aracarac
Goto Top

Open VPN Client zu Server Verbindung zwischen 2 WRT54GL Routern mit DD-WRT

Hallo,

Ich habe zwei WRT54GL Router mit DD-Wrt gepacht. Der eine Routeer soll als Server und der andere als Client dienen.

Der Server hat 185.168.1.0/24 als LAN
Der Client hat 172.32.10.0/24 als LAN

Nach dem ich beide starte bekommt der Server 10.8.1.1 als VPN IP.

Der Client stützt ab nach dem Start ab. Wenn ich die Push befehle rauskommentiere dann startet der Client ganz normal und erhält die VPN IP 10.8.1.6.

Beide WRT54GL Router habe ich an mein Router vom Anbieter per WAN an eine Fritzbox mit der Adressierung 192.172.1.0/24 angeschlossen.

Der Server hat die WAN IP 192.172.1.35
Der Client hat die WAN IP 192.172.1.36
Die WAN IPs sollten doch eigentlich keine Rolle spielen?

Die Server Config:

port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 10.8.1.0 255.255.255.0
client-config-dir /tmp/openvpn/ccd/client1
route 172.32.10.0 255.255.255.0
client-to-client
push "route 185.168.1.0 255.255.255.0"
push "route 172.32.10.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3


Was mach ich hier falsch? Ich möchte das beide Router und die daran angeschlossenen Geräte wie Computer, IPCams etc untereinander erreichbar sind.

Content-Key: 226339

Url: https://administrator.de/contentid/226339

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: 108012
108012 10.01.2014 aktualisiert um 17:52:39 Uhr
Goto Top
Hallo arac,

Beide WRT54GL Router habe ich an mein Router vom Anbieter per WAN an eine Fritzbox
mit der Adressierung 192.172.1.0/24 angeschlossen.
1. Möglichkeit:
Du hast beide DD-WRT Router an eine AVM Fritz!Box bei Dir zu Hause angeschlossen und nun
möchtest Du eine VPN Verbindung aufbauen, leider wird das wenn es sich so verhält nicht
funktionieren, denn zum einen sind die IP Adressen aus einem Klasse C Subnetz (CIDR) und die werden
nun einmal nicht durch das Internet geroutet und zum anderen ist dort auch kein Internet dazwischen
(zwischen den DD-WRT Routern) und ich wei ßjetzt auch nicht ob die Fritz!Box das VPN einfach durchreicht.

2. Möglichkeit
Du hast jeweils einen DD-WRT Router hinter jeweils einer AVM Fritz!Box und möchtest dann
ein VPN aufbauen, das könnte funktionieren, nur muss man dann aber auch an der Fritz!Box
die Ports und Protokolle weiterleiten die für das VPN notwendig sind, damit eben dieses VPN
Szenario auch an den DD-WRT Routern terminiert wird und nicht alles von der NAT Einstellung
der beiden Fritz!Boxen verworfen wird.

Die WAN IPs sollten doch eigentlich keine Rolle spielen?
Die können sehr wihl eine Rolle spielen denn wenn dies Klasse C (CIDR) IP Adressen sind,
werden eben diese nicht im oder bzw. durch das Internet geroutet. Und außerdem
müssen diese IP Adressen jeweils aus einem anderen Netzwerk stammen, sonst wird aus
der VPN nie etwas, egal ob nun lokal vor Ort oder durch das Internet!!!!

Beispiel:
192.168.5.0/24 --- VPN Verbindung --- 192.168.5.0/24 = das wird nichts mit dem VPN
192.168.5.0/24 --- VPN Verbindung --- 192.168.2.0/24 = das wird etwas mit dem VPN

Du siehst so einfach ist es nicht und einen Test macht man immer möglichst unter realen Bedingungen!!!
Das heißt nicht das es keine Testnetzwerke gibt, nur auch die haben oftmals einen Internetanschluss
um so etwas zu testen!!!

Gruß
Dobby
Mitglied: orcape
orcape 10.01.2014 um 20:28:42 Uhr
Goto Top
Hi,
den push route Befehl (push "route 172.32.10.0 255.255.255.0") in der Serverconfig solltest Du vergessen, dieser Befehl dient dem Erreichen des Server-LAN.
client-config-dir /tmp/openvpn/ccd/client1
..in die ccd gehört "iroute 172.32.10.0 255.255.255.0" um Dein remotes Netz zu erreichen.
Normalerweise müsste dann ein Tunnel-Netz mit 10.8.1.0/24 von OpenVPN-Server kreiert werden.
Gruß orcape
Mitglied: aracarac
aracarac 10.01.2014 aktualisiert um 22:13:02 Uhr
Goto Top
Hallo

Erstmals danke für die Hilfestellungen. Ich habe den client jetzt an einer anderen Internet Leitungen hinter einer Fritz Box. Habe bei beiden , zu hause und bei der anderen Fritz Box den Port 1194 freigegeben.

Der Server bekommt die Vpn ip 10.8.1.1 zugewiesen und der client 10.8.1.6 wie vorher.

Vom Server aus kann ich noch weder den client anpingen geschweige denn den Rechner der dahinter steckt.
Vom Client aus kann ich jedoch den Server anpingen jedoch auch nicht den Rechner der dahinter steckt.

Den push Befehl habe ich auch auskommentiert wie orcape vorgeschlagen hat. iroute habe ich auch schon eingetragen.


HILFEEEE. Ich werde noch verrückt
Mitglied: 108012
108012 10.01.2014 um 23:22:45 Uhr
Goto Top
HILFEEEE. Ich werde noch verrückt
Nochmal, ganz langsam zum mit meißeln für alle hier!

So wie ich das lese und auch verstehe hat der TO zwei DD-WRT Router an ein und der selben
Fritz!Box angeschlossen und zwar an den LAN Ports der Fritz!Box und beide WAN Ports der DD-WRT
Router bekommen von dem LAN der Fritz!Box ihre WAN IP Adresse, das heißt aus ein und dem selben
LAN, was hinten und vorne nicht funktionieren kann!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Gruß
Dobby
Mitglied: aracarac
aracarac 11.01.2014 um 01:19:22 Uhr
Goto Top
Hallo

Erstens hängen die beiden nicht mehr an einer fritzbox sondern an zwei verschiedenen Örtlichkeiten mit an zwei verschiedenen ffritzboxen. Und zweitens vergibt die fritzbox automatisch die wan ip aus dem netz 192.168.178.0/24. Wenn ich dem wan eine andere statische ip gebe dann verliert er doch die internetanbindung. Ich fänd es hilfreicher zu erklären wie es klappt.

Also nochmal. Hilfeeee
Mitglied: 108012
108012 11.01.2014 um 02:02:29 Uhr
Goto Top
Zitat von @aracarac:

Hallo

Erstens hängen die beiden nicht mehr an einer fritzbox sondern an zwei verschiedenen
Örtlichkeiten mit an zwei verschiedenen ffritzboxen.
So das ist schon mal gut zu wissen! Das ging nämlich so aus Deinem Beitrag nicht hervor
und ist dennoch richtig wichtig zu wissen!!!

Und zweitens vergibt die fritzbox automatisch die wan ip aus dem netz 192.168.178.0/24.
Das würde ich dann mal lieber in der Fritz!Box als statische IP also feste oder auch fixe IP
Adresse genannt eintragen und zum Anderen würde ich mir auch überlegen ob ich die IP
Adressen nicht an die erkannten MAC Adressen der WAN Ports der DD-WRT Router
dahinter "binden" wollen würde! Noch etwas ist mir aufgefallen, ich habe auch eine
Routerkaskade so wie Du nur ich terminiere die VPN zum Einen am ersten Router
und zum Anderen schalte ich am ersten Router DHCP ab, das läuft nur am zweiten
Server bei mir.

Wenn ich dem wan eine andere statische ip gebe dann verliert er doch die internetanbindung.
Damit war das WAN Interface vom DD-WRT Router dahinter gemeint und nicht die Fritz!Box!

Ich fänd es hilfreicher zu erklären wie es klappt.
Nur die Tür klappt, funktionieren soll es!

Und noch einmal wenn man zwischen zwei Netzwerken eine VPN Verbindung aufbaut,
dann müssen beide Netzwerke einen unterschiedlichen IP Adressbereich haben!

Der Server hat die WAN IP 192.172.1.35
Der Client hat die WAN IP 192.172.1.36
Zwischen diesen beiden Netzwerken, auch wenn sie jeweils hinter einem Router (Fitz!Box) liegen
wird niemals eine funktionierende VPN Verbindung erstellt werden können, das kam weiter oben
wohl nicht ganz so rüber, das dass bei beiden genannten Möglichkeiten so sein muss!

Das hier funktioniert nicht
Der Server hat die WAN IP 192.172.1.35
Der Client hat die WAN IP 192.172.1.36

Das hier wiederum sollte funktionieren!
Der Server hat die WAN IP 192.172.1.35
Der Client hat die WAN IP 192.172.5.36

Ebenso wie bei den beiden Fritz!Boxen die vor den DD-WRT Routern stehen
sollten andere IP Adressbereiche eingetragen werden, sollte zwar schon
eben deutlich geworden sein, aber hier noch einmal explizit.

AVM Fritz!Box 1: 192.172.1.0/24
AVM Fritz!Box 2: 192.172.5.0/24

Also nochmal. Hilfeeee
Das bringt rein gar nichts!

In der Zeit die Du hier um Hilfe rufst, hätte ich schon längst die Suchfunktion
hier im Forum bemüht, denn das was Du vorhast wird hier ein bis zweimal im
Monat nachgefragt und ist somit in mindestens 50 verschiedenen Versionen
respektive Konstellationen hier im Forum hinterlegt.

Normaler weise terminiert man das VPN vorne an dem ersten Router also der Fritz!Box
dahinter steht dann alles was via VPN und aus dem örtlichen LAN erreicht werden soll.

Wenn man schon eine VPN Verbindung zwischen zwei Routerkaskaden aufsetzt
und dann sogar hinter den zweiten Router mit dieser Verbindung möchte, dann
empfiehlt sich in der Regel an dem zweiten Router (DD-WRT) einfach das NAT
abzustellen und die VPN Verbindung zwischen den beiden Fritz!Boxen aufzubauen!

//Das ist dann wenigstens sicher, funktioniert auch und ist auch einfacher umzusetzen
nur wollen das die wenigsten eben einfach nicht verstehen weil sie eben eine fixe Idee
haben und die muss nun auf biegen und brechen umgesetzt werden, egal ob sinnvoll
oder nicht und wenn man das hier im Forum so um die 50 Mal mitverfolgt, ist man es
auch irgend wann leid immer wieder das selbe herunter zu leiern.

Benutze die Suchfunktion und Du bist schneller am Ziel.
Ich klinke mich an dieser Stelle dann mal aus.

Viel Erfolg und Glück
Gruß und schönes WE
Dobby
Mitglied: aracarac
aracarac 11.01.2014 um 09:59:55 Uhr
Goto Top
Hallo

Ich hatte zuletzt mal ein Projekt wo ich mir von einer voreingestellte wrt54gl router angemietet hatte. Es waren ca. 20 Standorte. Ich konnte die wrt54 router hinter jeder fritzbox oder telekom router schalten. Ich hatte sofort eine vpn Verbindung und war mit allen Standorten vernetz. Warum musste man den nicht dort irgendwelche port am internet router weiterleiten. Ich musste nie an die Router der Internet Anbieter dran. Ich musste nur die wrt router anschliessen. Und alles hat funktioniert. Warum muss ich hier bei den fritzboxen jetzt den wan Bereich ändern.
Mitglied: orcape
orcape 11.01.2014 aktualisiert um 13:05:26 Uhr
Goto Top
Ich musste nie an die Router der Internet Anbieter dran. Ich musste nur die wrt router
anschliessen. Und alles hat funktioniert.
sorry, aber die Glaskugel hat noch nie etwas gebracht.
Wenn Du selbst nicht mehr weist wie das funktioniert hat, dann kann das hier auch keiner wissen.
Vielleicht waren die angeblichen Router auch nur als Modem unterwegs ? Aber wir lassen das mal, kann eh keiner mehr nachvollziehen.
Der Tunnel steht erst mal, zwar mit ip 10.8.1.1 (Server) ip 10.8.1.6 (Client), was Probleme mit dem Zugriff auf´s Client LAN bringt, das sei aber erst mal dahingestellt.
Vom Server aus kann ich noch weder den client anpingen
welche IP ? 10.8.1.6 ?
Mitglied: aracarac
aracarac 11.01.2014 um 13:12:44 Uhr
Goto Top
Ja genau. Die 10.8.1.6 . Wenn ich am rechner bin der am client hängt dann kann ich den wrt router mit 10.8.1.6 anpingen.
Mitglied: orcape
orcape 11.01.2014 aktualisiert um 13:29:32 Uhr
Goto Top
Also lässt sich das Tunnelende beidseitig pingen.
Hast Du sshd Clientseitig aktiviert und mal den Versuch gemacht, per ssh auf dem Clientrouter zu kommen?
Mitglied: aracarac
aracarac 11.01.2014 um 13:31:03 Uhr
Goto Top
Ja hab ich. Das klappt auch
Mitglied: orcape
orcape 11.01.2014 um 13:34:59 Uhr
Goto Top
Dann funktioniert auch die ssh Verbindung von da aus ins remote Netz ?
Mitglied: aracarac
aracarac 11.01.2014 um 13:41:12 Uhr
Goto Top
Ich kann mich mit putty per ssh oder telnet einloggen und die vpn ips vom server aus nur die eigene ip 10.8.1.1 anpingen und vom client aus die ip des servers 10.8.1.1 und die ip des clienten 10.8.1.6 anpingen.
Mitglied: orcape
orcape 11.01.2014 um 13:57:55 Uhr
Goto Top
Sorry, ich habe von sshd gesprochen. Du solltest sshd auf Deinem Clientrouter aktivieren.
Wenn Du 10.8.1.6 pingen kannst, sollte auch ein einloggen auf dem Router per ssh klappen.
Von da könntest Du Dich dann ebenfalls per ssh, auf einen Client im remoten LAN verbinden.
Vorrausgesetzt dort läuft ssh.
Mitglied: aracarac
aracarac 11.01.2014 um 15:22:00 Uhr
Goto Top
Hab ich ja. Ich kann mich ja auch auf die router einloggen. Aber am problem ändert es gar nichts.
Mitglied: aqui
aqui 11.01.2014 um 16:17:47 Uhr
Goto Top
Was sagt ein netstat -r auf diesen Routern ? Kannst du dort remote Netze und lokale Netze sehen ?
Mitglied: aracarac
aracarac 11.01.2014 um 21:07:48 Uhr
Goto Top
Das hier ist netstat vom Server Router:

root@DD-WRT:~# netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
10.8.1.2 * 255.255.255.255 UH 0 0 0 tun0
172.32.10.0 10.8.1.2 255.255.255.0 UG 0 0 0 tun0
192.168.178.0 * 255.255.255.0 U 0 0 0 vlan1
185.168.1.0 * 255.255.255.0 U 0 0 0 br0
10.8.1.0 10.8.1.2 255.255.255.0 UG 0 0 0 tun0
169.254.0.0 * 255.255.0.0 U 0 0 0 br0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default fritz.box 0.0.0.0 UG 0 0 0 vlan1
Mitglied: aqui
aqui 12.01.2014 aktualisiert um 17:46:10 Uhr
Goto Top
Sieht ja erstmal sehr gut aus ! Wo ist denn jetzt genau noch dein Problem ??
Das Tutorial dazu (besonders den Abschnitt zum Troubleshooting !) hast du aufmerksam gelesen ??
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Mitglied: aracarac
aracarac 12.01.2014 um 19:08:56 Uhr
Goto Top
Das Problem ist das ich den client vom server aus nicht anpingen kann. Und auch das dahinterstehende Netzwerk nicht.
Mitglied: orcape
orcape 12.01.2014 um 19:30:19 Uhr
Goto Top
Hi,
..meine Frage....
Also lässt sich das Tunnelende beidseitig pingen.
Hast Du sshd Clientseitig aktiviert und mal den Versuch gemacht, per ssh auf dem Clientrouter > zu kommen?
Antwort von aracarac.....
Ja hab ich. Das klappt auch
Ja was nun ?
Wieso dann auf einmal....
Das Problem ist das ich den client vom server aus nicht anpingen kann.
Es gibt hier 2. Möglichkeiten und wieder, Sorry, wenn ich Dir das sagen muss...
- Du bist nicht in der Lage so ein Vorhaben umzusetzen.
- Dir gefällt das posten hier im Forum, und willst gar nicht zum Ziel kommen.
Wenn Du Dir Aqui´s Tutorial zu dem Thema mal genau durchgelesen hättest und das nach dem lesen auch begriffen hättest, wären die beiden Threads über das gleiche Thema gegenstandslos.
Sorry, ich bin raus hier.
Gruß orcape
Mitglied: aracarac
aracarac 12.01.2014 um 21:25:30 Uhr
Goto Top
Hallo,

Falls du dich erinnerst hatte ich geschrieben...

"Ich kann mich mit putty per ssh oder telnet einloggen und die vpn ips vom server aus nur die eigene ip 10.8.1.1 anpingen und vom client aus die ip des servers 10.8.1.1 und die ip des clienten 10.8.1.6 anpingen."

Meine Absicht ist es bestimmt nicht unnötig hier rumzuschreiben. Ich werde aber erstmal jetzt mich länger mit den Thema beschäftigen und dann ein neues Thema eröffnen wo ich all meine Fragen und Szenarier detaillierter darstellen werden und hoffe dann an Ziel zu kommen. Ich mus zum Ziel kommen. Mir wärs natürlich am liebsten wenn das jemand als Job für mich übernimmt und mir das später erklärt und es zum laufen bringt.

MFG
Mitglied: aracarac
aracarac 12.01.2014 um 21:27:09 Uhr
Goto Top
Trotzdem nochmals vielen lieben Dank für den bisherigen Support. Auf jeden Fall ist dieses Forum einfach nur super. Und einige Mitglieder hier sind echt super uptodate. !!
Mitglied: aqui
aqui 14.01.2014 aktualisiert um 12:52:58 Uhr
Goto Top
"Ich kann mich mit putty per ssh oder telnet einloggen und die vpn ips vom server aus nur die eigene ip 10.8.1.1 anpingen und vom client aus die ip des servers 10.8.1.1 und die ip des clienten 10.8.1.6 anpingen."
Das zeigt ja das generell dein VPN sauber funktioniert, denn das sind alles IP Adressen im internen OVPN IP Netzwerk.
Was dir schlicht und einfach fehlt sind die statischen Routen auf dem Server in die lokalen LAN Netze hinter den VPN Clients. Die hast du vermutlich gar nicht oder nicht richtig eingetragen ?! Die server.conf und die client.conf Datei wären hier hilfreich.
Ein Blick in die Routing Tabelle der einzelnen Komponenten die diese Netze routen zeigt dir ja ob diese Netze dort bekannt sind.
Traceroute oder Pathping zeigt dir ob die richtigen Hops dazu benutzt werden.
Wichtig ist immer die lokale Firewall der Clients und auch des Servers. Beachte das du nun von fremden IP Netzen bzw. von fremden Absender IPs auf diese Geräte zugreifst !!
Normalerweise blockiert z.B. die lokale Windows Firewall ALLE solche Zugriffe wenn du die Firewall nicht anpasst. Auch das ist ein typischer Fehler der bei VPN Betrieb hier oft gemacht wird.
An den beiden Stellen musst du verstärkt suchen, denn das ist zu 98% deine Fehlerquelle ! Dein VPN selber kann es nicht mehr sein, denn das funktioniert laut deinen Schilderungen von oben ja fehlerfrei, sonst könntest du schon gar nicht auf die internen 10.8.1er IPs zugreifen !