Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Open-VPN zwischen pfSense-Server und DD-WRT-Client

Frage Linux Linux Netzwerk

Mitglied: orcape

orcape (Level 2) - Jetzt verbinden

22.01.2012, aktualisiert 18.10.2012, 7581 Aufrufe, 12 Kommentare, 1 Danke

Hi Profi´s,

nachdem ich mit Hilfe von Aqui´s Tutorial erfolgreich ein Alix 2D13 zum pfSense WLAN-Router mit DMZ und VPN-Funktion "umfunktioniert" habe, bin ich jetzt dabei eine Open-VPN-Verbindung zu einem Linksys WRT54GL mit DD-WRT als VPN-Client aufzubauen.
Die Zertifikats- und Keyerstellung erfolgte mit pfSense vor der Einrichtung des Open-VPN-Servers.
Zertifikate und Key habe ich per copie and paste in den DD-WRT-GUI verfrachtet.
Leider funktioniert das Ganze nicht so wie geplant. Mit den zu kopierenden Zertifikate bzw. Key´s bin ich mir nicht so richtig sicher.
Das wird wahrscheinlich auch die Ursache sein, Änderungen brachten leider keinen Erfolg.
Hier mal die Open-VPN-Log´s....
1634c07f7e0af713bd5074462aa8f3d9 - Klicke auf das Bild, um es zu vergrößern

Leider ist der WRT54GL einige Kilometer weg und ich habe nicht die Möglichkeit das ganze erst mal ohne Internet zu testen.
Sorry, ein kleiner Nachtrag zur Fehlereingrenzung....

client
dev tun
proto udp
remote xxxxxxx.dyndns-xxxx.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
tun-mtu 1492
tun-mtu-extra 32
mssfix 1450
ca /tmp/openvpncl/ca.crt
cert /tmp/openvpncl/client.crt
ns-cert-type server
key /tmp/openvpncl/client.key
comp-lzo

....die dd-wrt openvpn.conf des Clients.

Gruß orcape
Mitglied: aqui
23.01.2012 um 12:49 Uhr
Sehr wichtig wäre das OpenVPN Log zu sehen auf dem pfSense wenn sich der Client (dd-wrt) einwählt. Oder auch das OpenVPN Client Log auf dem dd-wrt Router wenn du dort einen SSH Zugang hast ! Ggf. dort erstmal den OpenVPN Tunnel manuell starten wie im Tutorial beschrieben ! Anhand dessen Outputs siehst du dann auch sofort was los ist !
Dort kannst du immer sofort sehen wo es kneift. Dein Screenshot oben ist wenig hilfreich, denn er zeigt nur das der OpenVPN Server sauber gestartet ist auf dem pfSense.
Nur mal dumm nachgefragt:
Am pfSense hast du am WAN Port den Zugriff in den Firewall Regeln für UDP 1194 generell von überall erlaubt ??
Ansonsten wird das geblockt und keine OpenVPN Pakete kommen da jemals an...
Hast du vor der pfSense ein Modem oder ein Router. Bei Router dann ggf. die RFC 1918 Globalregel entfernen !
Bitte warten ..
Mitglied: orcape
23.01.2012 um 13:13 Uhr
Hi Aqui,

ssh-Zugang habe ich, werde mich mal um die Logs bemühen.

Nur mal dumm nachgefragt: (gibts nicht ! gibt nur dumme Antworten )
Am pfSense hast du am WAN Port den Zugriff in den Firewall Regeln für UDP 1194 generell von überall erlaubt ??
Ansonsten wird das geblockt und keine OpenVPN Pakete kommen da jemals an...

Hab ich aus dem Tutorial so übertragen.

Hast du vor der pfSense ein Modem oder ein Router. Bei Router dann ggf. die RFC 1918 Globalregel entfernen !

Modem

Wäre sicher einfacher gewesen einen pfSense auf der Gegenstelle zu haben....
Aber da lernt man ja nischt.

Gruß orcape
Bitte warten ..
Mitglied: aqui
23.01.2012 um 16:18 Uhr
Nöö einfacher ist das nicht...ist ja das gleiche Spielchen. Funktionieren tut beides auch im Mischbetrieb problemlos ist ja die gleiche SW !
Paste mal die Logs hier beim Verbindungsaufbau dann sehen wir auch was los ist !
Bitte warten ..
Mitglied: orcape
24.01.2012 um 15:02 Uhr
Hi Aqui,

hier nun mal die Ausgabe der Logs des DD-WRT beim OVPN-Client Start....

root@winnie:~# openvpn /tmp/openvpncl/openvpn.conf
Tue Jan 24 14:28:17 2012 OpenVPN 2.1_rc20 mipsel-unknown-linux-gnu [SSL] [LZO1] [EPOLL] built on Oct 10 2009
Tue Jan 24 14:28:17 2012 LZO compression initialized
Tue Jan 24 14:28:17 2012 UDPv4 link local: [undef]
Tue Jan 24 14:28:17 2012 UDPv4 link remote: 78.55.163.6:1194
Tue Jan 24 14:29:17 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jan 24 14:29:17 2012 TLS Error: TLS handshake failed
Tue Jan 24 14:29:17 2012 SIGUSR1[soft,tls-error] received, process restarting
Tue Jan 24 14:29:19 2012 Re-using SSL/TLS context
Tue Jan 24 14:29:19 2012 LZO compression initialized
Tue Jan 24 14:29:19 2012 UDPv4 link local: [undef]
Tue Jan 24 14:29:19 2012 UDPv4 link remote: 78.55.163.6:1194


....beim openvpncl-start erhalte ich dann TLS-Fehlermeldungen auch auf dem Server......

Zur Client-Konfiguration des DD-WRT...

Public Server Cert = CA root crt

Public Client Cert = client crt

Private Client Key = client key # alles per cut and paste aus pfSense in den DD-WRT kopiert

Wohin kommt der TLS-Key ? In den Daemon sicher nicht, habe ich mit in den "privat Client Key" kopiert.

Im DD-WRT findet sich ja auch im client.key wieder.

root@winnie:/tmp/openvpncl# ls
ca.crt client.crt client.key openvpn.conf route-down.sh route-up.sh

SPI Firewall des DD-WRT war während der Tests deaktiviert..

Gruß orcape
Bitte warten ..
Mitglied: aqui
25.01.2012, aktualisiert 18.10.2012
TLS ist nur das Schlüsselverfahren was OpenVPN nutzt.
Der Fehler: Error: TLS key negotiation failed to occur within 60 seconds ist aber eindeutig !
Du hast entweder beim Key generieren einen Fehler gemacht oder die falschen Keys konfiguriert.
Wenn du das mit Winblows gemacht hast musst du etwas aufpassen, denn dort kommt häufig mal ein cr lf mit in den Text. Siehe auch die Threads in der Folge des Tutorials !!
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Da musst du wohl nochmal ran und die Keys diesmal richtig generieren !
Ggf. nimmst du die vom Windows OpenVPN Client als Text wie es im Tutorial beschrieben ist. Der Fehler ist aber klar ein falscher oder fehlerhafter Key !
Bitte warten ..
Mitglied: orcape
28.01.2012 um 16:07 Uhr
Hi,

ja ich weiß, ich bin wieder dran.....
....nach dem ich mindestens das (.....reden wir nicht mehr drüber) x.te mal mit pfSense, XCA und TinyCA
(nicht unter Winblows) Zertifikate & Key´s generiert und kopiert, anschließend Open-VPN Server und Client wieder
frisch Aufgesetzt habe, bin ich mir fast sicher das ich das jetzt einigermaßen kann.
Außer das ich in dieser Zeit auch noch von einem Netgear Switch geärgert wurde, der mir sporadisch die Verbindung
vom PC zum pfSense kappte, ist mir zumindest eines klar geworden, das diese Marke in meinem Hause in Zukunft
keine Verwendung mehr findet.
So als "Abfallprodukt" habe ich was DD-WRT angeht auch noch ein bischen in Sachen vi dazulernen müssen, denn da gibts
keinen mc oder Nano.
Aber nun zum eigentlichen Problem.
Ich bin über die Fehlermeldung hinaus nicht weitergekommen.
DD-WRT meldet mir....

root@winnie:~# ncat /var/log/messages | grep openvpn
Jan 28 10:48:33 winnie daemon.warn openvpn[16883]: Cannot load private key file /tmp/openvpncl/client.key
: error:0906D06C:lib(9):func(109):reason(108): error:140B0009:lib(20):func(176):reason(9)
Jan 28 10:48:33 winnie daemon.err openvpn[16883]: Error: private key password verification failed

Will der Client ein Passwort oder wie soll ich das interpretieren.
Außer dem Client.key (pem) befindet sich der kopierte TLS-Key aus der Serverkonfiguration in der Datei und
wieso steht in den server.logs folgende IP Port ? IP stimmt, Port nicht !

Jan 28 14:37:48 openvpn[4520]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]92.225.226.153:2060

Der DD-WRT Client zeigt mir zumindest den eingestellten Port 1194.
Das Tutorial bin ich mehrmals durchgegangen, leider ohne irgeneinen Hinweis

Gruß orcape
Bitte warten ..
Mitglied: aqui
28.01.2012 um 23:02 Uhr
Es liegt de facto am Key !
Du solltest dich nicht auf die Webeingabe verlassen sondern mit dem SSH Zugang die Key Dateien im Verzeicnis nochmal genau checken ob die identisch sind und die Dateirechte stimmen. chmod und chown
Zur Not mit rm alles wirklich sauber lschen, Router rebooten und nochmal sauber installieren bzw. Mit WinSCP reinkopieren.
Irgendwas ist de facto mit dem Transfer der Keydateien fehl gelaufen.
Eine Laborinstallation funktioniert hier absolut fehlerlos ...wie ja auch im Tutorial zusehen was eine Kopplung DD-WRT auf Monowall/pfSense beschreibt.
Bitte warten ..
Mitglied: orcape
29.01.2012 um 13:34 Uhr
Hi,

also erst mal "Asche auf mein Haupt".
Wohl dem, der das was er liest, auch noch begreift.

Zitat aus dem Tutorial....
In der Client Konfig Datei sind dann die folgenden Anpassungen zu machen:
ca C:/Programme/OpenVPN/easy-rsa/clientkeys/CAMeyer.crt
cert C:/Programme/OpenVPN/easy-rsa/clientkeys/OVPN-Client1.crt
key C:/Programme/OpenVPN/easy-rsa/clientkeys/OVPN-Client1.key
;ns-cert-type server --> Mit Semikolon ; auskommentieren !
tls-auth C:/Programme/OpenVPN/easy-rsa/clientkeys/ta.key 1 --> Verweist auf den oben kopierten TA Key !
cipher AES-128-CBC
Das war alles !

Also einfach mal in den DD-WRT-GUI kopieren, so wie ich mir das anfangs gedacht hatte, wäre wohl zu einfach.

Bei mir ist der WRT54 eine Linux-Variante und die betreffenden Dateien für den VPN-Client befinden sich in

/tmp/openvpncl
root@winnie:/tmp/openvpncl# ls
ca.crt client.crt client.key openvpn.conf route-down.sh route-up.sh

Habe ich jetzt noch zusätzlich die Datei "ta.key" erstellt, deren Rechte angepaßt, den "TLS-Key" hineinkopiert
und die "openvpn.conf" entsprechend angepaßt und gespeichert.
Anschließend einen reboot des Routers und schon war die Arbeit wieder pfutsch.
Also alles noch mal, gegoogelt und....

nvram commit
dann noch mal
nvram commit ta.key
nvram commit openvpn.conf

... ist wieder alles weg. ?
Wie kriege ich die Änderungen dauerhaft im nvram gespeichert ?

Gruß orcape
Bitte warten ..
Mitglied: aqui
29.01.2012 um 13:56 Uhr
Mmmhhh hab ich jetzt grad nicht auf der Pfanne aber ich meine es war "Flash save" oder sowas...müsst ich mal eben in der DD-WRT Doku nachsehen. Ich check das mal auf der Labor Kiste hier.
Bitte warten ..
Mitglied: orcape
01.02.2012 um 17:58 Uhr
Hi Aqui,

ich habe hier mal beim googlen nach einer Lösung folgenden Lösungsansatz gefunden.
Hier mal der Link....
http://www.winteltosh.de/2008/12/site-to-site-openvpn-mit-linksys-wrt54 ...
Ganz so einfach ist die Sache mit dem NVRAM dann doch nicht.
Vielleicht lässt sich auf die Art das Problem in den Griff kriegen.

Gruß orcape
Bitte warten ..
Mitglied: orcape
03.02.2012 um 19:14 Uhr
Hi Aqui,

habe jetzt testweise einen funktionierenden Tunnel, DD-WRT -Server ------> pfSense-Client und auch pfSense-Server -------> DD-WRT-Client.
So wie DD-WRT-Server im Tutorial beschrieben war ......
OpenVPN TLS Auth ==>> bleibt leer !!
Einziges Manko, keine TLS-Auth. möglich.
Das heißt, der Tunnel funktioniert in beide Richtungen, jeweils Ping möglich.
So bald ich pfSense----> Sever TLS-Auth. aktiviere, bricht der Tunnel ab, ist aber auch logisch, weil ja im DD-WRT-Client noch nichts aktiviert ist.
TLS-Aktivierung im DD-WRT-Server funktioniert im pfSense-Client aber auch nicht ?
Es fehlt mir also nur noch die NVRAM-Lösung.

Kleiner Nachtrag......

Ohne TLS-Authentifikation läuft der Tunnel ohne Fehlermeldung, wie geplant......
pfSense-Server -------> DD-WRT-Client
....nachdem ich den Encrypt Algorythmus des pfSense-Servers auf....
BF-CBC (128 Bit)
....geändert habe.
Ich weiß zwar nicht welche Sicherheitseinschränkungen das mit sich bringt, aber ich denke, ich kann damit leben.
Nun fehlt mir nur noch der Zugriff aufs Remote-LAN, der trotz abgeschalteter FW des DD-WRT nicht will.


Gruß orcape
Bitte warten ..
Mitglied: orcape
07.02.2012 um 16:02 Uhr
Hi,

also Tunnel steht, Problem gelöst.
Danke noch mal an Aqui für seine Unterstützung.

Gruß orcape
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Netzwerkmanagement
VPN Server über FritzBox oder über DD-WRT Router (1)

Frage von ValdoAddams zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (19)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

Linux Netzwerk
VLAN WRT54GL (DD-WRT) und pfSense

Frage von dietzi zum Thema Linux Netzwerk ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...