Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem mit cipher DDWRT OpenVPN

Frage Netzwerke

Mitglied: netzwerkanfanger11

netzwerkanfanger11 (Level 1) - Jetzt verbinden

24.03.2013 um 18:06 Uhr, 1885 Aufrufe, 35 Kommentare

Ich hoffe Sie können mir helfen!

Guten Abend,
ich habe ein Problem mit einem mit DDWRT geflashten Router.
Den Router möchte ich als OPENVPN CLIENT nutzen.
Das Problem ist auf dem OPENVPN SERVER wird nicht der Standard cipher verwendet.
Wo und wie kann ich auf dem Router den cipher ändern.

Vielen Dank
Peter
35 Antworten
Mitglied: aqui
24.03.2013 um 18:14 Uhr
Das geht in der client.conf Datei.
Hast du das hier gelesen ??
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: netzwerkanfanger11
24.03.2013 um 20:19 Uhr
Danke aqui,
für Deine Antwort.
Ich habe denn Link schon gelesen.
Das Problem ist das beim Open VPN Client bei DDWRT in der WEB GUI keine client.conf vorhanden ist und das wenn ich die client.conf in der Konsole editiere nach einem Reboot die Standard client.conf wider da ist.

Danke
LG
Peter
Bitte warten ..
Mitglied: orcape
24.03.2013 um 20:27 Uhr
Hi netzwerkanfanger11,
mal so ganz nebenbei, die deutsche Tastatur enthält auch Umlaute oder ist die falsche Schreibweise Deines gewählten Nic so Ok...
Zum Thema, Aqui hat Dir schon einen Link aufgezeigt, der Dein Wissen in Sachen OpenVPN deutlich steigern kann.
Du solltest aber schon mal sagen um welchen Router es sich handelt, da die DD-WRT Versionen hier einige Unterschiede in der GUI-Konfiguration aufweisen.
Außerdem lässt sich der cipher bei nicht allen Versionen per GUI ändern.
In den Systemdateien des DD-WRT Routers kann die cipher-Einstellung zwar geändert werden, (/tmp/openvpncl/openvpn.conf) ist aber flüchtig und die Änderungen sind nach dem Systemneustart wieder futsch.
Es gibt da zwar eine Möglichkeit, die ist aber ganz und gar nicht trivial.
Gruß orcape
Bitte warten ..
Mitglied: netzwerkanfanger11
24.03.2013 um 20:34 Uhr
Hallo orcape,
ich habe einen WRT54 von linksys der mit folgender Firmware geflasht ist DD-WRT v24-sp2 (10/10/09) vpn!
Leider kann der Server auf den ich zugreifen möchte nicht geädert werden kann.

Was kann ich Eurer Meinung nach machen?

Danke Gruß
Peter
Bitte warten ..
Mitglied: orcape
25.03.2013, aktualisiert um 05:39 Uhr
Hi,
der WRT54 hat im GUI keine Möglichkeit den tls-cipher zu ändern.
Er läuft bei mir problemlos mit Servereinstellung BF-CBC (128bit).
Mit AES-128-CBC z.B. funktioniert das so einfach nicht.
Die Einstellungen lassen sich im Client nur ändern, wenn Du den NVRAM des Routers flashst.
Änderst Du die /tmp/openvpncl/openvpn.conf händisch, ist das ganze nach einem Neustart weg.
Das NVRAM flashen hatte ich mit "nicht gerade trivial" gemeint.
Ich bin den einfacheren Weg gegangen und habe den cipher im Server geändert.
Hier mal ein Link, vielleicht hilft Dir das weiter....
http://www.winteltosh.de/2008/12/site-to-site-openvpn-mit-linksys-wrt54 ...
Leider kann der Server auf den ich zugreifen möchte nicht geädert werden kann.
Hast Du keinen ssh-Zugriff ?
Alternative E3000, da lässt sich der cipher im GUI ändern. (Ist eh deutlich schneller für den Tunnel..)
Bei EBay für 40 €uronen.
Gruß orcape
Bitte warten ..
Mitglied: aqui
25.03.2013 um 08:18 Uhr
Er brauch nichtmal SSH Zugriff, denn per Default ist Telnet auf den DD-WRT aktiv !!
Installier dir also Putty oder TeraTerm auf deinem Rechner und verbinde dich mit Telnet auf den DD-WRT.
Dort kannst du dann die client.conf mit einem Texteditor anpassen, das ist 5 Minuten Sache und dann startest du den Client erstmal testweise über das CLI Interface um zu sehen das er die Verbindung auf den Server fehlerfrei aufbaut.
Ist das der Fall sicherst du die client.conf über das CLI !
Dann ist die nach einem Reboot auch wieder verfügbar ! Das ist doch kein Hexenwerk und wie gesagt in 5 Minuten erledigt !
Bitte warten ..
Mitglied: netzwerkanfanger11
25.03.2013 um 10:00 Uhr
Zitat von aqui:
Ist das der Fall sicherst du die client.conf über das CLI !
Dann ist die nach einem Reboot auch wieder verfügbar ! Das ist doch kein Hexenwerk und wie gesagt in 5 Minuten erledigt !

Ja ich hatte die client.conf geändert der Tunnel lief auch aber ich weiß nicht wie ich ihn dauerhaft Speichern kann.
Was ist CLI??

Danke für Eure
Hilfe

Peter
Bitte warten ..
Mitglied: aqui
25.03.2013, aktualisiert um 16:53 Uhr
CLI = Command Line Interface = Kommandoprompt = sieht man wenn man mit Telnet oder SSH draufgeht...
Für die Lösung der Sicherung guckst du hier:
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=58982&sid=ca5b093364b7 ...
Bitte warten ..
Mitglied: orcape
25.03.2013 um 16:32 Uhr
Hi Aqui,
man lernt eben immer dazu.
Den Link hätte ich mal schon vor einem Jahr gebraucht..
Da hab´ ich mir ´nen Wolf gesucht, nach einer Möglichkeit den NVRAM zu flashen.
Aber was soll´s, wer Zugriff auf den Server hat, den braucht das Problem nicht kümmern.
Gruß orcape
Bitte warten ..
Mitglied: netzwerkanfanger11
26.03.2013 um 06:30 Uhr
Danke für Eure hilfe muß das ganz noch testen!
melde
Mich dann!

Peter
Bitte warten ..
Mitglied: netzwerkanfanger11
30.03.2013 um 17:37 Uhr
Guten Abend,
habe jetzt versucht die openvpn.conf beim Startup neu zu schreiben (wie im oben genannten Link)
leider klappt es nicht.
Wenn ich über die CLI nach einem Neustart die openvpn.conf ansehe dann ist diese immer noch unverändert.
Wie kann ich meinen Fehler eingrenzen?

Gruß
Peter
Bitte warten ..
Mitglied: orcape
30.03.2013 um 18:12 Uhr
Hi,
nun, auch auf den Verdacht hin, das ich bei Aqui in Ungnade falle...
...letztlich wird über das Command Line Interface, wenn´s so funktioniert, bei jedem boot des Routers nur die Datei /tmp/openvpncl/openvpn.conf neu geschrieben bzw. geändert.
Ich hatte mir einige Seiten im Internet diesbezüglich verinnerlicht und bin trotzdem zu keinem Ergebnis gekommen.
Viel, was darüber geschrieben steht, hat nicht funktioniert.
Die Einträge in die /tmp/openvpncl/openvpn.conf waren nach einem Neustart des Routers stets wieder gelöscht.
Ob es unter DD-WRT für den WRT54GL noch eine andere Variante des Client-GUI gibt, die Dir eine Möglichkeit für die Änderung des Cipher offen lässt, weiß ich auch nicht.
Funktionierende DD-WRT Software-Varianten gibt es einige für den WRT54, da wären Versionen von
BrainSlayer, Eko und die im DD-WRT-Forum nicht gern gesehene Kong-Variante.
Mein E3000 läuft z.B. mit einer Kong-Variante mit Möglichkeit der Client Cipher-Einstellungen seit Monaten ohne Probleme mit funktionierendem OpenVPN-Tunnel.
Gruß orcape
Bitte warten ..
Mitglied: aqui
30.03.2013 um 19:17 Uhr
Es gibt mehrere Möglichkeiten das zu lösen:
Die .conf Datei in einen Flash gesicherten Speicherbereich des Routers zu kopieren und im Startup Script dann einfach mit cp... die Datei an die richtige Stelle kopieren.
Im Tutorial ist beschrieben wie man mit wenig Aufwand eine SD Speicherkarte in den DD-WRT integriert.
Dorthin kann man die Datei ebenfals bootsicher speichern und beim Startup an die richtige Stelle kopieren.
Mit beiden Optionen kann man das im Handumdrehen lösen...
Bitte warten ..
Mitglied: orcape
30.03.2013 um 19:33 Uhr
Hi Aqui,

Du hast ja wieder mal Recht...
Nur im Fall des Einbaus einer SD-Karte, musst Du schon noch 5 Minuten mehr Zeit geben....
...wegen der anstehenden Lötarbeiten.
Gruß orcape
Bitte warten ..
Mitglied: netzwerkanfanger11
30.03.2013 um 19:47 Uhr
Zitat von aqui:
Die .conf Datei in einen Flash gesicherten Speicherbereich des Routers zu kopieren

Ja das klingt vielversprechend.
Wie macht man das?

Vielen Dank
Peter
Bitte warten ..
Mitglied: aqui
31.03.2013 um 15:43 Uhr
Guckst du hier:
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=87042

Damit klappt es auf Anhieb !
Übrigens...Das Forum hier und auch das DD-WRT Forum hat wunderbare Suchfunktionen !!!
Bitte warten ..
Mitglied: netzwerkanfanger11
31.03.2013 um 20:00 Uhr
Hallo aqui,
leider stelle ich mich zu Dumm an und kriege das ganze nicht zum laufen!
ich habe in der Web Gui im Startup Script folgendes eingetragen

echo cipher AES-128-CBC >> /tmp/openvpncl/openvpn.conf

aber wenn ich in der CLI nach einem Neustart in die openvpn.conf sehe Dann ist die Zeile nicht angehängt!
Gibt es eine Möglichkeit während des Bootvorgangs eine Ausgabe ins Terminal zu machen um zu sehen ob mein Startskript wirklich ausgeführt wird.

Frohe Ostern
und herzlichen Dank
Peter
Bitte warten ..
Mitglied: orcape
31.03.2013 um 20:27 Uhr
aber wenn ich in der CLI nach einem Neustart in die openvpn.conf sehe Dann ist die Zeile nicht angehängt!
..ob der Eintrag in der /tmp/openvpncl/openvpn.conf angekommen ist, solltest Du mit Vi über die Konsole oder Putty checken, vorrausgesetzt Du hast die ssh-Verbindung aktiviert, wovon ich mal ausgehe.
Ich konnte leider immer wieder feststellen, das die Sache nicht ganz so trivial ist, wie sie erscheint. Die Unmengen von DD-WRT Versionen, die allein für den WRT-54 existieren, machen das ganze auch nicht leichter und die Howto´s sind mitunter schon recht veraltet.
Wenn Du das Ding zum laufen gebracht hast, dann nicht versuchen eine aktuellere Version einzuspielen, es sei denn es funktioniert irgend etwas nicht. Da verursachst Du meist wieder andere Probleme.
Gruß orcape
Bitte warten ..
Mitglied: netzwerkanfanger11
01.04.2013 um 07:37 Uhr
Zitat von orcape:
> aber wenn ich in der CLI nach einem Neustart in die openvpn.conf sehe Dann ist die Zeile nicht angehängt!
..ob der Eintrag in der /tmp/openvpncl/openvpn.conf angekommen ist, solltest Du mit Vi über die Konsole oder Putty checken,
Das sagte ich ja, das es nicht in der Datei steht.
Ich möchte wissen ob man sich irgendwie den Startup ansehen kann um vielleicht irgendwelche Fehler zu sehen!
Entschuldigt mich wenn ich mich so unklar ausdrücke!

Peter
Bitte warten ..
Mitglied: aqui
01.04.2013, aktualisiert um 11:14 Uhr
Das Kommando "dmesg" sollte alle Boot Meldungen anzeigen. Du kannst unten auch den Umweg über die NVRAM Settings machen, auch das bewirkt das man die Datei fest im Flash sichern kann. Du kannst auch aufs jffs Filesystem umschalten in den Settings.
Ansonsten bau eine SD Karte ein, dann bist du alle Sorgen ebenfalls los. Eiegntlich ist aber der obige Workaround problemlos zu machen und funktioniert auch !
Bitte warten ..
Mitglied: netzwerkanfanger11
01.04.2013 um 11:26 Uhr
Entschuldige mich!
Ich nerve Dich jetzt nochmal mit einer Frage!
Warum kann ich in der Web Gui meine Startupskript nach einem Neustart sehen?
Das heißt für mich das das Startupskript nicht flüchtig gespeichert wurde, täusche ich mich da?
Ich versuche jetzt die Zeile ins Nvram zu packen aber kapieren tue ich das nicht!

Wäre sehr froh wenn Du mir noch ein wenig Licht in mein Dunkles Gehirn bringen Könntest!

PS:
Ich werde auch die SD Karte ein löten!

Danke für Deine Hilfe

Peter
Bitte warten ..
Mitglied: aqui
01.04.2013 um 11:30 Uhr
Du kannst es deshalb sehen weil es ja permanent gespeichert ist und es immer ausgeführt wird !
Würdest du es nicht mehr sehen könntest du es nicht mehr verändern oder editieren. Macht ja also Sinn das so zu machen.
Da ist jetzt unverständlich was du daran nicht kapierst...eigentlich doch ein sinnvolles Verhalten.... oder war das jetzt falsch verstanden ?!
Bitte warten ..
Mitglied: netzwerkanfanger11
01.04.2013 um 11:41 Uhr
Ich verstehe nur nicht das mein openvpn.conf dann nicht bei jedem Boot mit meinen Wünschen abgeändert wird, und ich denn Umweg über das NVRAM machen soll.
Ist das nicht ein wenig Widersprüchlich?


Das habe ich meinen Startupskript stehen

echo cipher AES-128-CBC >> /tmp/openvpncl/openvpn.conf

Danke für deine Hilfe

Peter
Bitte warten ..
Mitglied: aqui
01.04.2013 um 12:15 Uhr
Mmmhhh, zeigt dann eher das das Startup Skript nicht ausgeführt wird bei dir !
Hast du die entsprechenden Schreibrechte auf die Datei oder dem Verzeichnis gesetzt ?
Bitte warten ..
Mitglied: netzwerkanfanger11
01.04.2013 um 12:39 Uhr
Zitat von aqui:
Mmmhhh, zeigt dann eher das das Startup Skript nicht ausgeführt wird bei dir !
Hast du die entsprechenden Schreibrechte auf die Datei oder dem Verzeichnis gesetzt ?
Schreibrechte wie und wo muß ich diese vergeben!
Ich vermute auch das mein Startskript nicht ausgeführt wird, ich weiß nicht wie ich das Startskript Debugen kann!

Danke für Deine Hilfe
Bitte warten ..
Mitglied: orcape
01.04.2013 um 13:50 Uhr
Ich verstehe nur nicht das mein openvpn.conf dann nicht bei jedem Boot mit meinen Wünschen abgeändert wird, und ich denn Umweg über das NVRAM machen soll.
Das wird wohl hier eine Frage der Bootreihenfolge sein.
Wenn das Startup-Script geladen wird, nachdem die gespeicherte openvpncl.conf eingelesen wurde, da kannst Du als Startup reinschreiben was Du willst, es bleibt die /tmp/openvpncl.conf, wie Du Sie unter den OVPN-Einstellungen konfiguriert hast.
Bitte warten ..
Mitglied: netzwerkanfanger11
01.04.2013 um 14:21 Uhr
Zitat von orcape:
> Ich verstehe nur nicht das mein openvpn.conf dann nicht bei jedem Boot mit meinen Wünschen abgeändert wird, und ich
denn Umweg über das NVRAM machen soll.
Das wird wohl hier eine Frage der Bootreihenfolge sein.
Wenn das Startup-Script geladen wird, nachdem die gespeicherte openvpncl.conf eingelesen wurde, da kannst Du als Startup
reinschreiben was Du willst, es bleibt die /tmp/openvpncl.conf, wie Du Sie unter den OVPN-Einstellungen konfiguriert hast.
Ja selbst wenn openvpn nicht das geänderte File nimmt trotzdem sollte ich das geäderte File mit cat /tmp/openvpncl/openvpn.conf in der Konsole sehen!

Danke für Deine Hilfe
Bitte warten ..
Mitglied: orcape
01.04.2013 um 14:49 Uhr
Ja selbst wenn openvpn nicht das geänderte File nimmt trotzdem sollte ich das geäderte File mit cat /tmp/openvpncl/openvpn.conf in der Konsole sehen!
...ob mit cat /tmp/openvpncl/openvpn.conf oder mit Vi aufgerufen /tmp/openvpncl/openvpn.conf zeigt nur an, was im NVRAM gespeichert ist. Wenn aber Deine geänderte .conf im NVRAM nicht gespeichert wird, kannst Du sie auch in der Konsole nicht sehen.
Du verwechselst hier CLI und ssh-Konsole, oder reden wir aneinander vorbei ?.
Bitte warten ..
Mitglied: netzwerkanfanger11
01.04.2013 um 14:56 Uhr
Ich befürchte tatsächlich das wir aneinander vorbei reden!
Wo liegt der unterschied CLI und ssh-Konsole?

Gruß
Peter
Bitte warten ..
Mitglied: orcape
01.04.2013 um 15:15 Uhr
Nee Sorry, Du hast Recht, lag wohl etwas daneben.
Ich meinte damit, die Eingaben im GUI des Routers unter administration-startup
(echo cipher AES-128-CBC >> /tmp/openvpncl/openvpn.conf),
werden von der Bootreihenfolge des Routers her, vermutlich erst geladen, wenn dieser die Daten aus der OpenVPN-Clientconfig bereits gelesen hat.
Deshalb auch nur die Config wie im Router-GUI eingetragen.
Bitte warten ..
Mitglied: netzwerkanfanger11
01.04.2013 um 15:22 Uhr
Ja das habe ich ja auch verstanden!
Ich meine nur das auch wenn es nicht funktioniert trotzdem die Änderung in der /tmp/openvpncl/openvpn.conf zu sehen sein müsste!
Aber ich sehe Diese nicht!
Also gehe ich davon aus das mein Startupskript aus irgend einem Grund entweder nicht ausgeführt wird oder sonst was passiert!

Peter
Bitte warten ..
Mitglied: orcape
01.04.2013 um 16:20 Uhr
Also gehe ich davon aus das mein Startupskript aus irgend einem Grund entweder nicht ausgeführt wird oder sonst was passiert!
...genauso sieht das aus. Ich bin letztendlich auch den "Weg des geringsten Wiederstands" gegangen und habe den Cipher auf dem Server geändert. Für einen 2. remoten Standort habe ich dann gleich einen anderen Router verwendet, der dieses Future auf dem OpenVPN-Client unterstützt.
Der Vorschlag von Aqui mit der CF-Karte mag ja Ok sein, kostet Dich aber, wenn Du erst kaufen musst, auch 15 €, wenn nicht mehr.
Da kannst Du dann auch gleich den Versuch machen, das Teil bei EBay in etwas besseres zu wandeln.
Denn die Geschwindigkeit Deiner Datenübertragung über den Tunnel hängt auch von der eingesetzten CPU ab und die ist beim WRT54 schon am untersten Limit, selbst wenn Du das Teil auf 250MHz übertaktet hast.
Gruß orcape
Bitte warten ..
Mitglied: netzwerkanfanger11
01.04.2013 um 17:10 Uhr
Ja aber wenn ich auch eine SD Karte einbaue muß das Startskript trotzdem ausgeführt werden!
Oder täusche ich mich da?

Peter
Bitte warten ..
Mitglied: orcape
01.04.2013 um 17:56 Uhr
Zitat Aqui...
Es gibt mehrere Möglichkeiten das zu lösen:
Die .conf Datei in einen Flash gesicherten Speicherbereich des Routers zu kopieren und im Startup Script dann einfach mit cp... die Datei an die richtige Stelle kopieren.
So wie ich das verstehe sind die Speichermöglichkeiten des WRT54 sehr begrenzt, deshalb die zusätzliche CF-Karte.
Du solltest dem Link von Aqui folgen, der auf das DD-WRT Forum verweist.
Oder Du gehst auch den Weg des geringeren Widerstands....
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows 10
Problem: einzige Konto gesperrt + Bitlocker aktiv (11)

Frage von Windows11 zum Thema Windows 10 ...

Exchange Server
Problem mit POP3-Abruf eines Exchange-2013-Postfachs

Frage von YotYot zum Thema Exchange Server ...

Multimedia & Zubehör
gelöst BENQ Beamer Fernbedingung Frequenz Problem (4)

Frage von xbast1x zum Thema Multimedia & Zubehör ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...