OpenVPN Traffic tunneln / Firewall Problem

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
H

handy-style

Neuer User
Mitglied seit
10 Jul 2007
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Moin ;)

habe folgendes Scenario bei dem ich nicht weiter komme, vielleicht hat ja von Euch jemand eine Idee:

FritzBox an 1&1 Anschluss (IP 192.168.1.1) - (statische Route gesetzt 192.168.222.0 / 255.255.255.0 / GW 192.168.1.4) - (Portfreigabe 1194 auf 192.168.1.4)
OpenWRT Router mit BB auf dem mein OpenVPN Server läuft (Local IP 192.168.1.4 / OVPN Server IP 192.168.222.1) Firewall deaktiviert
|
|
|
OpenWRT Router mit BB als Client. Dieser Router verbindet sich über einen LTE Stick mit dem Netz.
Ich komme via ovpn auf diesen Router drauf aber die DNS-Auflösung funktioniert auf diesem Gerät nicht.

Ping zur Google IP geht:
root@Nexx:~# ping 173.194.113.143
PING 173.194.113.143 (173.194.113.143): 56 data bytes
64 bytes from 173.194.113.143: seq=0 ttl=56 time=100.060 ms
64 bytes from 173.194.113.143: seq=1 ttl=56 time=90.440 ms
64 bytes from 173.194.113.143: seq=2 ttl=56 time=98.080 ms
Zum Vergrößern anklicken....

Traceroute:
root@Nexx:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 38 byte packets
1 192.168.222.1 (192.168.222.1) 59.420 ms 48.580 ms 48.599 ms
2 192.168.1.1 (192.168.1.1) 59.340 ms 49.300 ms 49.620 ms
3 87.186.225.120 (87.186.225.120) 72.460 ms 99.040 ms 70.420 ms
.
.
.
Zum Vergrößern anklicken....

Ich habe im Server push "redirect-gateway def1" und push "dhcp-option DNS 192.168.1.1" eingestellt da ich den Client Traffic tunneln möchte.
Auf dem Client ist Pull aktiviert. Wenn ich mich mit meinem Iphone oder win7 PC mit selbiger Client Config verbinde klappt alles wie ich mir das vostelle.... der Traffic wird zum Server getunnelt.

Daher liegt es nahe das mir in dem OpenWRT Client Router mit der Firewall etwas nicht passt.... hier ein Auszug der FW:

Code: 
root@Nexx:/etc/config# cat firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'lan'

config zone
        option name 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        option network 'wan wan6 3g wwan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fe80::/10'
        option src_port '547'
        option dest_ip 'fe80::/10'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config zone
        option name 'vpn'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option masq '1'
        option forward 'ACCEPT'
        option network 'openvpn vpn'

config forwarding
        option dest 'vpn'
        option src 'lan'

config forwarding
        option dest 'wan'
        option src 'lan'

config forwarding
        option dest 'lan'
        option src 'vpn'

Und hier die Routingtabelle von dem Client-Router:

Code: 
Aktive IPv4-Routen
Netzwerk 	Ziel 	IPv4-Gateway 	Metrik 	Tabelle
vpn 	0.0.0.0/1 	192.168.222.1 	0 	main
wwan 	0.0.0.0/0 	10.51.106.190 	0 	main
wwan 	10.51.106.188/30 		0 	main
wwan 	10.51.106.190 		0 	main
wwan 	80.138.xxx.xxx 	10.51.106.190 	0 	main
vpn 	128.0.0.0/1 	192.168.222.1 	0 	main
lan 	192.168.10.0/24 		0 	main
vpn 	192.168.222.0/24 		0 	main

Grüße,
Benny
 
Zuletzt bearbeitet:
Bin schon mal ein Schritt weiter... Wenn ich dem tun0 Interface statische Werte gebe funktioniert alles einwandfrei.

Laut openvpn Doku hat es hiermit zu tun:
The OpenVPN server can push DHCP options such as DNS and WINS server addresses to clients (some caveats to be aware of). Windows clients can accept pushed DHCP options natively, while non-Windows clients can accept them by using a client-side up script which parses the foreign_option_n environmental variable list. See the man page or openvpn-users mailing list archive for non-Windows foreign_option_n documentation and script examples.

Ich müsste also in der Client Config ein up Script angeben mit der "foreign_option" wenn ich das richtig vertsanden habe, da mein Client Router ein "non-Windows System" ist.
Nur hab ich davon absolut keinen schimmer und finde zu "foreign_option" auch nichts brauchbares im Netz.
Ich hab mein Ziel erst mal erreich das alles funktioniert, auch wenn nicht ganz sauber (ifconfig per ccd fände ich schon besser).
Sollte mir jemand sagen können was in diesem up-Script stehen muss, wäre ich daher sehr dankbar ;)

Grüße,
Benny
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 422 (Mitglieder: 4, Gäste: 418)

Neueste Beiträge

Statistik des Forums

Themen
244,831
Beiträge
2,219,105
Mitglieder
371,533
Neuestes Mitglied
ipeee
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück