[Problem] AVM 7390 OpenVPN Fehler "unable to redirect default gateway ..."

[tcbox]

Hallo Forenmitlieder,
ich habe bei meiner 7390 ein Freetz 84.05.05freetz-devel, Kernel 2.6.28.10 mit OpenVPN konfiguriert.
Leider erhalte ich beim Start: "NOTE: unable to redirect default gateway... Somit habe ich auch kein Routing über den Tunnel.

OpenVPN 2.2.1 mips-linux [SSL] [LZO2] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 14 2011
NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
RESOLVE: NOTE: chpro.vpnswiss.com resolves to 5 addresses
NOTE: chroot will be delayed because of --client, --pull, or --up-delay
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
UDPv4 link local: [undef]
UDPv4 link remote: [AF_INET]94.231.84.82:1194
[server] Peer Connection Initiated with [AF_INET]94.231.84.82:1194
TUN/TAP device tun0 opened
do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
/sbin/ifconfig tun0 [B]10.203.0.16[/B] netmask 255.255.0.0 mtu 1500 broadcast 10.203.255.255
[B]NOTE: unable to redirect default gateway -- Cannot read current default gateway from system[/B]
chroot to '/tmp/openvpn' and cd to '/' succeeded
GID set to openvpn
UID set to openvpn
Initialization Sequence Completed

193.158.137.14  *               255.255.255.255 UH    4      0        0 dsl
[B]93.199.89.128[/B]   *               255.255.255.255 UH    2      0        0 dsl
...
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
[B]10.203.0.0[/B]      *               255.255.0.0     U     0      0        0 tun0
default         *               0.0.0.0         U     2      0        0 dsl

Was ich gefunden und probiert habe, geht leider bei mir nicht:

route add dein.dyndns.name dev dsl
# meine IP: [B]93.199.89.128[/B]
route add -net 0.0.0.0/1 dev tun0
route add -net 128.0.0.0/1 dev tun0

193.158.137.14  *               255.255.255.255 UH    4      0        0 dsl
[B]93.199.89.128[/B]   *               255.255.255.255 UH    2      0        0 dsl
...
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
...
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
[B]10.203.0.0[/B]      *               255.255.0.0     U     0      0        0 tun0
default         *               128.0.0.0       U     0      0        0 tun0
128.0.0.0       *               128.0.0.0       U     0      0        0 tun0
default         *               0.0.0.0         U     2      0        0 dsl

Danach geht kein Surfen mehr und das VPN versucht immer zu reconnecten.

Ich möchte gerne folgendes erreichen:
- Routing des gesamten Netzwerkverkehrs über das VPN
- Surfen mit der IP am Ende des Tunnels
- weitere Nutzung von IP-TV (Entertain) aufrecht erhalten

Wärt Ihr so nett, mir zu sagen, was ich falsch mache? Oder wo der Fehler in meinem Ansatz liegt? Ich muss zu meiner Schande gestehen, dass ich keine Erfahrung beim Erstellen von Routing Tabellen habe. Und auch nicht mit iptables die ich wohl auch noch benötige.

Schon mal Vielen Dank für Euere Hilfe
Heiko

 

[MaxMuster]

Dein Ansatz mit den Routen war schon ganz gut, nur eine Sache war "daneben", du hast (wenn ich das richtig gesehen habe) deine eigene IP als Hostroute eingetragen, das muss aber die IP des VPN-Servers sein, also das was da steht bei

UDPv4 link remote: [AF_INET][B]94.xxx.xxx.xxx[/B]:1194
[server] Peer Connection Initiated with [AF_INET][B]94.xxx.xxx.xxx[/B]:1194

Insgesamt müsste das mit dem Routing wohl lauten

route add dns.name[B].des.Servers[/B] dev dsl
# Server IP: 94.xxx.xxx.xxx
route add -net 0.0.0.0/1 dev tun0
route add -net 128.0.0.0/1 dev tun0

Damit sollte alles durch den Tunnel gehen. Ist denn der Server "deiner"? Denn wenn die Clients aus dem LAN auch durch den Tunnel sollen, muss der VPN-Server dein LAN zu deinem VPN-Client schicken. Ansonsten brauchst du, wie vermutet, iptables um das Netz per NAT zu verstecken.

Was mir jetz nicht klar ist, ist die Sache mit dem IP-TV: Wo ist das? Auf welcher Seite der VPN-Verbindung?

 

[tcbox]

Hi, erstmal danke. Ist mir jetzt irgendwie peinlich, so einen Gedankendreher gehabt zu haben *schäm*.

traceroute to [url]www.ip-phone-forum.de[/url] (78.46.255.242), 30 hops max, 38 byte packets
 1  10.203.0.1 (10.203.0.1)  31.871 ms  35.855 ms  35.856 ms
 2  zh1-cr3.ch-meta.net (80.74.128.21)  35.855 ms  39.839 ms  35.855 ms
...

So und nun erstmal Deine Fragen beantworten. Nein der Server ist nicht meiner, es ist ein bezahlter Dienst: VPNSwiss.

Zum Entertain: ich hatte bedenken, dass ich bei Entertain der Telekom dann TV durch denn Tunnel sehe, wenn ich das Routing ändere. Dem scheint aber nicht so zu sein.

Jetzt habe ich in der Tat noch drei Fragen an Dich. Wie mache ich das, das Netz nun per NAT verstecken. Habe mal vorsorglich ins Freetz iptables und nhipt mit rein, falls ich das brauchen sollte. Denke allerdings, besser es irgendwo das richtige mit vi einzutragen.

Du hast ja in der Ausgabe oben gesehen:

RESOLVE: NOTE: chpro.vpnswiss.com resolves to 5 addresses

Muss ich mich jetzt für eine IP entscheiden und fest verdrahten, oder kann ich irgendwie auslesen welche genommen wurde und die per Script als Gateway setzen. Bequemer ist sicher eine. Da es ja ein Anonymisierungsdienst ist, ist sichererer das dem "Zufall" zu überlassen welche verwendet wird?

Und zuletzt, nehme ich richtiger Weise an, dass ich bei Onlinechanged ein Startscript und ein killall openvpn einbauen sollte? Und natürlich falls ich mich nicht für eine feste IP entscheide die Route löschen.

Danke nochmal

 

[MaxMuster]

Mein Vorschlag wäre, für alle möglichen IPs des Servers eine feste Route einzutragen, man weiß ja nicht, welche genutzt wird:

NAME=chpro.vpnswiss.com 
for IP in $(nslookup $NAME | sed -n "/$NAME/,$ p" | sed -n "/Address/ s/Address [0-9]: \([0-9\.]*\).*/\1/ p"); do
	route add $IP dev dsl
done

Wenn das mit dem Routing durch das VPN klappt, brauchst du eigentlich "nur" noch diesen NAT-Befehl:

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Eine Änderung der DSL-IP sollte eigentlich "übergangen" werden und das VPN sich neu verbinden. Da die IP der Gegenstelle(n) ja nicht dynamisch sind, musst du am Routing nichts weiter ändern (sofern nicht die Hostrouten dabei verloren gehen und erneut eingerichtet werden müssten)...

 

[tcbox]

Der Vorschlag erscheint mir recht geschickt.

Gut, dass Du das "nur" in Anführungszeichen gesetzt hast. Ich habe alle Module von iptables unter testing beim Freetz eingebaut. Dennoch habe ich folgende Meldung:

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables v1.4.11.1: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Auch die modprobe laufen schief

modprobe: module iptable_filter not found in modules.dep
modprobe: module ip_tables not found in modules.dep
modprobe: module ipt_LOG not found in modules.dep
modprobe: module ipt_REJECT not found in modules.dep
modprobe: module x_tables not found in modules.dep
...

Kann ich das irgendwie lösen? Habe gerade in einem anderen Beitrag gelesen, dass NAT im Freetz fehlt.

Hast Du eine Idee / Workaround, was ich machen kann?

 

[MaxMuster]

Du musst zunächst die nötigen Module laden (lassen). Deshalb versuche es mal mit der GUI, ansonsten musst du die Module von Hand laden.

Ach so, könnte natürlich auch ein Problem der Firmware sein, bei der 05.05 wurde was deaktiviert... Genau in dem von dir genannten Thread.

Das heißt leider für dein Ansinnen: Geht nicht :-(

Es kann dann immer nur direkt das Gerät, was "VPN-Client" ist das VPN nutzen. Für alle anderen müsstest du NAT haben.
Einzige Idee wäre, andere (ältere) Firmware oder eine andere Box nur dafür zu nutzen.

 

[tcbox]

Hallo Jörg,
danke erstmal. Ich versuche mal eine Lösung wegen dem NAT zu finden. Mit der 84.04.91freetz-1.2-stable
ging es auch nicht
Andere Box ist blöd, hab mir extra die 7390 zugelegt, da der alte W721V Platzmangel hatte und kein USB.

 

[tcbox]

Hallo Jörg,

also nun geht es alles wie hier beschrieben, wenn ich es manuell mache. Bei der 7390 muss man wirklich auf 84.04.91freetz-1.2-preview zurück. Die 05.05 mags nicht. Meine Box war eh recht zickig

Jetzt habe ich allerdings ein letztes Problemchen.

In

/var/tmp/flash/onlingechanged

ist ein start_vpn.sh, das bei online ein weiteres script aufruft:

#!/bin/sh
NAME=blahfasel.com.
for IP in $(nslookup $NAME | sed -n "/$NAME/,$ p" | sed -n "/Address/ s/Address [0-9]: \([0-9\.]*\).*/\1/ p"); do
      route add $IP dev dsl
done

openvpn --config /var/tmp/flash/openvpn/vpn1.conf

route add -net 0.0.0.0/1 dev tun0
route add -net 128.0.0.0/1 dev tun0
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Es wird das vpn gestartet, aber die Routen werden nicht gesetzt. Wenn ich die Routen danach manuell setzte und masquerade durchführe, bleibt es bis zum nächsten onlinechanged.

Hat das mit den Rechten zu tun, ist onlinechanged nicht berechtigt Routen zu setzen?

Danke Dir
Gruss Heiko