Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Open VPN Client zu Server Verbindung zwischen 2 WRT54GL Routern mit DD-WRT

Frage Netzwerke Router & Routing

Mitglied: aracarac

aracarac (Level 1) - Jetzt verbinden

10.01.2014 um 16:29 Uhr, 2196 Aufrufe, 23 Kommentare

Hallo,

Ich habe zwei WRT54GL Router mit DD-Wrt gepacht. Der eine Routeer soll als Server und der andere als Client dienen.

Der Server hat 185.168.1.0/24 als LAN
Der Client hat 172.32.10.0/24 als LAN

Nach dem ich beide starte bekommt der Server 10.8.1.1 als VPN IP.

Der Client stützt ab nach dem Start ab. Wenn ich die Push befehle rauskommentiere dann startet der Client ganz normal und erhält die VPN IP 10.8.1.6.

Beide WRT54GL Router habe ich an mein Router vom Anbieter per WAN an eine Fritzbox mit der Adressierung 192.172.1.0/24 angeschlossen.

Der Server hat die WAN IP 192.172.1.35
Der Client hat die WAN IP 192.172.1.36
Die WAN IPs sollten doch eigentlich keine Rolle spielen?

Die Server Config:

port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 10.8.1.0 255.255.255.0
client-config-dir /tmp/openvpn/ccd/client1
route 172.32.10.0 255.255.255.0
client-to-client
push "route 185.168.1.0 255.255.255.0"
push "route 172.32.10.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3


Was mach ich hier falsch? Ich möchte das beide Router und die daran angeschlossenen Geräte wie Computer, IPCams etc untereinander erreichbar sind.

Mitglied: Dobby
10.01.2014, aktualisiert um 17:52 Uhr
Hallo arac,

Beide WRT54GL Router habe ich an mein Router vom Anbieter per WAN an eine Fritzbox
mit der Adressierung 192.172.1.0/24 angeschlossen.
1. Möglichkeit:
Du hast beide DD-WRT Router an eine AVM Fritz!Box bei Dir zu Hause angeschlossen und nun
möchtest Du eine VPN Verbindung aufbauen, leider wird das wenn es sich so verhält nicht
funktionieren, denn zum einen sind die IP Adressen aus einem Klasse C Subnetz (CIDR) und die werden
nun einmal nicht durch das Internet geroutet und zum anderen ist dort auch kein Internet dazwischen
(zwischen den DD-WRT Routern) und ich wei ßjetzt auch nicht ob die Fritz!Box das VPN einfach durchreicht.

2. Möglichkeit
Du hast jeweils einen DD-WRT Router hinter jeweils einer AVM Fritz!Box und möchtest dann
ein VPN aufbauen, das könnte funktionieren, nur muss man dann aber auch an der Fritz!Box
die Ports und Protokolle weiterleiten die für das VPN notwendig sind, damit eben dieses VPN
Szenario auch an den DD-WRT Routern terminiert wird und nicht alles von der NAT Einstellung
der beiden Fritz!Boxen verworfen wird.

Die WAN IPs sollten doch eigentlich keine Rolle spielen?
Die können sehr wihl eine Rolle spielen denn wenn dies Klasse C (CIDR) IP Adressen sind,
werden eben diese nicht im oder bzw. durch das Internet geroutet. Und außerdem
müssen diese IP Adressen jeweils aus einem anderen Netzwerk stammen, sonst wird aus
der VPN nie etwas, egal ob nun lokal vor Ort oder durch das Internet!!!!

Beispiel:
192.168.5.0/24 --- VPN Verbindung --- 192.168.5.0/24 = das wird nichts mit dem VPN
192.168.5.0/24 --- VPN Verbindung --- 192.168.2.0/24 = das wird etwas mit dem VPN

Du siehst so einfach ist es nicht und einen Test macht man immer möglichst unter realen Bedingungen!!!
Das heißt nicht das es keine Testnetzwerke gibt, nur auch die haben oftmals einen Internetanschluss
um so etwas zu testen!!!

Gruß
Dobby
Bitte warten ..
Mitglied: orcape
10.01.2014 um 20:28 Uhr
Hi,
den push route Befehl (push "route 172.32.10.0 255.255.255.0") in der Serverconfig solltest Du vergessen, dieser Befehl dient dem Erreichen des Server-LAN.
client-config-dir /tmp/openvpn/ccd/client1
..in die ccd gehört "iroute 172.32.10.0 255.255.255.0" um Dein remotes Netz zu erreichen.
Normalerweise müsste dann ein Tunnel-Netz mit 10.8.1.0/24 von OpenVPN-Server kreiert werden.
Gruß orcape
Bitte warten ..
Mitglied: aracarac
10.01.2014, aktualisiert um 22:13 Uhr
Hallo

Erstmals danke für die Hilfestellungen. Ich habe den client jetzt an einer anderen Internet Leitungen hinter einer Fritz Box. Habe bei beiden , zu hause und bei der anderen Fritz Box den Port 1194 freigegeben.

Der Server bekommt die Vpn ip 10.8.1.1 zugewiesen und der client 10.8.1.6 wie vorher.

Vom Server aus kann ich noch weder den client anpingen geschweige denn den Rechner der dahinter steckt.
Vom Client aus kann ich jedoch den Server anpingen jedoch auch nicht den Rechner der dahinter steckt.

Den push Befehl habe ich auch auskommentiert wie orcape vorgeschlagen hat. iroute habe ich auch schon eingetragen.


HILFEEEE. Ich werde noch verrückt
Bitte warten ..
Mitglied: Dobby
10.01.2014 um 23:22 Uhr
HILFEEEE. Ich werde noch verrückt
Nochmal, ganz langsam zum mit meißeln für alle hier!

So wie ich das lese und auch verstehe hat der TO zwei DD-WRT Router an ein und der selben
Fritz!Box angeschlossen und zwar an den LAN Ports der Fritz!Box und beide WAN Ports der DD-WRT
Router bekommen von dem LAN der Fritz!Box ihre WAN IP Adresse, das heißt aus ein und dem selben
LAN, was hinten und vorne nicht funktionieren kann!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Gruß
Dobby
Bitte warten ..
Mitglied: aracarac
11.01.2014 um 01:19 Uhr
Hallo

Erstens hängen die beiden nicht mehr an einer fritzbox sondern an zwei verschiedenen Örtlichkeiten mit an zwei verschiedenen ffritzboxen. Und zweitens vergibt die fritzbox automatisch die wan ip aus dem netz 192.168.178.0/24. Wenn ich dem wan eine andere statische ip gebe dann verliert er doch die internetanbindung. Ich fänd es hilfreicher zu erklären wie es klappt.

Also nochmal. Hilfeeee
Bitte warten ..
Mitglied: Dobby
11.01.2014 um 02:02 Uhr
Zitat von aracarac:

Hallo

Erstens hängen die beiden nicht mehr an einer fritzbox sondern an zwei verschiedenen
Örtlichkeiten mit an zwei verschiedenen ffritzboxen.
So das ist schon mal gut zu wissen! Das ging nämlich so aus Deinem Beitrag nicht hervor
und ist dennoch richtig wichtig zu wissen!!!

Und zweitens vergibt die fritzbox automatisch die wan ip aus dem netz 192.168.178.0/24.
Das würde ich dann mal lieber in der Fritz!Box als statische IP also feste oder auch fixe IP
Adresse genannt eintragen und zum Anderen würde ich mir auch überlegen ob ich die IP
Adressen nicht an die erkannten MAC Adressen der WAN Ports der DD-WRT Router
dahinter "binden" wollen würde! Noch etwas ist mir aufgefallen, ich habe auch eine
Routerkaskade so wie Du nur ich terminiere die VPN zum Einen am ersten Router
und zum Anderen schalte ich am ersten Router DHCP ab, das läuft nur am zweiten
Server bei mir.

Wenn ich dem wan eine andere statische ip gebe dann verliert er doch die internetanbindung.
Damit war das WAN Interface vom DD-WRT Router dahinter gemeint und nicht die Fritz!Box!

Ich fänd es hilfreicher zu erklären wie es klappt.
Nur die Tür klappt, funktionieren soll es!

Und noch einmal wenn man zwischen zwei Netzwerken eine VPN Verbindung aufbaut,
dann müssen beide Netzwerke einen unterschiedlichen IP Adressbereich haben!

Der Server hat die WAN IP 192.172.1.35
Der Client hat die WAN IP 192.172.1.36
Zwischen diesen beiden Netzwerken, auch wenn sie jeweils hinter einem Router (Fitz!Box) liegen
wird niemals eine funktionierende VPN Verbindung erstellt werden können, das kam weiter oben
wohl nicht ganz so rüber, das dass bei beiden genannten Möglichkeiten so sein muss!

Das hier funktioniert nicht
Der Server hat die WAN IP 192.172.1.35
Der Client hat die WAN IP 192.172.1.36

Das hier wiederum sollte funktionieren!
Der Server hat die WAN IP 192.172.1.35
Der Client hat die WAN IP 192.172.5.36

Ebenso wie bei den beiden Fritz!Boxen die vor den DD-WRT Routern stehen
sollten andere IP Adressbereiche eingetragen werden, sollte zwar schon
eben deutlich geworden sein, aber hier noch einmal explizit.

AVM Fritz!Box 1: 192.172.1.0/24
AVM Fritz!Box 2: 192.172.5.0/24

Also nochmal. Hilfeeee
Das bringt rein gar nichts!

In der Zeit die Du hier um Hilfe rufst, hätte ich schon längst die Suchfunktion
hier im Forum bemüht, denn das was Du vorhast wird hier ein bis zweimal im
Monat nachgefragt und ist somit in mindestens 50 verschiedenen Versionen
respektive Konstellationen hier im Forum hinterlegt.

Normaler weise terminiert man das VPN vorne an dem ersten Router also der Fritz!Box
dahinter steht dann alles was via VPN und aus dem örtlichen LAN erreicht werden soll.

Wenn man schon eine VPN Verbindung zwischen zwei Routerkaskaden aufsetzt
und dann sogar hinter den zweiten Router mit dieser Verbindung möchte, dann
empfiehlt sich in der Regel an dem zweiten Router (DD-WRT) einfach das NAT
abzustellen und die VPN Verbindung zwischen den beiden Fritz!Boxen aufzubauen!

//Das ist dann wenigstens sicher, funktioniert auch und ist auch einfacher umzusetzen
nur wollen das die wenigsten eben einfach nicht verstehen weil sie eben eine fixe Idee
haben und die muss nun auf biegen und brechen umgesetzt werden, egal ob sinnvoll
oder nicht und wenn man das hier im Forum so um die 50 Mal mitverfolgt, ist man es
auch irgend wann leid immer wieder das selbe herunter zu leiern.

Benutze die Suchfunktion und Du bist schneller am Ziel.
Ich klinke mich an dieser Stelle dann mal aus.

Viel Erfolg und Glück
Gruß und schönes WE
Dobby
Bitte warten ..
Mitglied: aracarac
11.01.2014 um 09:59 Uhr
Hallo

Ich hatte zuletzt mal ein Projekt wo ich mir von einer voreingestellte wrt54gl router angemietet hatte. Es waren ca. 20 Standorte. Ich konnte die wrt54 router hinter jeder fritzbox oder telekom router schalten. Ich hatte sofort eine vpn Verbindung und war mit allen Standorten vernetz. Warum musste man den nicht dort irgendwelche port am internet router weiterleiten. Ich musste nie an die Router der Internet Anbieter dran. Ich musste nur die wrt router anschliessen. Und alles hat funktioniert. Warum muss ich hier bei den fritzboxen jetzt den wan Bereich ändern.
Bitte warten ..
Mitglied: orcape
11.01.2014, aktualisiert um 13:05 Uhr
Ich musste nie an die Router der Internet Anbieter dran. Ich musste nur die wrt router
anschliessen. Und alles hat funktioniert.
....sorry, aber die Glaskugel hat noch nie etwas gebracht.
Wenn Du selbst nicht mehr weist wie das funktioniert hat, dann kann das hier auch keiner wissen.
Vielleicht waren die angeblichen Router auch nur als Modem unterwegs ? Aber wir lassen das mal, kann eh keiner mehr nachvollziehen.
Der Tunnel steht erst mal, zwar mit ip 10.8.1.1 (Server) ip 10.8.1.6 (Client), was Probleme mit dem Zugriff auf´s Client LAN bringt, das sei aber erst mal dahingestellt.
Vom Server aus kann ich noch weder den client anpingen
....welche IP ? 10.8.1.6 ?
Bitte warten ..
Mitglied: aracarac
11.01.2014 um 13:12 Uhr
Ja genau. Die 10.8.1.6 . Wenn ich am rechner bin der am client hängt dann kann ich den wrt router mit 10.8.1.6 anpingen.
Bitte warten ..
Mitglied: orcape
11.01.2014, aktualisiert um 13:29 Uhr
Also lässt sich das Tunnelende beidseitig pingen.
Hast Du sshd Clientseitig aktiviert und mal den Versuch gemacht, per ssh auf dem Clientrouter zu kommen?
Bitte warten ..
Mitglied: aracarac
11.01.2014 um 13:31 Uhr
Ja hab ich. Das klappt auch
Bitte warten ..
Mitglied: orcape
11.01.2014 um 13:34 Uhr
Dann funktioniert auch die ssh Verbindung von da aus ins remote Netz ?
Bitte warten ..
Mitglied: aracarac
11.01.2014 um 13:41 Uhr
Ich kann mich mit putty per ssh oder telnet einloggen und die vpn ips vom server aus nur die eigene ip 10.8.1.1 anpingen und vom client aus die ip des servers 10.8.1.1 und die ip des clienten 10.8.1.6 anpingen.
Bitte warten ..
Mitglied: orcape
11.01.2014 um 13:57 Uhr
Sorry, ich habe von sshd gesprochen. Du solltest sshd auf Deinem Clientrouter aktivieren.
Wenn Du 10.8.1.6 pingen kannst, sollte auch ein einloggen auf dem Router per ssh klappen.
Von da könntest Du Dich dann ebenfalls per ssh, auf einen Client im remoten LAN verbinden.
Vorrausgesetzt dort läuft ssh.
Bitte warten ..
Mitglied: aracarac
11.01.2014 um 15:22 Uhr
Hab ich ja. Ich kann mich ja auch auf die router einloggen. Aber am problem ändert es gar nichts.
Bitte warten ..
Mitglied: aqui
11.01.2014 um 16:17 Uhr
Was sagt ein netstat -r auf diesen Routern ? Kannst du dort remote Netze und lokale Netze sehen ?
Bitte warten ..
Mitglied: aracarac
11.01.2014 um 21:07 Uhr
Das hier ist netstat vom Server Router:

root@DD-WRT:~# netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
10.8.1.2 * 255.255.255.255 UH 0 0 0 tun0
172.32.10.0 10.8.1.2 255.255.255.0 UG 0 0 0 tun0
192.168.178.0 * 255.255.255.0 U 0 0 0 vlan1
185.168.1.0 * 255.255.255.0 U 0 0 0 br0
10.8.1.0 10.8.1.2 255.255.255.0 UG 0 0 0 tun0
169.254.0.0 * 255.255.0.0 U 0 0 0 br0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default fritz.box 0.0.0.0 UG 0 0 0 vlan1
Bitte warten ..
Mitglied: aqui
12.01.2014, aktualisiert um 17:46 Uhr
Sieht ja erstmal sehr gut aus ! Wo ist denn jetzt genau noch dein Problem ??
Das Tutorial dazu (besonders den Abschnitt zum Troubleshooting !) hast du aufmerksam gelesen ??
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: aracarac
12.01.2014 um 19:08 Uhr
Das Problem ist das ich den client vom server aus nicht anpingen kann. Und auch das dahinterstehende Netzwerk nicht.
Bitte warten ..
Mitglied: orcape
12.01.2014 um 19:30 Uhr
Hi,
..meine Frage....
Also lässt sich das Tunnelende beidseitig pingen.
Hast Du sshd Clientseitig aktiviert und mal den Versuch gemacht, per ssh auf dem Clientrouter > zu kommen?
....Antwort von aracarac.....
Ja hab ich. Das klappt auch
Ja was nun ?
Wieso dann auf einmal....
Das Problem ist das ich den client vom server aus nicht anpingen kann.
Es gibt hier 2. Möglichkeiten und wieder, Sorry, wenn ich Dir das sagen muss...
- Du bist nicht in der Lage so ein Vorhaben umzusetzen.
- Dir gefällt das posten hier im Forum, und willst gar nicht zum Ziel kommen.
Wenn Du Dir Aqui´s Tutorial zu dem Thema mal genau durchgelesen hättest und das nach dem lesen auch begriffen hättest, wären die beiden Threads über das gleiche Thema gegenstandslos.
Sorry, ich bin raus hier.
Gruß orcape
Bitte warten ..
Mitglied: aracarac
12.01.2014 um 21:25 Uhr
Hallo,

Falls du dich erinnerst hatte ich geschrieben...

"Ich kann mich mit putty per ssh oder telnet einloggen und die vpn ips vom server aus nur die eigene ip 10.8.1.1 anpingen und vom client aus die ip des servers 10.8.1.1 und die ip des clienten 10.8.1.6 anpingen."

Meine Absicht ist es bestimmt nicht unnötig hier rumzuschreiben. Ich werde aber erstmal jetzt mich länger mit den Thema beschäftigen und dann ein neues Thema eröffnen wo ich all meine Fragen und Szenarier detaillierter darstellen werden und hoffe dann an Ziel zu kommen. Ich mus zum Ziel kommen. Mir wärs natürlich am liebsten wenn das jemand als Job für mich übernimmt und mir das später erklärt und es zum laufen bringt.

MFG
Bitte warten ..
Mitglied: aracarac
12.01.2014 um 21:27 Uhr
Trotzdem nochmals vielen lieben Dank für den bisherigen Support. Auf jeden Fall ist dieses Forum einfach nur super. Und einige Mitglieder hier sind echt super uptodate. !!
Bitte warten ..
Mitglied: aqui
14.01.2014, aktualisiert um 12:52 Uhr
"Ich kann mich mit putty per ssh oder telnet einloggen und die vpn ips vom server aus nur die eigene ip 10.8.1.1 anpingen und vom client aus die ip des servers 10.8.1.1 und die ip des clienten 10.8.1.6 anpingen."
Das zeigt ja das generell dein VPN sauber funktioniert, denn das sind alles IP Adressen im internen OVPN IP Netzwerk.
Was dir schlicht und einfach fehlt sind die statischen Routen auf dem Server in die lokalen LAN Netze hinter den VPN Clients. Die hast du vermutlich gar nicht oder nicht richtig eingetragen ?! Die server.conf und die client.conf Datei wären hier hilfreich.
Ein Blick in die Routing Tabelle der einzelnen Komponenten die diese Netze routen zeigt dir ja ob diese Netze dort bekannt sind.
Traceroute oder Pathping zeigt dir ob die richtigen Hops dazu benutzt werden.
Wichtig ist immer die lokale Firewall der Clients und auch des Servers. Beachte das du nun von fremden IP Netzen bzw. von fremden Absender IPs auf diese Geräte zugreifst !!
Normalerweise blockiert z.B. die lokale Windows Firewall ALLE solche Zugriffe wenn du die Firewall nicht anpasst. Auch das ist ein typischer Fehler der bei VPN Betrieb hier oft gemacht wird.
An den beiden Stellen musst du verstärkt suchen, denn das ist zu 98% deine Fehlerquelle ! Dein VPN selber kann es nicht mehr sein, denn das funktioniert laut deinen Schilderungen von oben ja fehlerfrei, sonst könntest du schon gar nicht auf die internen 10.8.1er IPs zugreifen !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst Bekomme keine Verbindung zwischen zwei Bintec Routern hin (7)

Frage von DJBreezer zum Thema Router & Routing ...

Router & Routing
OpenWRT als Open VPN Server im Heimnetz verwenden? (36)

Frage von Mr.Heisenberg zum Thema Router & Routing ...

LAN, WAN, Wireless
Script bei starten einer VPN Verbindung mit Checkpoint-VPN Client (2)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...