haegi75
Goto Top

VPN mit zwei Linksys WRT54GL

Hallo
ich habe folgendes Problem:
Gerne möchte ich meine Ferienhaussteuerung (Loxone) von ausserhalb steuern. Leider habe ich bei Standort der Ferienhause nur ein LTE Modem/Router zur Verfügung. Das Problem ist nun dass ich so meine Steuerung nicht aus dem Internet erreichen kann. Bei einem Festanschluss ist das kein Problem da würde es mit dyndns oder ähnlichem gehen.
Ich habe zwei Linksys WRT54GL die ich brauchen könnte um eine VPN Verbindung aufzubauen aber ich krieg das leider nicht ohne Hilfe zustande.

Standort "Ferienhaus"

LTE Router/Modem
Wrt 54GL
Loxone Miniserver

Standort "Zuhause"

DSL Anschluss über Swisscom Internet Box
Wrt 54gl
Windows 7 PC

Habe leider keine Ahnung wie ich das angehen muss.

Hoffe auf eure Hilfe.

Content-Key: 333866

Url: https://administrator.de/contentid/333866

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: aqui
aqui 01.04.2017 aktualisiert um 14:53:03 Uhr
Goto Top
Leider habe ich bei Standort der Ferienhause nur ein LTE Modem/Router zur Verfügung.
Wieso "leider" ??
Das Problem ist nun dass ich so meine Steuerung nicht aus dem Internet erreichen kann.
Wie kommst du darauf ?? Mit LTE kann man doch problemlos ins Internet.
Oder willst du uns hier nur laienhaft mittteilen das dein LTE Provider im Provider Funknetz Netz private RFC 1918 IP Adressen nutzt und Carrier grade NAT im Einsatz hat ???
Aber auch damit ist VPN kein Hinderungsgrund.
Habe leider keine Ahnung wie ich das angehen muss.
Oha...das wird dann mal wieder ein hartes Brot für uns hier. Aber mit dem Forumstutorial und wenn du dich nicht ganz d... anstellst ist das ein Kinderspiel. Die perfekte HW dafür hast du ja schon.

Du solltest dann mal die hiesige Suchfunktion nutzen und dir die entsprechenden Tutorials zu dem Thema durchlesen und umsetzen face-wink
Und bitte wirklich lesen und verstehen ! Damit bekommst du das im Handumdrehen zum Fliegen.
Zu empfehlen ist OpenVPN aber du kannst auch PPTP nutzen.
Da du aber vermutlich CGN im LTE hast (ist jetzt mal geraten anhand deiner etwas kryptischen Äußerungen oben..) ist OpenVPN die klar bessere Wahl, denn es hat keine Problem mit NAT.
Wenn du den OVPN Server bei dir zuhause stehen hast und den OVPN Client im Ferienhaus, so das sich dann immer der VPN Tunnel vom Ferienhaus zum Hausanchluss aufbaut, klappt das mit OVPN und auch NAT im LTE problemlos.

Hier findest du alle Infos zu dem Thema wie man das einfach und schnell aufsetzt:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Just for Info nochmal die PPTP Variante. OVPN sollte 1te Wahl sein für dich:
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP

Wichtig ist das du beide WRT54GL auf die bessere, freie DD-WRT Firmware flashst um OVPN nutzen zu können !
Mitglied: Haegi75
Haegi75 01.04.2017 um 14:59:07 Uhr
Goto Top
Hallo
Ins Internet komme ich mit dem LTE schon, aber leider nicht vom internet auf den LTE Router.
Genau nach dieser Anleitung hab ich es versucht aber nicht hinbekommen.
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Leider bin ich absoluter Anfänger.
Mitglied: Haegi75
Haegi75 01.04.2017 aktualisiert um 15:10:32 Uhr
Goto Top
Nachtrag:
Ich habe im Moment alle Geräte als Testaufbau bei mir Zuhause aufgestellt. Key und Certifikate habe ich erstellt.
Mitglied: Haegi75
Haegi75 01.04.2017 um 16:54:09 Uhr
Goto Top
Hallo
Ich habe jetzt nochmal ein Reset gemacht und bin dann genauch nach Anleitung vorgegangen.
Nun bin ich beim Punkt: Ist der OpenVPN Server aktiv ? angelangt.
Bis zu dieser Meldung klappts:
D-WRT v24-sp2 vpn (c) 2009 NewMedia-NET GmbH
Release: 10/10/09 (SVN revision: 13064)

DD-WRT login: root
Password:

____ ___ __ ______ _____ ____ _ _
|___/|___/ \_/\_/ |_| \_\|_| \_/ |_____| |_|

DD-WRT v24-sp2
http://www.dd-wrt.com



BusyBox v1.13.4 (2009-10-10 01:39:56 CEST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

root@DD-WRT:~# ps
PID USER VSZ STAT COMMAND
1 root 1468 S /sbin/init noinitrd
2 root 0 SW [keventd]
3 root 0 SWN [ksoftirqd_CPU0]
4 root 0 SW [kswapd]
5 root 0 SW [bdflush]
6 root 0 SW [kupdated]
10 root 0 SW [mtdblockd]
14 root 1508 S watchdog
212 root 2592 S httpd -p 80
432 root 1460 S process_monitor
2324 root 1464 S resetbutton
2391 root 1460 S wland
2404 root 696 S cron
2417 root 696 S udhcpc -i vlan1 -p /var/run/udhcpc.pid -s /tmp/udhcpc
4387 root 1428 S ttraff
4393 root 1176 S telnetd
4400 root 808 S dnsmasq --conf-file=/tmp/dnsmasq.conf
4468 root 1540 S dropbear -b /tmp/loginprompt -r /tmp/root/.ssh/ssh_ho
4775 root 2072 S openvpn --config /tmp/openvpn/openvpn.conf --route-up
5267 root 1196 S -sh
5273 root 1180 R ps
root@DD-WRT:~# ls -l /tmp/openvpn
-rw-r--r-- 1 root root 1859 Jan 1 01:13 ca.crt
-rw-r--r-- 1 root root 5713 Jan 1 01:13 cert.pem
-rw-r--r-- 1 root root 425 Jan 1 01:13 dh.pem
-rw-r--r-- 1 root root 1705 Jan 1 01:13 key.pem
-rw-r--r-- 1 root root 255 Jan 1 01:13 openvpn.conf
-rwx------ 1 root root 36 Jan 1 01:13 route-down.sh
-rwx------ 1 root root 60 Jan 1 01:13 route-up.sh
root@DD-WRT:~# openvpn /tmp/openvpn/openvpn.conf
Thu Jan 1 01:31:02 1970 OpenVPN 2.1_rc20 mipsel-unknown-linux-gnu [SSL] [LZO1] [EPOLL] built on Oct 10 2009
Thu Jan 1 01:31:03 1970 Diffie-Hellman initialized with 2048 bit key
Thu Jan 1 01:31:03 1970 WARNING: file '/tmp/openvpn/key.pem' is group or others accessible
Thu Jan 1 01:31:03 1970 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Jan 1 01:31:03 1970 TCP/UDP: Socket bind failed on local address [undef]:1194: Address already in use
Thu Jan 1 01:31:03 1970 Exiting
root@DD-WRT:~#
Mitglied: orcape
orcape 01.04.2017 um 18:19:23 Uhr
Goto Top
Hi Haegi75,
wichtig wäre, sollte Dein LTE-Provider NAT machen, auf LTE-Seite "immer" den OpenVPN-Client einzurichten. Der Client sucht sich im Netz dann schon den OpenVPN-Server, falls sich dieser mit einer festen IP oder durch einen funktionierenden DynDNS-Account, auch finden lässt.face-wink
Gruß orcape
Mitglied: Haegi75
Haegi75 01.04.2017 um 19:05:53 Uhr
Goto Top
Hallo
Ja der Client soll auf die LTE Seite. Nur leider krieg ich die ganze Sache mit den IP nicht hin. Sehe langsam nur noch Zahlen.
Brauche Hilfe mit der ganzen Konfriguration.

Router haben Firmware v24-sp2 vpn

Welche IP und config in welchen Router usw.

Danke
Mitglied: orcape
orcape 01.04.2017 um 21:33:38 Uhr
Goto Top
Ganz wichtig: Trenne die Netze Klar.
Beispiel
VPN-Netz 10.7.2.0/24
Lan-Server 192.168.44.0/24
Lan-Client 192.168.3.0/24

So kannst Du immer genau sehen, welches Netz.
Dann poste einfach mal die Configs und die Routing Protokolle.
Mitglied: Haegi75
Haegi75 01.04.2017, aktualisiert am 02.04.2017 um 10:57:10 Uhr
Goto Top
Hallo
ich habs jetzt mal mit PPTP versucht. Nicht mal das krieg ich hin.

Werde jetzt mal die Router reseten und hoffe das ihr mir eine genaue Anleitung geben könnt.

Routing Table Entry List
Destination LAN NET Subnet Mask Gateway Interface
172.16.1.2 255.255.255.255 0.0.0.0 tun0
192.168.2.0 255.255.255.0 0.0.0.0 LAN & WLAN
192.168.1.0 255.255.255.0 0.0.0.0 WAN
172.16.1.0 255.255.255.0 172.16.1.2 tun0
169.254.0.0 255.255.0.0 0.0.0.0 LAN & WLAN
0.0.0.0 0.0.0.0 192.168.1.1 WAN

port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.1.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
keepalive 10 120
comp-lzo

Hier sind mal die Daten meiner Internetbox sowie dem LTE Router und den zwei WRT54GL:

Swisscom Internetbox

IP Adresse: 192.168.1.1

Sub.:255.255.255.0

DNS Server1: 195.186.4.162

DNS Server2: 195.186.1.162

DHCP Bereich: 198.168.1.101 bis 195.168.1.161


LTE Router

IP Adresse: 192.168.2.1

Sub.: 255.255.255.0

DHCP Bereich: 192.168.1.100 bis 192.168.1.199

Default Gateway: 192.168.2.1


WRT54GL RouterServer

IP Adresse: 192.168.2.1

Sub.: 255.255.255.0

Gateway: 0.0.0.0

Local DNS: 0.0.0.0


DHCP Bereich: 192.168.2.100 bis 192.168.2.150


WRT54GL RouterClient

IP Adresse: 192.168.1.1

Sub.: 255.255.255.0

Gateway: 0.0.0.0

Local DNS: 0.0.0.0

Die Key`s und die Certifikate hab ich schon mal auf den RouterServer geladen.

Könnt ihr mir so vieleicht besser helfen?
Mitglied: orcape
orcape 03.04.2017 um 09:01:04 Uhr
Goto Top
Du solltest DHCP auf dem Router/Modem, sowohl "Swisscom Internetbox" wie "LTE Router" abschalten, bzw. wenigstens eine feste IP für den nachgeschalteten WRT54-Router vergeben.
Du hast teils gleiche IP-Bereiche......
Swisscom Internetbox
IP Adresse: 192.168.1.1
...und...
WRT54GL RouterClient
IP Adresse: 192.168.1.1
sowie....
LTE Router
IP Adresse: 192.168.2.1
...und...
WRT54GL RouterServer
IP Adresse: 192.168.2.1
...das solltest Du ändern, da es hier sonst nur zu unnötigen Problemen kommen kann.
Zumindest macht das dann Probleme, wenn man von remote die vorgeschalteten Router erreichen möchte.
Etwas kreativer sein, es gibt nicht nur 192.168.1.0/24 und 192.168.2.0/24 als private IP-Bereiche. face-wink
Mitglied: aqui
aqui 03.04.2017 aktualisiert um 09:04:25 Uhr
Goto Top
Brauche Hilfe mit der ganzen Konfriguration.
Hier hilft das Lesen und Verstehen des o.a. OpenVPN Tutorials. Da ist doch alles Schritt für Schritt beschrieben. face-wink
Kollge Orcape hat dazu ja schon alles erklärt oben...
Mitglied: Haegi75
Haegi75 03.04.2017 um 13:00:03 Uhr
Goto Top
Hallo

Die Internetbox würde ich gerne auf DHCP lassen.

Ich habe jetzt den RouterServer WanPort mit der Swisscom Internetbox LanPort verbunden und im RouterServer Setup/Basic Setup/WanSetup dem Wan Port eine IP ausserhalb des DHCP Bereichs der Intenetbox gegeben:
IP 192.168.1.254
Sub.: 255.255.255.0
Gateway: 192.168.1.1
Static DNS1: 192.168.1.1
Ist das auch ok?

Im Menü Setup/Basic Setup/Network Setup Router IP habe ich auf Local IP 192.168.2.1 Sub.: 255.255.255.0
Gateway und Local DNS weiss ich aber nicht was ich eintragen soll.


Den LTE Router (DHCP abgeshaltet) habe ich und am RouterClient WAN Port angesteckt und im im WAN Setup folgende Einstellungen zugewiesen:
IP 192.168.4.254
Sub.: 255.255.255.0
Gateway: 192.168.4.1
Static DNS1: 192.168.4.1

Im Menü Setup/Basic Setup/Network Setup Router IP habe ich auf Local IP 192.168.3.1 Sub.: 255.255.255.0
Gateway und Local DNS weiss ich aber nicht was ich eintragen soll.

Somit komm ich jetzt mit dem PC den ich an RouterServer angeschlosen habe, sowie mit dem Laptop der am RouterClient angeschlossen ist zumindest einmal ins Internet.

Ist das soweit auch in Ordnung?

Danke für deine Geduld.
Mitglied: orcape
orcape 03.04.2017 um 14:15:46 Uhr
Goto Top
Die Internetbox würde ich gerne auf DHCP lassen.
Kannst Du so lassen.
Ist das auch ok?
Ja.
Im Menü Setup/Basic Setup/Network Setup Router IP habe ich auf Local IP 192.168.2.1 Sub.: 255.255.255.0
Gateway und Local DNS weiss ich aber nicht was ich eintragen soll.
Gateway 192.168.1.1
Localen DNS hat Du nicht.

LTE Router Ok
Im Menü Setup/Basic Setup/Network Setup Router IP habe ich auf Local IP 192.168.3.1 Sub.: 255.255.255.0
Gateway und Local DNS weiss ich aber nicht was ich eintragen soll.
Wie gehabt, hier...
Gateway 192.168.4.1

Somit komm ich jetzt mit dem PC den ich an RouterServer angeschlosen habe, sowie mit dem Laptop der am RouterClient angeschlossen ist > zumindest einmal ins Internet.
Ok

- Statische IP am DSL-Port hast Du, bzw. DynDNS eingerichtet und dem OpenVPN-Client in dessen OpenVPN.conf die Daten mitgeteilt?
- Portweiterleitung 1194 an Swisscom Internet Box ist aktiviert?

Wenn ja, poste von beiden WRT54, sowohl die OpenVPN Configs und die Routingtabellen.
Mitglied: Haegi75
Haegi75 03.04.2017 um 18:25:57 Uhr
Goto Top
Hallo

Danke schon mal für die schnelle Hilfe.

Die Swisscombox hat einen eigenen DNS Dienst und dieser ist aktiviert. Port 1194 UDP ist auf 192.168.254 weitergeleitet.

Config hab ich im Moment keine, ich hatte die die im Beispiel beschrieben wurde drin. Aber leider wusste ich nicht wie ich sie anpassen sollte. Im Moment sind nur die Zertifikate und die Keys in beiden Routern.
Wo muss die Config Client eigentlich rein?

Hier mal meine Routingtabellen:

RouterServer
Destination LAN NET Subnet Mask Gateway Interface
192.168.2.0 255.255.255.0 0.0.0.0 LAN & WLAN
192.168.1.0 255.255.255.0 0.0.0.0 WAN
169.254.0.0 255.255.0.0 0.0.0.0 LAN & WLAN
0.0.0.0 0.0.0.0 192.168.1.1 WAN

RouterClient
Destination LAN NET Subnet Mask Gateway Interface
192.168.4.1 255.255.255.255 0.0.0.0 WAN
192.168.4.0 255.255.255.0 0.0.0.0 WAN
192.168.3.0 255.255.255.0 0.0.0.0 LAN & WLAN
169.254.0.0 255.255.0.0 0.0.0.0 LAN & WLAN
0.0.0.0 0.0.0.0 192.168.4.1 WAN

Gruss
Mitglied: orcape
orcape 03.04.2017 um 18:56:57 Uhr
Goto Top
Laut Routingtabellen läuft kein OpenVPN.
Config hab ich im Moment keine,
Das musst Du bei DD-WRT alles über den GUI machen. Es wird dann alles unter /tmp/openvpn bzw. /tmp/openvpncl gespeichert.
Deshalb kannst Du da auch nichts editieren und anschliessend abspeichern, das ist spätestens beim nächsten reboot weg.
Halte Dich einfach an @aqui 's Forumstutorial, da sollte nichts schief gehen. Ist eigentlich "Idiotensicher".
Fang erst mal an und poste dann bei Fehlern die Logs, ein klein wenig solltest Du schon "vorlegen". face-wink
Mitglied: Haegi75
Haegi75 03.04.2017, aktualisiert am 04.04.2017 um 07:03:11 Uhr
Goto Top
Im Beispiel war eine config und diese hab ich dann auf RouterServer per kopieren und einfügen in das Menü Sevices/ VPN/OpenVPN Deamon Fenster "OpenVPN Config" eingefügt.
Diese war dan auch nach dem reboot vorhanden.

port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0" (Default LAN IP Netz DD-WRT, muss ggf. auf verwendetes IP Netz geändert werden !!)
push "dhcp-options DNS 192.168.1.x" (Optional die IP des DNS-Server im lokalen Netz, sonst verwendet der Client den Default)
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
Mitglied: orcape
orcape 04.04.2017 um 08:43:13 Uhr
Goto Top
In die Server.conf.... route 192.168.3.0 255.255.255.0 (remoutes Netz noch einfügen, falls nicht schon in die Eingabemaske im GUI eingegeben.)
Nun das ganze noch für den OpenVPN-Client. Dort natürlich nicht das OpenVPN Deamon Fenster.face-wink
Dann kannst Du das ganze testen, falls der Tunnel nicht schon automatisch funktioniert....
Per ssh im Client-Router... openvpn /tmp/openvpncl/client.conf /bzw. openvpn.conf Eingabe (wie in @aqui 's Tutorial beschrieben).
Mitglied: Haegi75
Haegi75 04.04.2017 um 12:52:18 Uhr
Goto Top
Hallo

kannst du mir vielleicht mal meine server config oben bearbeiten und als Text wieder reinkopieren? das wäre echt nett.

Im client Router muss ich dann nicht Im Menü Sevices/VPN/OpenVPN Client starten?

Als Server IP/Name hab ich dann meinen DNS Dienst angebegen.

Muss ich dann die Config Client als Startup abspeichern?
Danke
Mitglied: aqui
aqui 04.04.2017 um 13:10:14 Uhr
Goto Top
kannst du mir vielleicht mal meine server config oben bearbeiten und als Text wieder reinkopieren?
Warum tippst du sie nicht einfach aus dem hiesigen OVPN Tutorial ab ??
Mitglied: Haegi75
Haegi75 04.04.2017 um 16:15:31 Uhr
Goto Top
Hallo
Hab ich ja gemacht. Nur leider hab ich trotz vielem lesen noch nicht begriffen wo ich welche Ip eintragen muss dass mein vpn funktioniert.

Meine confi sieht halt immer noch so aus wie in deinem Tut.

Wenn ich mit Puty dann den Server testen will, komm ich immer nur bis zum oben genannten Fehler.
Mitglied: aqui
aqui 04.04.2017 aktualisiert um 18:02:33 Uhr
Goto Top
Es gibt nur 2 IP Adressen die dafür wichtig sind !
  • Das interne OpenVPN Netz was du in der Server Konfig Datei mit server 172.16.2.0 255.255.255.0 z.B. definierst.
Hier empfiehlt es sich eine etwas "exotische" IP Netzwerk Adresse aus dem privaten RFC 1918 Bereich zu nehmen die NICHT mit deinen beiden Netzen kollidiert. Z.B. das obige Beispiel oder 10.138.1.0 255.255.255.0 usw. usw.

  • Die IP Adresse auf der Client Seite die in der Konfig Datei mit remote x.y.z.a 1194 definiert ist !
Die Adresse x.y.z.a ist die öffentliche IP Adresse die dein davor kaskadierter Router auf dem öffentlichen Provider Internet (xDSL) Port bekommen hat.
Welche das ist bekommst du ganz einfach raus wenn du ins Router Setup siehst oder einfach mal zu http://myexternalip.com/raw oder auch http://myexternalip.com surfst.
Auf dem Router muss zwingend noch eine Port Weiterleitung (Port Forwarding) eingerichtet sein für den Open VPN Port UDP 1194 !!

Wichtig für dich ist das du darauf achtest das dein VPN Client also der Router der die Einwahl macht immer der ist der auf der LTE Seite ist.
Der Server Router ist der der bei dir Zuhause ist. Der hat das Port Forwarding und die Server Konfig.
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Und bevor du damit blind produktiv gehst solltest du h beide WRT54 natürlich VORHER mal zusammenstecken und eine Trockenübung machen und checken ob diese die OVPN Verbindung fehlerfrei aufbauen.
Wie man das ganz einfach über den Telnet oder SSH Zugang prüft erklärt dir wieder das Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Dafür brauchst du ein Terminal Tool wie PuTTY oder TeraTerm um auf den WRT54 bzw. sein CLI zuzugreifen:
http://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
https://ttssh2.osdn.jp/index.html.en
Mitglied: orcape
orcape 04.04.2017 aktualisiert um 18:26:38 Uhr
Goto Top
Nur leider hab ich trotz vielem lesen noch nicht begriffen wo ich welche Ip eintragen muss dass mein vpn funktioniert.
Ja da kann man schon mal den "Wald vor lauter Bäumen nicht sehen", wenn man das zum ersten mal macht und vor allem wenig bis gar keine Netzwerk Kenntnisse mitbringt.
Deshalb ist es eigentlich für Leute wie Dich immer sinnvoll, wenn man sich für die Netzwerkstruktur eine kleine Zeichnung macht, da die beteiligte Hardware einzeichnet und dazu die IP-Belegung.
Da erkennt man dann auch den ein oder anderen selbst eingebauten Fehler und als kleinen Nebeneffekt lässt sich das ganze einscannen und hier hochladen. Dazu gibt es im übrigen auch einige sehr schöne Programme, um das am Rechner zu zeichnen.
Das dient den Kollegen dazu, die Problem einfacher lösen zu können, ohne ständig in die "Kristallkugel" zu schauen. face-wink
Mitglied: Haegi75
Haegi75 04.04.2017 aktualisiert um 22:55:23 Uhr
Goto Top
Hallo

Du kennst ja mitlerweile meine Sercer Config:

port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Die Zeile server ist das die IP des VPN?
push route welche meiner IP muss da eingegeben werden.
Wenn ich Versuche mit Putty meinen Server zu testen komme ich nur bis zur folgenden Meldung:

root@DD-WRT:~# openvpn /tmp/openvpn/openvpn.conf
Thu Jan 1 01:31:02 1970 OpenVPN 2.1_rc20 mipsel-unknown-linux-gnu [SSL] [LZO1] [EPOLL] built on Oct 10 2009
Thu Jan 1 01:31:03 1970 Diffie-Hellman initialized with 2048 bit key
Thu Jan 1 01:31:03 1970 WARNING: file '/tmp/openvpn/key.pem' is group or others accessible
Thu Jan 1 01:31:03 1970 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Jan 1 01:31:03 1970 TCP/UDP: Socket bind failed on local address [undef]:1194: Address already in use
Thu Jan 1 01:31:03 1970 Exiting
root@DD-WRT:~#

Bild Netzwerk angehängt
netzwerk
Mitglied: orcape
orcape 05.04.2017 um 08:36:00 Uhr
Goto Top
Die Zeile server ist das die IP des VPN?
Das Netz des VPN.
push route welche meiner IP muss da eingegeben werden.
Mit dem push-Eintrag teilst Du dem Client mit, welches Dein Netz/LAN hinter dem Server ist. Bei Dir...
push "route 192.168.2.0 255.255.255.0"
Wenn ich Versuche mit Putty meinen Server zu testen...
openvpn /tmp/openvpn/openvpn.conf
Wenn der Server eingerichtet ist, findet dieser Test auf dem Client statt, denn dieser initiiert die Verbindung ! Wenn Du das auf dem Server machst und dieser läuft bereits, kommt....
Thu Jan 1 01:31:03 1970 TCP/UDP: Socket bind failed on local address [undef]:1194: Address already in use
...und bricht ab, da Port 1194 ja bereits verwendet wird.
Du kennst ja mitlerweile meine Sercer Config:
Leider nicht die Client.conf. face-sad
...nicht vergessen, oben schon geschrieben...
In die Server.conf.... route 192.168.3.0 255.255.255.0 (remoutes Netz noch einfügen, falls nicht schon in die Eingabemaske im GUI
eingegeben.)
route 192.168.3.0 255.255.255.0
...einfügen.
Mitglied: Haegi75
Haegi75 05.04.2017 um 13:02:43 Uhr
Goto Top
Hallo

dann muss meine Server config so aussehen:

port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 10.138.1.0 255.255.255.0
route 192.168.3.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

In meinen Client kann ich aber keine config eingeben. dort hab ich nur ein Menü. Siehe Bild.
screenshot 2017-04-05 13.00.59
Mitglied: orcape
orcape 05.04.2017 um 14:10:09 Uhr
Goto Top
Was sollen die ständigen Änderungen....
server 172.16.2.0 255.255.255.0
und nun...
server 10.138.1.0 255.255.255.0
...willst Du uns testen?
Das neu gewählte Netz ist zwar auch Ok, aber besser wird 's dadurch nicht.face-wink
In meinen Client kann ich aber keine config eingeben. dort hab ich nur ein Menü. Siehe Bild.
Das ist die Eingabemaske, wo ist das Problem? Das was Du da eingibst, erscheint dann in /tmp/openvpncl/openvpn.conf .
Es gibt Unterschiede bei den DD-WRT Versionen, bei mir 03/25/13 Mega...

bildschirmfoto_2017-04-05_13-38-54

Da gibt es eine Option Advanced Options, da kannst Du noch erforderliche zusätzliche Eingaben zur .conf machen, die dann auch den Reboot überleben.
Deine Version ist leider noch die 10/10/09 VPN, also bedeutend älter. DD-WRT ist in Sachen neuerer Firmware leider schon etwas "gewöhnungsbedürftig", bis man gefunden hat, was auch funktioniert.
Ob Du das allerdings benötigst bleibt abzuwarten.
Trage da erst mal alle Daten ein, dann sehen wir weiter.
Mitglied: Haegi75
Haegi75 05.04.2017 aktualisiert um 19:32:05 Uhr
Goto Top
Hallo
sicher nicht will ich euch testen.

Dann kann ich also bei Server IP/Name meinen DNS Dienst eingeben?

Den Key und die Zertifikate und dann wäre das alles?

Jetzt kommt ich sooo weit, ist sicher schon mal ein Fortschritt.


root@DD-WRTClient:~# openvpn /tmp/openvpncl/openvpn.conf
Wed Apr 5 19:27:53 2017 OpenVPN 2.1.1 mipsel-unknown-linux-gnu [SSL] [LZO2] [EPOLL] built on Aug 7 2010
Wed Apr 5 19:27:53 2017 WARNING: file '/tmp/openvpncl/client.key' is group or others accessible
Wed Apr 5 19:27:53 2017 UDPv4 link local: [undef]
Wed Apr 5 19:27:53 2017 UDPv4 link remote: 83.77.7.181:1194
Wed Apr 5 19:28:05 2017 [server01.Staldenried] Peer Connection Initiated with 83.77.7.181:1194
Wed Apr 5 19:28:08 2017 TUN/TAP device tun2 opened
Wed Apr 5 19:28:08 2017 /sbin/ifconfig tun2 172.16.2.6 pointopoint 172.16.2.5 mtu 1500
Wed Apr 5 19:28:08 2017 ERROR: Linux route add command failed: external program exited with error status: 255
Wed Apr 5 19:28:08 2017 ERROR: Linux route add command failed: external program exited with error status: 255
Wed Apr 5 19:28:08 2017 Initialization Sequence Completed
Mitglied: orcape
orcape 05.04.2017 um 19:36:22 Uhr
Goto Top
Dann kann ich also bei Server IP/Name meinen DNS Dienst eingeben?
Ja.
Den Key und die Zertifikate und dann wäre das alles?
So ein OpenVPN-Tunnel ist keine triviale Sache, da kann einem noch einiges daneben gehen.
Aber ja. dann könntest Du an Hand des Routing-Protokolls schon einmal sehen, ob der Tunnel funktioniert.
Wenn nicht, vom Client aus mit Putty testen...
openvpn /tmp/openvpncl/openvpn.conf
Mitglied: Haegi75
Haegi75 05.04.2017 um 19:53:45 Uhr
Goto Top
root@DD-WRTClient:~# openvpn /tmp/openvpncl/openvpn.conf
Wed Apr 5 19:27:53 2017 OpenVPN 2.1.1 mipsel-unknown-linux-gnu [SSL] [LZO2] [EPOLL] built on Aug 7 2010
Wed Apr 5 19:27:53 2017 WARNING: file '/tmp/openvpncl/client.key' is group or others accessible
Wed Apr 5 19:27:53 2017 UDPv4 link local: [undef]
Wed Apr 5 19:27:53 2017 UDPv4 link remote: 83.77.7.181:1194
Wed Apr 5 19:28:05 2017 [server01.Staldenried] Peer Connection Initiated with 83.77.7.181:1194
Wed Apr 5 19:28:08 2017 TUN/TAP device tun2 opened
Wed Apr 5 19:28:08 2017 /sbin/ifconfig tun2 172.16.2.6 pointopoint 172.16.2.5 mtu 1500
Wed Apr 5 19:28:08 2017 ERROR: Linux route add command failed: external program exited with error status: 255
Wed Apr 5 19:28:08 2017 ERROR: Linux route add command failed: external program exited with error status: 255
Wed Apr 5 19:28:08 2017 Initialization Sequence Completed
Mitglied: orcape
orcape 05.04.2017 um 20:04:16 Uhr
Goto Top
Na ja, bis auf die Fehlermeldung sieht das schon mal nicht schlecht aus.
Nun solltest Du mal auf die Tunnelendpunkte pingen. Was sagen die Routing-Protokolle? Beidseits !
Mitglied: Haegi75
Haegi75 05.04.2017 um 20:16:12 Uhr
Goto Top
screenshot 2017-04-05 20.11.59
RouterClient


screenshot 2017-04-05 20.09.58
RouterServer
Mitglied: orcape
orcape 05.04.2017 um 21:06:59 Uhr
Goto Top
Was sagen die pings?
Mitglied: Haegi75
Haegi75 05.04.2017 um 22:44:26 Uhr
Goto Top
Ping funktioniert nicht. bin mir aber auch nicht sicher welche ip die Tunnelendpunkte sind und ob meine server config überhaubt stimmt mi der weiterleitung.
Mitglied: orcape
orcape 06.04.2017 um 07:46:06 Uhr
Goto Top
Idealerweise sollte der Tunnel für den Server bei Dir die IP 172.16.2.1 und der Client die IP 172.16.2.2 haben.
Wed Apr 5 19:28:08 2017 /sbin/ifconfig tun2 172.16.2.6 pointopoint 172.16.2.5 mtu 1500
Bei Dir 172.16.2.1 und 172.16.2.6, das deutet auf einen Multiclienttunnel hin, den Du als Point-to-Point eigentlich nicht haben solltest.
Hast Du in der Server.conf den Eintrag... Client-to-Client drin? Wenn, dann entfernen.
Wie sieht die Client.conf aus?
Mitglied: Haegi75
Haegi75 07.04.2017 um 20:27:32 Uhr
Goto Top
Hallo
Bei meinen Einstellungen gibt es diesen Punkt Clien to Client gar nicht:
screenshot 2017-04-07 20.25.28
Mitglied: aqui
aqui 07.04.2017 aktualisiert um 21:49:10 Uhr
Goto Top
Du willst ja auch gar keine Client to Client Kommunikation machen.
Kannst du also geflissentlich ignorieren den Punkt face-wink

Außerdem solltest du nicht immer nur nach dem GUI gehen. Wie oben schon mehrfach an dich appelliert:
Nutze den Telnet oder SSH Zugang über PuTTY oder TeraTerm um dir auf dem Router CLI die Konfigs nochmal genau anzusehen.
Zum Testen des VPN Tunnels brauchst du das so oder so:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Also PuTTY anschmeissen und nachsehen !
Mitglied: Haegi75
Haegi75 07.04.2017 um 21:56:18 Uhr
Goto Top
Putty hab ich doch schon lange drauf!!
und welches ### GUI von dem du immer sprichst...

Sorry kann langsam nicht mehr..
Mitglied: orcape
orcape 08.04.2017 um 16:53:29 Uhr
Goto Top
und welches ### GUI von dem du immer sprichst...
Sorry, aber das sind eigentlich Dinge, die, wenn man schon nicht weis, man zumindest googlen kann....
https://www.google.de/search?q=GUI&ie=utf-8&oe=utf-8&gws_rd= ...
...also nichts weiter, wie die grafische Routeroberfläche, auf der Du Deine Eingaben machst.
Wie @aqui schon gesagt hat, nach Eintrag in den GUI, Kontrolle mit Putty per ssh oder Telnet auf den Router.
Die configs sowohl vom Server, wie vom Client kopieren und posten.
Irgend etwas hast Du falsch gemacht, denn auch Dein Routingprotokoll vom Client bringt 3 verschiedene tun-Interfaces. tun 0-2
Ob Du die aktuellsten Firmware-Versionen auf den Routern hast, darf auch bezweifelt werden, aber da fehlt dann wieder die Information zu den genauen Routerversionen. Es sollte allerdings auch mit der im Augenblick geflashten Version von DD-WRT funktionieren.
Ging bis Dato bei jedem, also wieso nicht bei Dir.
Sorry kann langsam nicht mehr..
Wie ich schon gesagt hatte, keine triviale Sache. Wenn die Geduld fehlt, machen lassen. Es gibt genügend Leute, die damit Ihre Brötchen verdienen.face-wink
Gruß orcape
Mitglied: Haegi75
Haegi75 09.04.2017 um 08:58:35 Uhr
Goto Top
Hallo
Hab mich wieder berühigt.
Die Kontrolle mit Putty hab ich gemacht und da erscheint ja die weiter open gepostete Meldung. Leider weiss ich aber nicht wie ich an die Client Config rankomme.
Die Firmware (VPN Generic ) hab ich hier runtergeladen: http://www.dd-wrt.com/site/support/router-database. Es gibt dort auch noch eine Version von 09.08.2010. Meine ist ein Jahr älter. Meine Router sind Linksys WRT 54GL Version 1.1 Serialnummer fängt mit CL7C an.
Mitglied: aqui
aqui 09.04.2017 aktualisiert um 10:53:46 Uhr
Goto Top
Leider weiss ich aber nicht wie ich an die Client Config rankomme.
Einfach mal das Tutorial wirklich lesen ! face-wink Ist aber kinderleicht...
Du gehst mit Telnet oder SSH aufs CLI und loggst dich als Root User ein. Dann gibst du ein:
ls -l /tmp/openvpn

und checkst ob die Datei openvpn.conf dort vorhanden ist. Sollte sie eigentlich !?!
Dann gibst du ein:
cat /tmp/openvpn/openvpn.conf

Das sollte dir dann deine OVPN Konfig Datei zeigen.
Es gibt dort auch noch eine Version von 09.08.2010
Du solltest besser da immer die Aktuellste nehmen. Also die latest und greatest nochmal flashen.
Mitglied: orcape
orcape 09.04.2017 um 11:25:10 Uhr
Goto Top
Leider weiss ich aber nicht wie ich an die Client Config rankomme.
So ist das, wenn man ein Windows User ist.
Man sollte sich eigentlich ein wenig mit Linux auskennen, bevor man solche "Projekte" angeht, macht es leichter und zwingt uns nicht dazu, im "Urschleim" zu wühlen. face-wink
Aber sei es drum....
PC im LAN des Servers, Putty/Konsole nutzen:
Bsp. Eingabe für den Server...
root@haegi75:~#ssh 192.168.2.1 oder telnet 192.168.2.1 (ssh /telnet kannst Du im GUI vorher unter Services aktivieren)
Und nun solltest Du Dich erst mal mit "vi" beschäftigen, einem Editor den DD-WRT per default mitbringt. (Suchfunktion bei Google hilft weiter)
Bevor Du die config zerschiesst. Im Zweifelsfall Router neu booten.
Einen Grundlehrgang, wie man vi benutzt, werde ich Dir aber nicht geben, ist mindesten so trivial, wie einen OpenVPN-Tunnel einzurichten.
Eigentlich brauchst Du hier nur zu wissen, wie Du die Datei editierst und wie Du sie wieder verlässt, ohne Schaden anzurichten.face-wink
Nun...
root@haegi75:~#cd /tmp/openvpn (Pfad suchen, wenn Du im /tmp Verzeichnis bist mit Eingabe von ls)
root@haegi75:/tmp/openvpn#
root@haegi75:/tmp/openvpn# vi openvpn.conf
Dann den Inhalt kopieren. So einfach ist das. face-wink

Die Firmware (VPN Generic ) hab ich hier runtergeladen: http://www.dd-wrt.com/site/support/router-database. Es gibt dort auch noch eine
Version von 09.08.2010. Meine ist ein Jahr älter.
Du solltest immer die aktuellste Firmware flashen und die Datenbank ist nicht wirklich aktuell.
Dazu musst Du Dich aber ein wenig im DD-WRT Forum "herumtreiben" und das richtige zu finden, ist auch wiederum nicht trivial.
Du hast also wohl noch einiges an Arbeit vor Dir, welches Deinen "Geduldsfaden" wohl noch auf eine harte Probe stellen wird. face-wink
Gruss orcape
Mitglied: orcape
orcape 09.04.2017 um 11:28:47 Uhr
Goto Top
@aqui
Dann gibst du ein:
cat /tmp/openvpn/openvpn.conf
Das sollte dir dann deine OVPN Konfig Datei zeigen.
Ist wohl einfacher, wie der Grundlehrgang mit "vi", der dürfte aber auch nicht umsonst sein. face-wink
Mitglied: Haegi75
Haegi75 09.04.2017 aktualisiert um 13:41:54 Uhr
Goto Top
Hallo

Anderes bzw neues Problem
Ich habe an den Zertifikaten und Keys nichts geändert.
Hab jetzt nochmal den Test mit Putty gemacht. Jetzt kommt folgende Meldung:

root@DD-WRT:~# openvpn /tmp/openvpncl/openvpn.conf
Thu Jan 1 00:06:18 1970 OpenVPN 2.1.1 mipsel-unknown-linux-gnu [SSL] [LZO2] [EPOLL] built on Aug 7 2010
Thu Jan 1 00:06:19 1970 WARNING: file '/tmp/openvpncl/client.key' is group or others accessible
Thu Jan 1 00:06:19 1970 UDPv4 link local: [undef]
Thu Jan 1 00:06:19 1970 UDPv4 link remote: 83.77.7.181:1194
Thu Jan 1 00:06:23 1970 VERIFY ERROR: depth=1, error=certificate is not yet valid: /C=CH/ST=VS/L=Stal/O=OpenVPN/OU=_VPN_G*_/CN=server01.St/name=_OpenVPN_Key_R*_/emailAddress=r@hotmail.com
Thu Jan 1 00:06:23 1970 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:lib(20):func(144):reason(134)
Thu Jan 1 00:06:23 1970 TLS Error: TLS object -> incoming plaintext read error
Thu Jan 1 00:06:23 1970 TLS Error: TLS handshake failed
Thu Jan 1 00:06:23 1970 SIGUSR1[soft,tls-error] received, process restarting
Thu Jan 1 00:06:25 1970 Re-using SSL/TLS context
Mitglied: aqui
aqui 09.04.2017 aktualisiert um 13:51:25 Uhr
Goto Top
Anonymisiere bitte mal deine Email Infos in dem Posting hier !!
Nur aus Eigeninteresse....

Nur soviel: Deine Zertifikatsgenerierung ist schiefgelaufen. Du hast kein gültiges Zertifikat eingespielt auf dem Router.
Deshalb schlägt der Tunnelaufbau fehl ! "error=certificate is not yet valid: ".

Auch möglich das du einen Copy and Paste Error gemacht hast wenn du dir die Zertifikate extern generiert hast und auf den DD-WRT per Copy und Paste via GUI übertragen hast.
Er findet das Zertifikat, was schonmal gut ist aber es ist fehlerhaft weil dort normaler Text drin ist der da nicht hingehört.
Am besten die Zertifikate nochmal neu generieren oder neu übertragen.

Ansonsten ist deine Vorgehensweise genau richtig ! Durch die o.a. Fehlermeldung weiss man genau was los ist.
Mitglied: Haegi75
Haegi75 09.04.2017 um 13:45:30 Uhr
Goto Top
upps Danke!
Mitglied: Haegi75
Haegi75 10.04.2017 um 05:26:24 Uhr
Goto Top
Hallo
Hab ein reset am RouterClient ausführen müssen. Powerlampe hat nur noch geblinkt.
Habe mir jetzt mal eine neuere Firmware im Netz gesucht und geflasht.
Hat auch beim ersten mal geklappt ohne Fehler.

Nun habe ich im Menu den VPN Client aktiviert. Per Putty wollte ich dann testen ob die Config vorhanden ist. Leider Fehlanzeige. Hab nur dies angezeigt bekommen:

root@DD-WRT:~# ps
PID USER VSZ STAT COMMAND
1 root 1624 S /sbin/init noinitrd
2 root 0 SW [keventd]
3 root 0 RWN [ksoftirqd_CPU0]
4 root 0 SW [kswapd]
5 root 0 SW [bdflush]
6 root 0 SW [kupdated]
10 root 0 SW [mtdblockd]
14 root 1740 S watchdog
171 root 1436 S telnetd
193 root 1696 S wland
195 root 864 S dnsmasq -u root -g root --conf-file=/tmp/dnsmasq.con
200 root 696 S cron
205 root 1440 S udhcpc -i vlan1 -p /var/run/udhcpc.pid -s /tmp/udhcp
213 root 1584 S ttraff
217 root 1548 S dropbear -b /tmp/loginprompt -r /tmp/root/.ssh/ssh_h
223 root 2456 S startstop_f run_rc_startup
244 root 2748 S httpd -p 80
254 root 1696 S resetbutton
356 root 1616 S dropbear -b /tmp/loginprompt -r /tmp/root/.ssh/ssh_h
369 root 1448 S -sh
373 root 1444 R ps
Mitglied: Haegi75
Haegi75 10.04.2017 um 05:35:57 Uhr
Goto Top
Hat sich erledigt.
Nach einer längeren Trennung vom Stromnetz ist jetzt auch die Config vorhanden!
Mitglied: aqui
aqui 10.04.2017 um 10:18:59 Uhr
Goto Top
Leider Fehlanzeige. Hab nur dies angezeigt bekommen:
In Bezug aufs Finden der Konfig Datei ist das auch Blödsinn, denn "ps" zeigt die laufenden Prozesse auf dem Router an aber keine Dateistruktur !
Das macht man mit "ls -l"
Aber gut wenn nun alles da ist wie es soll. Jetzt müssen nur noch deine Zertifikate stimmen und du bist am Ziel face-wink
Mitglied: Haegi75
Haegi75 10.04.2017 um 11:35:41 Uhr
Goto Top
Hallo

Hier mal die Client Konfig. Hab aber noch nicht testen können. Wäre die soweit ersichtlich ok?

ca /tmp/openvpncl/ca.crt
cert /tmp/openvpncl/client.crt
key /tmp/openvpncl/client.key
management 127.0.0.1 16
management-log-cache 100
verb 3
mute 3
syslog
writepid /var/run/openvpncl.pid
client
resolv-retry infinite
nobind
persist-key
persist-tun
script-security 2
dev tun1
proto udp
cipher bf-cbc
auth md5
remote mein.ddns.net 1194
comp-lzo adaptive
tun-mtu 1500
mtu-disc yes
fast-io
tun-ipv6
Mitglied: aqui
aqui 10.04.2017 aktualisiert um 13:38:18 Uhr
Goto Top
Die Tunnel MTU solltest du auf 1400 setzen. Ist etwas viel Default Overhead drin. Du kannst die ganze Konfig auch auf schlanke:

client
dev tun
proto udp
remote mein.ddns.net 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /tmp/openvpncl/ca.crt
cert /tmp/openvpncl/client.crt
key /tmp/openvpncl/client.key
ns-cert-type server
comp-lzo
verb 3


eindampfen und all den überflüssigen Default weglassen !
Ansonsten sieht das sehr gut aus. !
Mitglied: Haegi75
Haegi75 10.04.2017 um 15:38:55 Uhr
Goto Top
Neues Problem

immer wenn ich den LTE Router an den WAN Port des Client Router anschliesse habe ich einen Moment Internetzugriff. Nach ein paar Sekunden oder wenn ich auf meinen Client Router zugreife ist das Internet weg und nichts geht mehr. Zugriff weder auf den Clientrouter noch auf den angeschlossenen LTE Router.
Einzige Möglichkeit um wieder auf den Client zu kommen ist den LTE zu entfernen und den Client neu zu starten.
Habe dem WAN Port so konfigruiert: IP 192.168.4.254 Sub 255.255.255.0 Gatway 192.168.4.1
Auf den LTE Router (jetzt direkt am LAN Port PC angeschlossen) komme ich auch nach Neustart nicht mehr drauf.