Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DD-WRT als OpenVPN Server

Frage Netzwerke Router & Routing

Mitglied: traller

traller (Level 1) - Jetzt verbinden

07.03.2014, aktualisiert 08.03.2014, 5087 Aufrufe, 20 Kommentare, 1 Danke

Hallo,
ich habe einen DD-WRT Router (Netgear Router mit DD-WRT v24-sp2 (03/25/13) std) und wollte diesen als OpenVPN-Server laufen lassen. Ich bin dieser Anleitung hier gefolgt und http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ... bekomme eine Verbindung zwar hin (wird grün). Nur kann ich nicht in das eigentliche IP Netz (192.168.1.X) zugreifen ...

Die Server-Konfiguration sieht wie folgt aus:
01.
port 15000 
02.
proto udp 
03.
dev tun0 
04.
ca /tmp/openvpn/ca.crt 
05.
cert /tmp/openvpn/cert.pem 
06.
key /tmp/openvpn/key.pem 
07.
dh /tmp/openvpn/dh.pem 
08.
server 172.16.2.0 255.255.255.0 
09.
push "route 192.168.1.0 255.255.255.0" 
10.
push "dhcp-options DNS 192.168.1.1" 
11.
keepalive 10 120 
12.
comp-lzo 
13.
persist-key 
14.
persist-tun 
15.
verb 3
Die Client-Konfiguration (Windows 7):
01.
client 
02.
port 15000 
03.
proto udp 
04.
dev tun0 
05.
ca ca.crt 
06.
cert client1.crt 
07.
key client1.key 
08.
cipher AES-256-CBC 
09.
remote server.dyndns.org 
10.
resolv-retry infinite 
11.
nobind 
12.
persist-key 
13.
persist-tun 
14.
mute-replay-warnings 
15.
verb 3 
16.
mute 20
und auf dem Router selbst führte ich dann wie in der Anleitung folgendes aus
01.
# Akzeptiert eingehende Anfragen am Port UDP 1194. 
02.
iptables -I INPUT 1 -p udp --dport 15000 -j ACCEPT 
03.
 
04.
# Erlaubt den VPN Clients den Zugriff auf routerinterne Prozesse (Weboberfläche, SSH etc) 
05.
iptables -I INPUT 3 -i tun0 -j ACCEPT 
06.
 
07.
# Erlaubt Verbindungen zwischen VPN Clients sofern "Client-to-Client" bei OpenVPN aktiviert ist. 
08.
iptables -I FORWARD 3 -i tun0 -o tun0 -j ACCEPT 
09.
 
10.
# Erlaubt Verbindungen vom lokalen Netz ins VPN Netz und umgekehrt (br0 steht für LAN und WLAN). 
11.
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT 
12.
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT 
Kann mir jemand sagen, was das Problem ist??? Im Grunde will ich im ersten Schritt, dass der Client von Extern auf das interne Netz zugreifen kann (am liebsten mit NetBIOS).
Mitglied: orcape
08.03.2014 um 08:09 Uhr
Hi traller,
kommst Du denn per ping oder ssh (wenn sshd auf dem Router aktiviert ist) vom Client wenigstens auf den Router ?
Dann wären da noch die Logs und die Routingtabelle des Routers interessant, sonst wird das hier nur Rätsel raten.
Folgende Regel wäre nur bei einem Multiclienttunnel, für Dich also nicht zutreffend...
07. # Erlaubt Verbindungen zwischen VPN Clients sofern "Client-to-Client" bei OpenVPN aktiviert ist.
08. iptables -I FORWARD 3 -i tun0 -o tun0 -j ACCEPT
Auskommentieren oder weglassen.
Gruß orcape
Bitte warten ..
Mitglied: MrNetman
08.03.2014, aktualisiert um 11:21 Uhr
Zugriff mit Netbios über Layer3 ist so nicht möglich. Eine Namensauflösung aus deinem entfernten Netz kannst du so einfach nicht erreichen.
Due verbindest zwei Netze mit Open-VPN. Die müssen unterschiedlich sein. Die angegebene IP des Zielnetzes macht mich stutzig, da sie häufig default ist und damit auf beiden Seiten sein könnte.
Prüfe das mal mit dem Befehl tracert zielnetz-IP.

Gruß
Netman
Bitte warten ..
Mitglied: matthew77
08.03.2014 um 16:35 Uhr
Hallo,

ich würde die Firewall erst dann aktivieren, wenn die VPN-Verbindung ohne Probleme läuft und nicht vorher !!!

Ausserdem gehe ich davon aus, dass sich dein DD-WRT-Server hinter einem (DSL)Router befindet, dann brauchst du in dem Router
eine statische Route ins VPN-Netz, sonst, weiss der Router nicht, wie er das VPN-Netz erreichen kann, also im DSL-Rouer trägst du ein:

Zielnetz: 172.16.2.0 (VPN-Netz)
Netmask: 255.255.255.0
Gateway: <die ip adresse von DD-WRT>

Gruß
m
Bitte warten ..
Mitglied: orcape
08.03.2014 um 17:25 Uhr
@matthew77,
Ausserdem gehe ich davon aus, dass sich dein DD-WRT-Server hinter einem (DSL)Router befindet, dann > brauchst du in dem Router eine statische Route ins VPN-Netz, sonst, weiss der Router nicht, wie er das
VPN-Netz erreichen kann
...das sich der TO bei der Beschreibung seiner Netzstruktur, nicht gerade mit "Ruhm bekleckert" hat, ist klar.
Er spricht hier aber nur einem Netgear Router mit DD-WRT. Nicht von einem vorgeschaltet Router.
Genau so gut kann da nur ein DSL- Modem stehen.
Selbst wenn dort ein Router steht, dann ist der Begriff statische Route wohl nicht korrekt, da meinst Du sicher ein Portforwarding.
Das ist aber bei einem OpenVPN-Tunnel nicht notwendig.
Gruß orcape
Bitte warten ..
Mitglied: Cthluhu
08.03.2014 um 18:06 Uhr
Hi,
Zitat von orcape:
Selbst wenn dort ein Router steht, dann ist der Begriff statische Route wohl nicht korrekt, da meinst Du sicher ein
Portforwarding.
Das ist aber bei einem OpenVPN-Tunnel nicht notwendig.
Doch, wenn noch ein Router (oder so eine unsägliche Modem/Router Kombination wie man die von vielen Providern vorgesetzt bekommt) vorgeschalten ist muss schon Portforwarding betrieben werden. Zwar nicht auf dem Router auf dem OpenVPN läuft, sondern auf dem der davor hängt.

Mit freundlichen Grüßen

Cthluhu
Bitte warten ..
Mitglied: traller
08.03.2014, aktualisiert um 18:21 Uhr
Zitat von Cthluhu:

Hi,
> Zitat von orcape:
> Selbst wenn dort ein Router steht, dann ist der Begriff statische Route wohl nicht korrekt, da meinst Du sicher ein
> Portforwarding.
> Das ist aber bei einem OpenVPN-Tunnel nicht notwendig.
Doch, wenn noch ein Router (oder so eine unsägliche Modem/Router Kombination wie man die von vielen Providern vorgesetzt
bekommt) vorgeschalten ist muss schon Portforwarding betrieben werden. Zwar nicht auf dem Router auf dem OpenVPN läuft,
sondern auf dem der davor hängt.

Mit freundlichen Grüßen

Cthluhu

ich probiere das später alles mal aus, aber: Der Netgear Router hängt direkt über PPPoE Passthrough am Internet. Somit ist beim Modem kein Portforwarding notwendig. Also wirklich einfachste Netzwerkstruktur: Internet>Modem>Netgear-Router.

Das Modem ist zwar eigentlich ein Router, aber dort wurden keine Zugangsdaten eingetragen und alles mögliche bis auf PPPoE Passthrough deaktiviert.
Bitte warten ..
Mitglied: orcape
08.03.2014, aktualisiert um 18:22 Uhr
@Cthluhu
Doch, wenn noch ein Router (oder so eine unsägliche Modem/Router Kombination wie man die von vielen Providern vorgesetzt bekommt)
vorgeschalten ist muss schon Portforwarding betrieben werden.
Da muss ich Dir leider widersprechen.
Ich betreue einen Kunden, der einen Vodafone-DSL-Anschluß mit einer Easy-Box hat.(statische IP´s Router-Betrieb) Am LAN der Easy-Box hängt ein WRT54 mit DD-WRT und OpenVPN mit seinem WAN-Anschluß.
Hier brauchte keine Portweiterleitung gemacht werden, der Tunnel funktioniert auch ohne den Port 1194 weiter zu leiten.
Ich bring da mal noch ein Zitat von Aqui....
aqui am 03.03.2014 um 20:13 Uhr
Da nützt die Passthrough-Weiterleitung nichts.
Womit Kollege orcape Recht hat ! Sie wäre auch überflüssiger Unsinn, denn OpenVPN ist ein SSL VPN Netzwerk.
Bei OpenVPN braucht rein gar nichts konfiguriert werden, da kann man beide Router einfach kaskadieren. Da immer der Client den VPN Aufbau
initiiert muss auch kein Port Forwarding konfiguriert werden im vorgeschalteten Router.
Gruß orcape
Bitte warten ..
Mitglied: traller
08.03.2014 um 18:54 Uhr
es funktioniert alles nichts. Trotz abgeschalteter Firewall ...
Bitte warten ..
Mitglied: MrNetman
08.03.2014, aktualisiert um 21:36 Uhr
Darf ich dich nioch einmal an die oben erwähnten Basics erinnern.
Alles Nichts Oder ist eine alte Fernsehsendung - die könntest dir jetzt antun.
oder auch tracert!

Gruß Netman
Bitte warten ..
Mitglied: traller
08.03.2014 um 21:29 Uhr
Alles aus Sicht des Client
Ich habe ein Tracert versucht, kommt nur Zeitüberschreitung d. Anf., egal welche IP ich eingebe (außer die des Clients). ansonsten:
01.
C:\Windows\system32>route print 
02.
=========================================================================== 
03.
Schnittstellenliste 
04.
 28...........................Vodafone D2 
05.
 23...00 ff 7b 7d 7d 01 ......TAP-Windows Adapter V9 
06.
 15...xx xx xx xx xx xx ......Microsoft Virtual WiFi Miniport Adapter 
07.
 12...xx xx xx xx xx xx ......Intel(R) WiFi Link 5300 AGN 
08.
 19...xx xx xx xx xx xx ......VirtualBox Host-Only Ethernet Adapter 
09.
  1...........................Software Loopback Interface 1 
10.
 20...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 
11.
 25...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter 
12.
 21...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2 
13.
 22...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3 
14.
 61...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4 
15.
 14...00 00 00 00 00 00 00 e0 Microsoft-6zu4-Adapter 
16.
 27...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #6 
17.
=========================================================================== 
18.
 
19.
IPv4-Routentabelle 
20.
=========================================================================== 
21.
Aktive Routen: 
22.
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik 
23.
          0.0.0.0          0.0.0.0   Auf Verbindung      2.206.51.162     31 
24.
     2.206.51.162  255.255.255.255   Auf Verbindung      2.206.51.162    286 
25.
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1   4531 
26.
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1   4531 
27.
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1   4531 
28.
       172.16.2.1  255.255.255.255       172.16.2.5       172.16.2.6   4256 
29.
       172.16.2.4  255.255.255.252   Auf Verbindung        172.16.2.6   4511 
30.
       172.16.2.6  255.255.255.255   Auf Verbindung        172.16.2.6   4511 
31.
       172.16.2.7  255.255.255.255   Auf Verbindung        172.16.2.6   4511 
32.
      192.168.1.0    255.255.255.0       172.16.2.5       172.16.2.6   4256 
33.
     192.168.56.0    255.255.255.0   Auf Verbindung      192.168.56.1   4501 
34.
     192.168.56.1  255.255.255.255   Auf Verbindung      192.168.56.1   4501 
35.
   192.168.56.255  255.255.255.255   Auf Verbindung      192.168.56.1   4501 
36.
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1   4531 
37.
        224.0.0.0        240.0.0.0   Auf Verbindung        172.16.2.6   4511 
38.
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.56.1   4502 
39.
        224.0.0.0        240.0.0.0   Auf Verbindung      2.206.51.162     31 
40.
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1   4531 
41.
  255.255.255.255  255.255.255.255   Auf Verbindung        172.16.2.6   4511 
42.
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.56.1   4501 
43.
  255.255.255.255  255.255.255.255   Auf Verbindung      2.206.51.162    286 
44.
=========================================================================== 
45.
Ständige Routen: 
46.
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik 
47.
          0.0.0.0          0.0.0.0      192.168.1.1  Standard 
48.
          0.0.0.0          0.0.0.0      192.168.1.1  Standard 
49.
===========================================================================
Bitte warten ..
Mitglied: matthew77
08.03.2014 um 22:32 Uhr
Wozu steht bei dir das Standard-Gateway 192.168.1.1 ?

Gruß
m
Bitte warten ..
Mitglied: traller
08.03.2014, aktualisiert um 22:52 Uhr
Zitat von matthew77:

Wozu steht bei dir das Standard-Gateway 192.168.1.1 ?

Gruß
m

keine ahnung?? :D das ist der normale Gateway/ der Netgear-Router ...Kann sein dass es über den LAN- und WLAN-Anschluss kommt? Im internen Netzwerk sind die IPs fest vergeben.
Bitte warten ..
Mitglied: MrNetman
09.03.2014 um 03:49 Uhr
Wenn ein tracert dir zeigt, dass du keinen Pfad hast, was kümmerst du dich dann um andere Parameter.
Nichterreichbarkeit muss zuerst behoben werden.
Also das Routing.

Und erzähl doch mal, welche Netze du verbinden willst und warum du die Funktion des default Gateway nicht kennst.
bekomme eine Verbindung zwar hin (wird grün). Nur kann ich nicht in das eigentliche IP Netz (192.168.1.X) zugreifen ...
das grün bezieht sich wohl auf deine Erfahrung.
Bitte warten ..
Mitglied: orcape
09.03.2014 um 09:30 Uhr
Hi traller,
laut Deiner Routing-Tabelle läuft bei Dir ein Multiclient-Tunnel, mit dem man normalerweise mehrere remote Standorte verbinden kann.
Du brauchst aber einen remote Access, d.h. der Tunnel sollte serverseitig, also auf dem Netgear, die IP 172.16.2.1 und auf Deinem Windows-Client die IP 172.16.2.2 haben. Ob das dann die Ursache für Dein nicht funtionierendes Routing ist, wird sich zeigen.
Der Tunnel steht, sonst würde das nicht in der Routing-Tabelle auftauchen.
Da Du in Deiner server.conf keinen Eintrag "client-to-client" stehen hast, vermute ich, das Du Serverseitig ein ccd-File hast, welches diesen Eintrag fälschlicherweise aufweist.
In diesem ccd-File, welches bei DD-WRT unter /tmp/openvpn zu finden ist, sollte nur den Eintrag "ifconfig-push 172.16.2.2 172.16.2.1" beinhalten.
Verbinde Dich mit einem Client mit dem Netgear und kontrolliere dieses File mit Putty, eine direkte Änderung ist zwar möglich, beim nächsten boot des Routers aber wieder im Urzustand, da /tmp "flüchtig" ist. Normalerweise werden alle Einträge über den GUI gemacht, dadurch werden alle erforderlichen Parameter beim boot des Routers übernommen.
In die server.conf (GUI), solltest Du dann aber noch den Eintrag "client-config-dir /tmp/openvpn-ccd" machen.(Pfad entsprechend anpassen)
Das ein Multiclienttunnel beim Routing Probleme macht, wenn eigentlich nur ein remote Access vorhanden ist, habe ich schon mehrfach feststellen müssen.
Es liegt hier sicher eine Fehlkonfiguration des Tunnels vor, auch wenn dieser sich aufgebaut hat.
Was bedeutet übrigens dieses Netz 192.168.56.0 255.255.255.0 in Deiner Routing-Tabelle ?
Gruß orcape
Bitte warten ..
Mitglied: traller
09.03.2014, aktualisiert um 16:47 Uhr
im Ordner /tmp/openvpn/ccd ist keine einzige Datei und in /tmp/openvpn/ existieriert auch keine mit ccd ... Der Client bekommt auch immer automatisch die IP 172.16.2.6 ....
das 192.168.56.1 ist wohl von Oracle Virtual Box.

auch hilft es nichts, client-to-client in die server.conf zu schreiben. sie finden sich einfach nicht ...
Bitte warten ..
Mitglied: traller
09.03.2014, aktualisiert 10.03.2014
Hallo,
ich hab es fast ans laufen bekommen. Netzwerk intern ist die 192.168.1.1 und VPN-LAN die 192.168.66.1. DHCP ist im internen Netzwerk deaktiviert. Vom Client komme ich über 192.168.1.1 in das Webinterface vom Router. Aber weiter komme ich auch nicht, ein Accesspoint unter 192.168.1.2 ist nicht erreichbar etc.
Die Konfiguration sieht aktuell wie folgt aus:
3751cb45d261fd3960aacf689e93659a - Klicke auf das Bild, um es zu vergrößern

Server:
01.
port 1194 
02.
proto udp 
03.
dev tun0 
04.
ca /tmp/openvpn/ca.crt 
05.
cert /tmp/openvpn/cert.pem 
06.
key /tmp/openvpn/key.pem 
07.
dh /tmp/openvpn/dh.pem 
08.
server 192.168.66.0 255.255.255.0 
09.
push "route 192.168.1.0 255.255.255.0" 
10.
push "dhcp-options DNS 192.168.1.1" 
11.
keepalive 10 120 
12.
comp-lzo 
13.
client-to-client 
14.
persist-key 
15.
persist-tun 
16.
verb 3
iptables:
01.
# Akzeptiert eingehende Anfragen am Port UDP 1194. 
02.
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT 
03.
 
04.
# Erlaubt den VPN Clients den Zugriff auf routerinterne Prozesse (Weboberfl&#-28;che, SSH etc) 
05.
iptables -I INPUT 3 -i tun0 -j ACCEPT 
06.
 
07.
# Erlaubt Verbindungen zwischen VPN Clients sofern "Client-to-Client" bei OpenVPN aktiviert ist. 
08.
iptables -I FORWARD 3 -i tun0 -o tun0 -j ACCEPT 
09.
 
10.
# Erlaubt Verbindungen vom lokalen Netz ins VPN Netz und umgekehrt (br0 steht f&#-4;r LAN und WLAN). 
11.
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT 
12.
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT 
Client:
01.
client 
02.
dev tun 
03.
proto udp 
04.
remote server.dyndns.org 1194 
05.
;remote mein-vpn-server.dyndns.org 1194 
06.
resolv-retry infinite 
07.
nobind 
08.
persist-key 
09.
persist-tun 
10.
ca ca.crt 
11.
cert client.crt 
12.
key client.key 
13.
ns-cert-type server 
14.
comp-lzo 
15.
verb 3
route print vom Client:
01.
Fehler, richtig ist 2 Posts weiter unten.
Wenn ich push "route "192.168.1.0 255.255.255.0" durch 'push "redirect-gateway def1"' ersetze, funktioniert gar nichts mehr, also nichts mehr erreichbar. Wie bekomme ich es nun noch hin, dass der Router auch das interne LAN weiter leitet?
Bitte warten ..
Mitglied: orcape
10.03.2014 um 05:41 Uhr
Hi,
im Ordner /tmp/openvpn/ccd ist keine einzige Datei
...dann füge mal "ifconfig-push 192.168.66.2 192.168.66.1" in die Server.conf ein und schau ob er dann ein Tunnelnetz mit 2 IP´s macht.
Ich verstehe zwar nicht, warum Du nun Dein Tunnelnetz von...
172.16.2.0/24 auf 192.168.66.0/24 geändert hast ?...ist so schon verwirrend genug.
Deine Client Routing-Tabelle weist übrigens einen Fehler auf (fett)....
192.168.6.0 255.255.255.0 192.168.66.5 192.168.66.6 4256
..ausserdem fehlt eine Route auf 192.168.1.0/24.
Du kannst also so gar nicht in dieses Netz kommen.
Gruß orcape
Bitte warten ..
Mitglied: traller
10.03.2014 um 11:59 Uhr
> im Ordner /tmp/openvpn/ccd ist keine einzige Datei
...dann füge mal "ifconfig-push 192.168.66.2 192.168.66.1" in die Server.conf ein und schau ob er dann ein
Tunnelnetz mit 2 IP´s macht.
dann kommt TLS Handshake failed und nichts funktioniert mehr ...
Ich verstehe zwar nicht, warum Du nun Dein Tunnelnetz von...
172.16.2.0/24 auf 192.168.66.0/24 geändert hast ?...ist so schon verwirrend genug.
ist halt so :p
Deine Client Routing-Tabelle weist übrigens einen Fehler auf (fett)....
> 192.168.6.0 255.255.255.0 192.168.66.5 192.168.66.6 4256
..ausserdem fehlt eine Route auf 192.168.1.0/24.
Du kannst also so gar nicht in dieses Netz kommen.
Fehler beim Kopieren. so ist richtig:
01.
C:\Users\admin>route print 
02.
=========================================================================== 
03.
Schnittstellenliste 
04.
 53...........................Vodafone D2 
05.
 27...00 xx xx xx xx xx ......TAP-Windows Adapter V9 
06.
 15...00 xx xx xx xx xx ......Microsoft Virtual WiFi Miniport Adapter 
07.
 12...00 xx xx xx xx xx ......Intel(R) WiFi Link 5300 AGN 
08.
  1...........................Software Loopback Interface 1 
09.
 20...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 
10.
 23...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter 
11.
 21...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2 
12.
 22...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3 
13.
 14...00 00 00 00 00 00 00 e0 Microsoft-6zu4-Adapter 
14.
 24...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #5 
15.
=========================================================================== 
16.
 
17.
IPv4-Routentabelle 
18.
=========================================================================== 
19.
Aktive Routen: 
20.
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik 
21.
          0.0.0.0          0.0.0.0   Auf Verbindung      2.200.73.245     31 
22.
     2.200.73.245  255.255.255.255   Auf Verbindung      2.200.73.245    286 
23.
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1   4531 
24.
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1   4531 
25.
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1   4531 
26.
      192.168.1.0    255.255.255.0     192.168.66.5     192.168.66.6   4256 
27.
     192.168.66.0    255.255.255.0     192.168.66.5     192.168.66.6   4256 
28.
     192.168.66.4  255.255.255.252   Auf Verbindung      192.168.66.6   4511 
29.
     192.168.66.6  255.255.255.255   Auf Verbindung      192.168.66.6   4511 
30.
     192.168.66.7  255.255.255.255   Auf Verbindung      192.168.66.6   4511 
31.
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1   4531 
32.
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.66.6   4511 
33.
        224.0.0.0        240.0.0.0   Auf Verbindung      2.200.73.245     31 
34.
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1   4531 
35.
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.66.6   4511 
36.
  255.255.255.255  255.255.255.255   Auf Verbindung      2.200.73.245    286 
37.
=========================================================================== 
38.
Ständige Routen: 
39.
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik 
40.
          0.0.0.0          0.0.0.0      192.168.1.1  Standard 
41.
===========================================================================
Der Client ist Windows 7, eine deaktivierte Windows Firewall bringt aber nichts. So mit leitet der Server wohl die Anfragen einfach nicht weiter. Fehlt irgendetwas bei iptables??
Bitte warten ..
Mitglied: traller
10.03.2014, aktualisiert um 12:37 Uhr
Fehler behoben. Von Client Seite aus ist nun auch das interne Netz unter 192.168.1.0 erreichbar. Ich habe die iptables verändert zu:
01.
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT 
02.
iptables -I FORWARD 1 --source 192.168.66.0/24 -j ACCEPT 
03.
iptables -I INPUT 1 -i tun2 -j ACCEPT 
04.
iptables -A FORWARD -i tun2 -j ACCEPT 
05.
 
06.
iptables -I FORWARD -i br0 -o tun2 -j ACCEPT 
07.
iptables -I FORWARD -i tun2 -o br0 -j ACCEPT 
08.
 
09.
iptables -t nat -A POSTROUTING -j MASQUERADE 
10.
 
11.
# Dieses hier wurde aus dem administrator.de Tutorial hinzugefügt, damit über das VPN auch der Router erreichbar ist. 
12.
iptables -I INPUT 3 -i tun0 -j ACCEPT
der Tipp war hier http://www.dd-wrt.com/phpBB2/viewtopic.php?p=879529#879529

Kann man bei meiner Server/Client-Config irgendwie noch die Sicherheit erhöhen??
Bitte warten ..
Mitglied: Nickelino
30.09.2014, aktualisiert um 13:11 Uhr
Hallo, ich bin auch gerade dabei mein OpenVPN-Server einzurichten. Ich habe jetzt schon wirklich diverse Anleitungen durchgearbeitet. Diese hier ist die letzte gewesen. Es kann nicht sein, dass auf jeder Seite geschrieben wird, dass es klappt, aber niemand postet eine vollständig funktionierende Config. Diese hier funktioniert auch nicht richtig. Mit den Zertifikaten habe ich keine Probleme.

Die Verbindung kann hergestellt werden.

Jetzt ist es so, dass ich zuletzt die Server-Config und Firewall-Regeln von Traller eingefügt habe. Natürlich habe ich meine Config soweit angepasst. Der einzige Unterschied ist bei mir, dass der DD-WRT-Router (TP-Link TL-WDR3600) hinter einer FrotzBox 7390 steckt und ich via Port-Forwarding den Tunnel auf Port 1194 weiterleite. Leider habe ich nach dem Copy-Pasten und speichern von Trallers Einstellungen keinen Zugriff mehr auf meine DD-WRT Web-GUI bzw. mit Putty auch nicht. Nmap zeigt, dass keine Ports offen sind. Die Gateway-Funktion läuft aber noch, ich kann noch im Internet surfen. Deshalb kann ich meine Konfig gerade nicht auslesen und hier reinstellen. Wenn ich später zu Hause bin, würde ich das dann noch nachträglich machen.

Ich möchte alle Leute, die ein vollstädnig funktionsfähiges OpenVPN auf ihrem DD-WRT zum laufen bekommen haben, dazu auffordern, einmal hier ihre Server-Config, ihre Clientconfig und ihre Firewallregeln zu posten. Natürlich auch in veränderter Form, um keine persönlichen Adressen etc. hier preiszugeben.

Ich bin es langsam Leid ständig irgendwelche Anleitungen, Forenbeiträge usw. durchzuarbeiten, ohne ein Erfolgserlebnis zu haben.

Es ist immer das Selbe: Clients werden ohne weiteres mit dem VPN-Server verbunden, jedoch haben die VPN-Clients keine Verbindung ins DD-WRT-LAN und keine Verbindung ins Internet.

Wenn Ihr der Meinung seid, es ist besser, wenn ich erstmal fürs Troubleshooting meine Configs hier poste, dann würde ich das heute abend versuchen. Ich muss erstmal wieder auf meinen Router kommen.

Ich hoffe wirklich, dass ihr Verständnis für meine Lage habt. Ich hänge jetzt schon seit fast 2 Wochen an dem Thema und komm nicht weiter.

Wie gesagt, wenn Ihr irgendwelche Daten braucht, oder etwas fehlt, dann fragt und ich werde es umgehend posten.

EDIT: Überall in den Anleitungen ist die Rede vom tun0-Adapter. Wenn ich meine ifconfig ausgegeben habe, dann war nur ein tun2 Adapter zu sehen, weshalb ich in mienen Regeln auch immer einen tun2-Adapter, statt tunß eingetragen habe. Ich bin mir zwar etwas unsicher, aber wenn man es logisch betrachtet, sollte es so funktionieren.

@traller: Du hast in diene Firewall-Regeln die Zeile von Administrator.de eingefügt: iptables -I INPUT 3 -i tun0 -j ACCEPT

Es verwirrt mich, dass hier auch ein tun0-Adapter un din allen anderen Zeilen tun2 hinterlegt wurde. Ist das einfach ein Fehler beim Copy-Pasten gewesen oder gehört das wirklich so?

Liebe Grüße

Nicke
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (19)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

Netzwerkmanagement
VPN Server über FritzBox oder über DD-WRT Router (1)

Frage von ValdoAddams zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
gelöst DD-WRT Zwei W-Lan Netzwerke (4)

Frage von schneerunzel zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...