.168.C.1 UG 0 WAN
88.224.0.0 255.255.0.0 * U 0 LAN & WLAN
172.16.2.0 255.255.255.0 172.16.2.2 UG 0 tun0
172.16.2.2 255.255.255.255 * UH 0 tun0

192.168.A.0 255.255.255.0 * U 0 LAN & WLAN
192.168.C.0 255.255.255.0 * U 0 WAN

Die Fett markierten sind für OpenVPN A, allerdings sind keine für OpenVPN B (172.16.3.0)?!


Ich habe nochmal die FW Config angepasst
# Firewall
# Akzeptiert eingehende Anfragen am Port UDP 1194.
iptables -I INPUT 1 -d 192.168.1.2/24 -p udp --dport 1195 -j ACCEPT
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT

# Erlaubt den VPN Clients den Zugriff auf routerinterne Prozesse (Weboberfl&#-28;che, SSH etc)
iptables -I INPUT 3 -i tun0 -j ACCEPT

# Erlaubt Verbindungen zwischen VPN Clients sofern "Client-to-Client" bei OpenVPN aktiviert ist. 
iptables -I FORWARD 3 -i tun0 -o tun0 -j ACCEPT

# Erlaubt Verbindungen vom lokalen Netz ins VPN Netz und umgekehrt (br0 steht f&#-4;r LAN und WLAN).
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT 
Mitglied: Chonta
Chonta 08.02.2017 um 15:34:08 Uhr
Goto Top
Beide ddwrt-Router sind aber Direckt mit der FW verbunden?
Die FW ist auch das Defaultgateway?

Die Config von den vpn Serveern und von den Clients hast Du imme rnoch nicht gepostet......

Wenn Du im lokalen Netzwerk eine Verbindung herstellen kannst, dann sind die Zertifikate an sich in Ordnung.
Aber sicher das VPN2 auch auf 1195 lauscht und nicht auf 1194?

Wenn dein zweiter ddwrt an den ersten ddwrt angeschlossen ist, macht das ganze als Bakcup keinerlei Sinn, weil solange router1 läuft wird router2 nicht gebaucht und wenn 1 ausfällt ist 2 auch nicht erreichbar..
Leitet die Haupt Firewall überuaupt Port 1195 irgendwohinn? Was ist die Firewall für eine Firewall?

Gruß

Chonta
Mitglied: DonJoe
DonJoe 09.02.2017 um 18:07:22 Uhr
Goto Top
Router A ist FW und Router B hängt an Router A, Ansicht weiß ich das es so nicht optimal in sachen Redundanz ist, allerdings schmiert nur der OpenVPN Dienst ab. FW ist das Default Gateway.

Server-Config (Router B):
port 1195
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.3.0 255.255.255.0

push "route 192.168.A.0 255.255.255.0"
push "dhcp-options DNS 192.168.A.1"

keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3


Client Config:

client
dev tun
proto tcp

remote DNS_NAME 1195

resolv-retry infinite

nobind

persist-key
persist-tun

ca F:/Programme/OpenVPN/Cert_VPN/keys/Client/ca.crt
cert F:/Programme/OpenVPN/Cert_VPN/keys/Client/client1.crt
key F:/Programme/OpenVPN/Cert_VPN/keys/Client/client1.key

ns-cert-type server
comp-lzo
verb 3

route-method exe
route-delay 2
tun-mtu 1492

port 1195
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.3.0 255.255.255.0

push "route 192.168.A.0 255.255.255.0"
push "dhcp-options DNS 192.168.A.1"

keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Ich bin mir sicher das Router B OPenVPN auf 1195 lauscht, da im Lokalen Netz ich eine Verbindung aufbauen kann.
Die FW ist die von dd-wrt und identisch mit der Config mit der von Router A, zu mindestens habe ich keinen unterscheid gefunden.

Ich habe auch schon testweise den eingehenden Port 1194 auf 1195 umgeleitet, aber auch dann kriege ich keine OpenVPN Verdingung zustande.
Mitglied: Chonta
Chonta 10.02.2017 um 08:30:53 Uhr
Goto Top
Hallo,

in der Server Config fehlt der MTU Wert und setz den bei beiden mal Testweise auf 1400.
Bei remote nur den dns namen nicht den port, der wird ja üner port mitgegeben.
nobind
float
sollten da auch rein (wenn MTU runtersetzen nicht reicht).

Die Firwall sollte das VPN Netz von Router B kennen und auch eine Route dahin haben, wenn Du aus dem VPN Netz ins normale Netz willst.

Kannst Du mitloggen, ob Router A an Router B überhaupt Daten schickt?

Gruß

Chonta
Mitglied: DonJoe
DonJoe 10.02.2017 aktualisiert um 18:52:45 Uhr
Goto Top
Ich habe den MTU Wert auf 1400 reduziert und nobind und float hinzugefügt. Leider hat das nicht geholfen.

Was mich wunder ist das in der Routing Tabelle Router B 172.16.3.1 Einträge fehlen.