Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN auf DD-WRT Router - Komme nicht ins Netz

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Ghostraider

Ghostraider (Level 1) - Jetzt verbinden

10.08.2011, aktualisiert 18.10.2012, 8129 Aufrufe, 17 Kommentare

Hallo,

ich bin gerade dabei auf einem Linksys WRT54GL mit DD-WRT v24sp2 OpenVPN zu Konfigurieren.
Zur Übersicht von meinem Netzwerk hab ich mal ne Skizze erstellt:

7f7b83fe4a7b429e516d9a128eac1736 - Klicke auf das Bild, um es zu vergrößern

Der Speedport Router läuft als Router, der Linksys soll lediglich als VPN Gateway dienen und keine aktiven Routing dienste (abgesehen vom VPN Routing) übernehmen.
Ich hab deshalb im WebGUI den WAN Port als 5. Switch Port definiert, den WAN Connection Type auf Disabeld gesetzt und bei Routing also Operation Mode Router ausgewählt.
Der Server ist DHCP und Lokaler DNS Server. Das hab ich so auch im Linksys eingetragen.

Der Linksys ist über den WAN Port mit dem Speedport verbunden und über Port 1 mit dem Netzwerkswitch verbunden. An dem Switch hängen dann alle weitere Geräte. Lediglich die WLAN Geräte verbinden sich direkt mit dem Linksys.
Die SPI Firewall auf dem Linksys ist ausgeschaltet.
Meine OpenVPN Konfis sieht wie folgt aus:

server 10.8.0.0 255.255.255.0
port 1194
proto tcp
dev tun0
comp-lzo
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
push "route 192.168.2.0 255.255.255.0"
push "dhcp-option DNS 192.168.2.200"
keepalive 10 120
verb 3
persist-key
persist-tun

die Client Config sieht so aus:

client
pull
remote XXX 1194
proto tcp-client
dev tun
comp-lzo
ca XXX.crt
cert XXX.crt
key XX.key
ns-cert-type server
verb 3
mute 50

Die Routentabelle auf dem Linksys sieht so aus:
2a4efef3dccf72c273742fb1f11797af - Klicke auf das Bild, um es zu vergrößern

Auf dem Speedport ist der 1194 TCP Port auf die 192.168.2.254 weitergeleitet.

Die VPN Verbindung an sich kann ich herstellen. Ich bekomme die IP 10.8.0.6 zugewießen.
Ich kann die 192.168.2.254 anpingen. Aber ich komm nicht ins Netz hinter dem Linksys.
Muss ich auf dem Linksys noch etwas konfigurieren damit er die anfragen weitergibt ? Wenn ich z.B. den Server anpinge (192.168.2.200) dann bekomm ich einen Timeout.

Gruß Ghostraider
Mitglied: Clijsters
10.08.2011 um 20:02 Uhr
Hallo Ghostraider,

Muss ich auf dem Linksys noch etwas konfigurieren damit er die anfragen weitergibt ? Wenn ich z.B. den Server anpinge (192.168.2.200) dann bekomm ich einen Timeout.

Ja, das würde ich jetzt auch mal behaupten.
Wenn dein Routing grundsätzlich funktioniert, sprich: du kannst auch den Linksys pingen auf einer 192.168.2.0 - er IP pingen, wird es wohl an der Konfiguration liegen.

Kannst du Diese posten?


Gruß
Dominique
Bitte warten ..
Mitglied: Ghostraider
10.08.2011 um 20:14 Uhr
Hi Dominique,

welche Konfig brauchst du ?
Die von OpenVPN hab ich ja oben schon gepostet.
Bitte warten ..
Mitglied: dog
10.08.2011 um 20:32 Uhr
Muss ich auf dem Linksys noch etwas konfigurieren damit er die anfragen weitergibt ?

Nö, aber auf dem Speedport!
Routing funktioniert nur, wenn beide Seiten etwas davon mitbekommen.

Da du aber scheinbar den Linksys in das selbe Netz wie die Clients und den Speedport gesetzt hast passiert folgendes?

  • VPN-Client sendet ping an 192.168.2.x
  • Ping wird über VPN und Linksys zum Rechner weitergeleitet
  • Der Rechner erstellt die Antwort und schickt sie entsprechend seiner Routing-Tabelle an den Standardgateway, also den Speedport (denn er kann nicht erraten, dass er sie an den Linksys schicken soll)
  • Der Speedport schickt die Nachricht entsprechend seiner Routing-Tabelle ans Internet (denn erraten, dass er sie an den Linksys schicken soll kann er schließlich nicht).

Entweder du richtest also auf dem Speedport eine statische Route ein, oder du musst deinen Aufbau überdenken.
Bitte warten ..
Mitglied: Ghostraider
10.08.2011 um 21:01 Uhr
Hi,

okay das klingt logisch.
Statische Route auf dem Speedport fällt aus, das wird nicht unterstützt.
Also muss ich meinen Aufbau überdenken. Was genau sollte ich da jetzt ändern?
Bitte warten ..
Mitglied: dog
10.08.2011 um 21:24 Uhr
Entweder
  • den Speedport ganz weglassen
  • Ein eigenes Netz nur zwischen Speedport und Linksys machen
  • OpenVPN im Bridge-Modus (tap) konfigurieren
Bitte warten ..
Mitglied: Ghostraider
10.08.2011 um 21:37 Uhr
Hi,

Speedport weglassen geht nicht, sonst müsste ich erst ein DSL Modem auftreiben.
Am besten gefällt mir die Idee mit dem eigenen Netz.

Das heißt ich geb dem Speedport z.B. die IP 192.168.10.254, und im Linksys geb ich als IP Adresse für den WAN Port z.B. 192.168.10.1 ein.
Der Linksys ist dann für die Geräte im LAN der neue Gateway richtig? Allerdings dann mit einer IP Adresse aus dem 192.168.2.0/24er Netz.

Ist das soweit richtig?
Kann ich das überhaupt mit dem Speedport realisieren obwohl ich da keine Routen eintragen kann?
Oder erledigt das dann alles der Linksys ?
Bitte warten ..
Mitglied: dog
10.08.2011 um 21:44 Uhr
Ist das soweit richtig?

Ja.

Kann ich das überhaupt mit dem Speedport realisieren obwohl ich da keine Routen eintragen kann?

Ja, wenn du dann auf dem Linksys NAT aktivierst.
Bitte warten ..
Mitglied: Jochem
11.08.2011 um 08:55 Uhr
Moin,

'tschuldigung wenn ich mich hier so unaufgefordert reinhänge, aber mal in die Runde gefragt: Würde es nicht mehr Sinn machen, den Speedport im Bridge-Modus zu betreiben (sofern der dies kann) und das Routing generell vom Linksys machen lassen? Im Augenblick gibt es für den Speedport doch keine "echte" Aufgabe, oder?

Gruß J chem
Bitte warten ..
Mitglied: hippi375
11.08.2011 um 10:13 Uhr
hallo,
nur ums mal eingeworfen zu haben... . den wrt kann man auch weglassen indem man den 503 fritz't
link: <url> http://ip-phone-forum.de/showthread.php?t=203800 </url>
schade um den wrt aber auch eine idee für vpn.
Bitte warten ..
Mitglied: Ghostraider
11.08.2011 um 10:25 Uhr
Servus,

@Jochem: Ich kann dem Speedport sagen das er im PPPoE PassTrough Modus laufen soll. Dann müsste der Linksys die Internetverbindung selbst aufbauen können.
Müsste ich mal versuchen ob das ganze läuft.

@hippi375: Das geht aber nur wenn es ein 503V Typ A ist, ich hab aber einen 503V Typ C, den kann man leider nicht fritzen ;)
Bitte warten ..
Mitglied: aqui
11.08.2011 um 21:10 Uhr
Nur mal nebenbei gefragt: Das entsprechende Tutorial zu diesem Thema hast du gelesen und Schritt für Schritt beachtet ??
http://www.administrator.de/OpenVPN_Server_installieren_auf_DD-WRT_Rout ...
Speziell
http://www.administrator.de/OpenVPN_Server_installieren_auf_DD-WRT_Rout ...
für den Betrieb hinter einem NAT Router.
Es ist übrigens UDP 1194 und nicht TCP fürs OpenVPN Port Forwarding !! (UDP 1194 ist der Default)
TCP Encapsulation sollte man bei OpenVPN wegen des erheblichen Overheads und Delays zwingend vermeiden !
Zudem ist deine IP Adressierung komplett fehlerhaft, da du an WAN und LAN Port des DD-WRT das gleiche IP Netzwerk 192.168.2.0 /24 nutzt. Dies muss zwingend unterschiedlich sein ! (Siehe Tutorial oben !)

Das generelle Problem in deinem speziellen Setup ist aber das vermutlich alle Endgeräte im .2.0er Netzwerk die Speedport Gurke als default Gateway eingetragen haben.
Was nun passiert ist das z.B. Ein Ping vom OpenVPN Client mit der 10.0.8.x Absender Adresse jetzt den Server im .2.0er Netz anpingt. Der Server wiederum schickt sein Ping Antwortpaket nun an sein default Gateway also den Speedport weil das 10.0.8.0er Netz ja logischerweise NICHT sein lokales Netzwerk ist. Der Speedport hat eine default Route Richtung Provider wo er das 10.0.8.0er Paket nun hinschickt und wo es im Daten Nirwana verschwindet ! (RFC 1918 sprich private Netzwerke landen dort sofort im Mülleimer)
Fazit: Du musst logischerweise auf dem Speedport eine statische Route ins 10.0.8.0er Netz eintragen mit dem DD-WRT als Next Hop IP damit die Antwortpakete korrekt über das VPN Gateway DD-WRT ins VPN Netz zurückgehen.
Pech für dich: Keiner der billigen Speedport Gurken am Markt supportet statiache Routen. Das was jeder Baumarkt Router für 20 Euro kann kann genau der Speedport nicht....
Fazit 2: Baue dein Design genau so um wie im obigen Turorial beschrieben. Damit umgehst du elegant dein Problem, denn der DD-WRT arbeite dann im Gateway Modus und die statische Route ist überflüssig.
Noch besser: konfiguriere den Speedport mit der PPPoE Passthrough Option als dummes nur Modem und konfiguriere deine Zugangsdaten auf dem DD-WRT als zentralen VPN Router.
DynDNS Client dann auf dem DD-WRT aktivieren fertig ist der Lack !
Damit bist du alle Port Forwarding Frickelei los und hast eine erheblich performantere und sauberere Lösung.
Noch besser wie bereits gesagt mit UDP Encapsulierung !
Bitte warten ..
Mitglied: aqui
15.08.2011 um 16:08 Uhr
@Ghostraider
Wenns das jetzt war bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Mitglied: Ghostraider
16.08.2011 um 08:05 Uhr
Sorry war ein paar Tage unterwegs.
Die beiden Tutorials hab ich durchgemacht, das erste schon vor über einem Jahr. Auf meinem Server läuft schon länger OpenVPN.

Ich werd mich die Tage noch mal damit beschäftigen den Linksys als Router zu konfigurieren. Dann sollte das ganze doch besser laufen.
Werde mich dann wieder melden, bzw. das ganze als gelöst makieren.
Bitte warten ..
Mitglied: aqui
16.08.2011 um 10:03 Uhr
Wir sind dann mal gespannt auf das Feedback....
Bitte warten ..
Mitglied: Ghostraider
16.08.2011 um 22:56 Uhr
So erster Bericht.
Ich hab jetzt mal meine bestehende VPN Verbindung (VPN Server ist der 192.168.2.200).

Dort läuft der VPN wie schon gesagt seit knapp einem Jahr. Ich hab jetzt mal von TCP auf UDP umgestellt. (Entsprechender Port ist freigegeben) Zur Info der Linksys ist im moment nicht im Netzwerk eingebunden, die Geräte sind direkt am Speedport bzw. am Switch hinterm Speedport.

Also nach der Umstellung von TCP auf UDP konnte ich zwar direkt die VPN Verbindung herstellen, konnte den Server anpingen und auf die Freigaben, aber ich konnte mich nicht mit dem Exchange verbinden. Nach dem zurück stellen auf TCP hat sich Outlook sofort mit Exchange verbunden.
Liegt das jetzt am Exchange oder warum geht das auf einmal nicht mehr?

EDIT:
So wie es aussieht funktioniert das DNS über UDP auch nicht ?
Bitte warten ..
Mitglied: aqui
17.08.2011, aktualisiert 18.10.2012
Das ist eigentlich Unsinn, denn das Protokoll zur Tunnel Encapsulation des VPN Links hat natürlich keinerlei Einfluss auf irgendwelche Exchange Connectivität. Es bestimmt nur mit welchem Layer 4 Format der SSL Tunnel eingepackt wird. TCP hat da erheblich mehr Overhead und macht das VPN damit quälend langsam.
Exchange ist an dieser Encapsulation mit keinem Bit beteiligt folglich kann es also auch keinerlei Einfluss haben.
Es ist also zu vermuten das du dein DNS nicht richtig customized hast im VPN Umfeld.
Besser also du liest dir DAS hier nochmal ganz genau durch:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
http://openvpn.net/index.php/open-source/documentation/howto.html#dhcp
push "dhcp-option DNS und push "dhcp-option DOMAIN sollten eigentlich dann das problem lösen.
Ansonsten musst du, wie immer in diesem Fall, den Exchange Host statisch in die hosts oder lmhosts Datei eintragen:
http://www.administrator.de/forum/xp-home-mit-2-kabelgebundenen-und-wla ...
Eigentlich aber überflüssig wenn man mit einem WINS oder DNS Server arbeitet.
Bitte warten ..
Mitglied: aqui
27.08.2011 um 12:16 Uhr
@Ghostraider
Wenns das denn nun war oder du kein Interesse mehr an einem Feedback hast bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(4)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Peripheriegeräte
WRT3200ACM: Linksys kündigt neuen OpenWRT- und DD-WRT-Router an

Link von runasservice zum Thema Peripheriegeräte ...

Netzwerkprotokolle
DD-WRT Router: Frage zum Routing (13)

Frage von D46505Pl zum Thema Netzwerkprotokolle ...

Netzwerkmanagement
VPN Server über FritzBox oder über DD-WRT Router (1)

Frage von ValdoAddams zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (17)

Frage von Unwichtig zum Thema Netzwerkmanagement ...