Openvpn Freetz - DD-WRT Frage

[Lord-Schaschlik]

Tach, hab auf meiner Fritzbox 7270 Freetz mit dem aktuellen OpenVPN-Paket installiert, läuft soweit einwandfrei. Kann über einen Windows-Client eine Verbindung herstellen.

Ich möchte nun gerne einen Linksys wrt54gl mit aktueller DD-WRT V24 VPN Firmware als Client verwenden. Ich hab den Openvpn-Client am Linksys aktiviert und die benötigten Zertifikate und Keys kopiert. Bekomm aber keine Verbindung zustande. Unter Status OpenVPN ist alles leer, keine Information bei Status oder Log.

Wie stell ich die Verbindung mit dem Linksys als Client zur Fritzbox her?

Habs nach dieser Anleitung versucht, ohne Erfolg

http://www.dd-wrt.com/wiki/index.php/VPN_(the_easy_way)_v24+#Client_Configuration_-_DD-WRT

Gruß und schonmal thx

 

[µRaCoLi]

Also Configs und Logs von Client und Server helfen bei der Fehlersuche enorm!

 

[MaxMuster]

Auf jeden Fall, ohne zu wissen, was du konfiguriert hast, ist es nicht möglich, einen Fehler zu finden!

Aber zuerst mache alle Tests und Schritte, die auf den Wiki-Seiten zum "Trubelschießen";-) stehen, im Freetz-Wiki für OpenVPN und auch auf der von dir genannten Seite weiter unten unter Punkt 8. Das solltest du erstmal abarbeiten und dann, wenn du nicht weiterkommst, ggf. diese Dinge und Schritte, die du schon getan hast, hier posten.

Jörg

 

[Lord-Schaschlik]

Hab mich jetzt mal etwas länger mit dem Thema beschäftigt und bin recht weit gekommen. Sorry das ich so wenige Informationen bereit gestellt hab, so kann man wirklich keine Probleme lösen.

Stand der Dinge ist, das die Verbindung steht. Kann sowohl mit einen Windows-Client als auch direkt mit dem Router (Linksys DD-WRT) eine OpenVPN Verbindung herstellen.

Ein Problem hab ich noch. Am Windows Client kann ich über die Route die über den Push befehl übertragen wird auf mein "Server-Netzwerk" in der sich die Fritzbox befindet zugreifen (Ping und Webzugriff). Stell ich im gegensatz dazu die OpenVPN Verbindung mit dem Router her, kann lediglich der Router über Telnet (Ping) auf das Server-Netzwerk zugreifen und nicht die Clients die an diesem angeschlossen sind.
Ich denke mir fehlt noch ein Eintrag in der Routingtabelle des Routers.

Vielleicht kann mir jemand weiter helfen, hab dazu mal das Config File des Servers, des Client und die Routingtabelle angehängt, falls noch Logs gebraucht werden, bitte bescheid sagen.

Was die "ifconfig 192.168.2.1 >>192.168.200.2<<" in der Server config zu tun hab versteh ich nicht so ganz, ob das noch Müll vom probieren ist. Hab die nirgends eingetragen

Schonmal Danke

 

[Lord-Schaschlik]

Hab mich jetzt noch bissle mit iptables beschäftig, muss ich diese überhaupt beachten wenn am Linksys die Firewall deaktiviert ist. Komm einfach nicht weiter. Hab als Gateway am Windows PC den Linksys-Router eingetragen. Ohne Erfolg

 

[MaxMuster]

Was die "ifconfig 192.168.2.1 >>192.168.200.2<<" in der Server config zu tun hab versteh ich nicht so ganz ...

Was steht denn in der GUI bei der Remote-IP??

Dir fehlt vermutlich einfach nur die Route für das Netz beim Client in der Server-Konfig ("Entferntes Netz"), denn die PCs kommen ja mit ihrer "normalen" IP im Netz des Servers an...

Jörg

 

[Lord-Schaschlik]

Unter "VPN IP-Adressen und Routing im VPN" habe ich bei Lokale IP: 192.168.2.1 und als DHCP-Range für Clients: 192.168.2.100 192.168.2.110.
Das "Optional: Routing von IP-Netzen" habe ich mittlerweile komplett leer gelassen. Ich benötige lediglich einen Zugriff auf die Fritzbox. Dies ist ja über die 192.168.2.1 möglich.

Wenn ich die Client-Config direkt an einen Windows-PC benutze, bekomme ich auch zugriff auf das Webinterface der Fritzbox (192.168.2.1).

Sobald ich den Linksys Router als Client verwende, kann ich lediglich mit diesem über Telnet die 192.168.2.1 anpingen aber die angeschlossen PCs haben keinen Zugriff (weder Ping noch Webinterface).

Der Linksys Router (hat die Ip 192.168.1.10) befindet sich zusätzlich im Netz und dient nicht als Router des Internetanschlusses.

Ich habe bei den Clients als Gateway die 192.168.1.10 eingetragen, statt der 192.168.1.1 was der Router für den Internetzugang ist, ohne Erfolg.

Vielleicht hat jemand noch ne Idee, schonmal Danke.

Gruß

 

[Lord-Schaschlik]

keine ne Idee

 

[MaxMuster]

klar hat(te) einer 'ne Idee:

Bitte versuche doch, erstmal die angebotenen Lösungen umzusetzen, bevor du selbst diese als "falsch" diagnostizierst ;-)

Zu deinem "Problem" mit der "192.168.200.2":

Was steht denn in der GUI bei der Remote-IP??

Also, was steht da?? Dorthin gehört die IP der "Gegenseite" des TUN-Interfaces, in deinem Beispiel wohl 192.168.2.2.

Wenn du auf deine FB zugreifen willst, und der PC nicht selbst der Client ist, sondern der Router, hier gerne nochmal die "Lösung", sogar mit dem Hinweis, warum ;-):

Dir fehlt vermutlich einfach nur die Route für das Netz beim Client in der Server-Konfig ("Entferntes Netz"), denn die PCs kommen ja mit ihrer "normalen" IP im Netz des Servers an...

Auf den PCs müsstest du dann wie gemacht entweder das Gateway auf den Linksys "umbiegen" oder eine Route für das VPN eintragen (auf Windows: "route add [-p] 192.168.2.1 192.168.1.10"
das -p wenn es "permanent" bleiben soll)

Jörg

 

[Lord-Schaschlik]

Hab jetzt nochmal ein Recover-Image eingespielt, danach Freetz und komplett neu konfiguriert. Jetzt ist der Eintrag 192.168.200.. weg.

Server-Config sieht jetzt folgendermaßen aus:
# OpenVPN 2.1 Config, Mon Aug 2 15:45:49 CEST 2010
proto udp
dev tun
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
tls-auth /tmp/flash/static.key 0
port 1194
mode server
ifconfig-pool 192.168.2.100 192.168.2.120
push "route 192.168.2.1"
route 192.168.2.0 255.255.255.0
ifconfig 192.168.2.1 192.168.2.2
tun-mtu 1500
mssfix
verb 3
daemon
cipher BF-CBC
comp-lzo
keepalive 10 120
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Am Client-Config hat sich nichts geändert:
client
dev tun
proto udp
remote xxxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
tun-mtu 1500
ca ca.crt
cert Client.crt
ns-cert-type server
key client.key
tls-auth static.key 1
comp-lzo

Problem besteht weiterhin, wenn ich mich direkt mit einen Windows PC mit installierten OpenVPN verbinde erreiche ich das Webinterface der Fritzbox (192.168.2.1), mit dem Router kann ich die Fritzbox anpingen. In der Routingtabelle wird die Route der Server-Config automatisch eingetragen.
Egal ob ich am Client das Gateway auf den Linksys Router ändere oder die Route wie beschrieben manuell erstelle. Ich bekomme keine Zugriff.
Hab versucht mir die Netzwerkinterfaces des Linksys mit netstat -i anzeigen zu lassen >verweigert<.
Ich weiß nicht ob man noch irgendwie eine Brücke zwischen den Openvpn-Interface und den Lan-Interface am Linksys benötigt. Hab jetzt schon Seitenweise im DD-WRT Forum gesucht, ohne Erfolg.

Es ist zum Verzweifeln :-(

 

[MaxMuster]

... du hast aber noch immer nicht das IP-Netz, in dem sich die PCs befinden, eingetragen, oder? Zumindest steht es nicht in der erzeugten Konfig.

Es gibt aus meiner Sicht zwei sinnvolle (und funktionierende) Konfigs:

Keine Config für mehrere Clients, sondern für einen
--> kein DHCP-Range, sondern nur "lokale" und "remote" IP
--> bei "Entferntes Netz" das Netz beim Client eintragen (192.168.1.0 255.255.255.0, wenn ich das richtig sehe)

oder aber

Multi-Client Config, mit einem Netz hinter einem Client:
--> "Max Clients" > 1
--> "lokale IP" und "Netzmaske" eintragen (z.B. 192.168.2.1 255.255.255.0)
--> bei Bedarf für "unbekannte" Clients einen "DHCP-Range"
--> "Erweiterte Clientkonfiguration" anhaken und für den "bekannten" Client (DD-WRT) einen Eintrag vornehmen:

Zertifikatsnamen (CN) des Client-Zertifikates,
eine VPN-IP (z.B. 192.168.2.10) und das
Netz beim Client (192.168.1.0 255.255.255.0)​

In einer "mode Server" Konfiguration reicht ja ein einfacher "route" Eintrag nicht aus, denn der Server weiß ja nicht, zu welchem der mehreren möglichen Clients ein Netz gehört, deshalb wird der "iroute" Befehl benötigt, der mit der erweiterten Clientkonfig erzeugt wird.

Jörg

 

[Lord-Schaschlik]

Fehler gefunden, lag wirklich an der iroute. Ihr seit die besten

 

[MaxMuster]

Ich vermute, du hast noch immer einen Denkfehler drin:
Du benötigst sehr wohl Zugriff von der Fritzbox in das LAN beim Client, dem DD-WRT Router! Nur der OpenVPN-Client selbst kann den Server über die OpenVPN-IP ansprechen, alle Geräte, die "hinter" dem Client hängen, nutzen ihre "normale" IP, und deshalb muss der Server wissen, dass dieses Netz beim Client "xy" ist, sonst geht das nicht. Es reicht nicht, wenn ein PC zum Server "hinfindet", der Server muss auch den Rückweg kennen.

In einer Multi-Client Konfiguration ist es zwingend, dass du beim Routing sowohl "route" als auch "iroute" nutzt.

Die "erweiterte Konfig" sollte eigentlich nichts mit dem DHCP zu tun haben. Probleme sind aber dann möglich, wenn du "überschneidende Netze" konfigurierst (so in der Art dass du "192.168.178.0" bei einem Client konfigurierst, damit funktioniert das lokale Netz vermutlich nicht mehr).

Jörg

 

[Lord-Schaschlik]

Ja genau das ist jetzt noch mein Problem, angenommen ein Client hat auch das Netz 192.168.178.0 kommt es ja zu Problemen, wie ich oben beschrieben habe. Da ich mich selbst im Netz 192.168.178.0 befinde. Kann man dieses Problem irgendwie vermeiden oder das Netz der Fritzbox ändern, da dieses Netz wohl sehr häufig verwendet wird.

Hab die Einstellung schon gefunden, bin so blind.

Nochmal Danke