[Gelöst] OpenVPN mit DD-WRT und Freetz

[Ephorus]

Hallo,
ich möchte gerne eine Netzwerkverbindung zwischen ein Netgear WNDR3700 mit DD-WRT v24-sp2 (12/20/11) und einer gefreetzten Fritzbox 7390 mit OpenVPN über das Internet aufbauen. Um auf den angeschlossenen PCs Zugriff zu bekommen(Site2Site?!).

Ich erstellte also über easy-rsa die Zertifikate. Ohne Passwort.

Nachdem ich mal testweise nach dieser Anleitung

h**p://www.zebradem.com/wiki/index.php?title=OpenVPN_und_Freetz,_wie_stricke_ich_mein_eigenes_VPN#

eine einfache Client/Server Verbindung ausprobiert habe, konnte Securepoint SSL VPN eine Verbindung zur Fritzbox aufbauen. Getestet von einem anderen Internetanschluß.

Also gehe ich mal davon aus, das die Zertifikate und Freetz auf meiner Box funktionieren.
Zur Zeit bin ich vollkommen überfordert, nachdem ich unzählige Anleitungen und Beiträge, auch hier aus dem Forum gelesen habe. Aber für mich nichts brauchbares gefunden habe,wie ich das über die Routeroberflächen einstellen muss.

Der WNDR3700 mit DD-WRT soll der Client sein, und hat die 192.168.178.2 als IP. DHCP-Server vergibt 192.168.178.101-192.168.178.150

Die FritzBox hat die 192.168.178.1. DHCP-Server vergibt 192.168.178.20-192.168.178.100.

Auf beiden Routern funktioniert der DYNDNS Zugriff.

Meine ersten Gehversuche sehen so aus. Siehe bitte Anhänge.



*Edit
Nochmals groessere Bilder hochgeladen



Grüße
Ephorus

 

[MaxMuster]

Es ist manchmal schwierig, einer Schritt-für-Schritt Anleitung zu folgen, die nur sagt, was man tun soll, aber nicht wieso oder wofür eine Einstellung ist...

Ein paar der Dinge in diesem Wiki sind für mich beim "schnellen drüberlesen" unverständlich, unnötig (bis aus meiner Sicht falsch oder unsinnig) und vor allem komplett unkommentiert. Hat es einen Grund, nicht dem Freetz-Wiki zum OpenVPN zu folgen??

Nun denn: Erste Frage wäre, ist es wirklich zwingend, dass du eine gebrückte Verbindung zwischen den Routern aufbaust (TAP)? Das besonders bei einer Router-Router-Verbindung (Site2Site) aus meiner Sicht nur als letzte Möglichkeit zu wählen.

Normalerweise ist "Tunnel" (TUN) die bessere und weniger "anfällige" Wahl.

So sind bei TAP auf einmal zwei DHCP-Server im Netz, sofern der FB-interne DHCP nicht aus ist; nicht unbedingt eine gute Wahl, vor allem wäre sicher zu stellen, dass die Bereicht sich zumindest unterscheiden. Dazu kommt die IP-Vergabe des OpeenVPN im Netz 192.168.178.0, die ebenfalls nicht mit den beiden normalen DHCPs kollidieren darf.

Zu deinen Bildern (die leider schlecht lesbar sind), wobei ich vom DD-WRT nicht wirklich was weiß:
Was mir auffällt ist, dass du scheinbar im DD-WRT TLS-Auth gesetzt hast (dort steht zumindest was in dem Feld), das ist aber im Server nicht eingestellt, so wird keine Verbindung aufgebaut werden.

 

[Ephorus]

*MaxMuster

Zu allererst möchte ich dir danken, für deine Hilfestellung.

Das Wiki diente nur mal eben als Test, warum ich dem Freetz-Wiki zum OpenVPN nicht gefolgt bin, liegt warscheinlich daran, dass ich nicht mehr durchblicke. Wenn du einverstanden damit bist, nehme ich dein Vorschlag dankend an. Ich würde auch gerne von Grund auf neu beginnen. Wie gesagt , wenn du damit einverstanden bist.

Nun denn: Erste Frage wäre, ist es wirklich zwingend, dass du eine gebrückte Verbindung zwischen den Routern aufbaust (TAP)? Das besonders bei einer Router-Router-Verbindung (Site2Site) aus meiner Sicht nur als letzte Möglichkeit zu wählen.

Der Grund war: Eine Anleitung erklärte es so, das man TAB nehmen sollte für Site2Site. Außerdem waren die Ip Adressen auch so ähnlich angegeben(wie in den Bildern). Ich entscheide mich auch gerne für TUN.

Zu deinen Bildern (die leider schlecht lesbar sind), wobei ich vom DD-WRT nicht wirklich was weiß:
Was mir auffällt ist, dass du scheinbar im DD-WRT TLS-Auth gesetzt hast (dort steht zumindest was in dem Feld), das ist aber im Server nicht eingestellt, so wird keine Verbindung aufgebaut werden.

Sorry, Bilder wurden nochmals hochgeladen. Ich hoffe, die Bilder sind jetzt lesbar. Mit TLS-Auth hatte ich getestet mal mit mal ohne. Das ist der Grund warum dort noch etwas steht. TLS Cipher ist abgeschaltet. Dann dürfte doch egal sein, ob dort etwas steht?

An der FritzBox kann ich die Ip nicht ändern. Das hängt an einem Kabelmodem. Das wollte ich vor Monaten schon mal umstellen. Das muss wohl mit dem Kabelmodem zusammen hängen. Den DD-WRT würde ich dann z.b. auf 172.16.30.1 umstellen. Wäre das dann in Ordnung?

*Edit


Wenn ich laut Freetz Wiki auf Netzwerkfreigaben zugreifen möchte, bleibt mir doch nichts andres übrig als "Routing vs. Bridging". Oder sehe ich das falsch?


Grüße
Ephorus

 

[MaxMuster]

Also, die Art der Verbindung ist von deinen Notwendigkeiten abhängig...

Eine Brücke (TAP) sorgt (grob gesprochen) dafür, dass alle Pakete im einen Netz auch im anderen Netz sichtbar sind. Das ist eigentlich nur dann nötig, wenn du eine Anwendung benutzt, die kein "Routing" kann. Wenn du nicht auf eine solche Anwendung angewiesen bist, würde ich eine Brücke bei "Netzkopplungen" nie nutzen (allein wegen der Leitungslast, weil alle Broadcast-Pakete im Netz immer auch "auf die jeweils andere Seite" kopiert werden müssen). Dafür ist es deshalb übrigens richtig und notwendig, dass beide Seiten das gleiche IP-Netz benutzen. Das TAP-Interface vom OpenVPN muss dann mit dem LAN "gebrückt" werden, damit es funktioniert.

Bei TUN wird ein "Zwischennetz" eingebaut, durch das (nur) die Pakete geschickt werden, die auf die andere Seite müssen.

Um vom "NetzA" zu "NetzB" zu kommen müssen dafür die beiden Netze (und das Transfernetz) unterschiedlich sein, sonst klappt das Routing dazwischen nicht. Wenn alle Clients in den Netzen die IPs von den Boxen per DHCP beziehen kannst du die Adressen ja relativ einfach ändern. Und 172.16.30.0 wäre in Ordnung (ist aber relativ egal, solange es bei "TUN" ungleich 192.168.178.0 ist).


Was mir bei den neuen Bildern jetzt noch auffiel: Du hast da bei Hash "MD5" stehen, die FB hat dafür keine Einstellung und der Standard ist "SHA1".

Jörg

EDIT: Auf "Freigaben" kannst du auch über "geroutete" Verbindungen zugreifen. Allerdings kommen die per Broadcast im LAN verteilten Dinge wie "Rechnernamen" nicht an. Wenn du also sonst auf "\\MEINSERVER\FREIGABE1" zugreifst, müsstest du von der "anderen" Seite auf "\\<IP.von.MEINSERVER.drüben>\FREIGABE1" zugreifen, oder einen Eintrag in der Datei "lmhosts" vornehmen und "MEINSERVER" zu seiner IP zuordnen.

 

[Ephorus]

Das ist eigentlich nur dann nötig, wenn du eine Anwendung benutzt, die kein "Routing" kann. Wenn du nicht auf eine solche Anwendung angewiesen bist, würde ich eine Brücke bei "Netzkopplungen" nie nutzen (allein wegen der Leitungslast, weil alle Broadcast-Pakete im Netz immer auch "auf die jeweils andere Seite" kopiert werden müssen).

Ich plane eine Syncronisierung/Backup oder sagen wir mal Spiegelung zwischen zwei NAS. Das erste Backup würde ich natürlich vor Ort durchführen, um danach nur noch inkrementel über die VPN Verbindung laufen zu lassen. Dann auf das NAS zugreifen um mal Musik, Filme und der gleichen abzuspielen oder Datenzugriff. Natürlich kein HDTV. Es ist mir schon bewust, dass die Bandbreite bei 35Mbit Downl./10Mbit Upl. nicht ausreichen wird. Jetzt weiß ich natürlich nicht ob "TUN" ausreichen würde.


Jetzt hätte ich noch eine Frage außerhalb des eigentlichen Themas. Wie ist das denn bei zwei FritzBoxen die über IPSec verbunden sind?


*Edit
Den Hashwert habe ich schon mal auf SHA1 korrigiert. Die Frage hatte ich mir auch schon gestellt, was denn die Fritzbox für eine Einstellung hat. Danke.

Wie sieht es denn mit der TLS-Authentifizierung bei der FritzBox aus? Gibt es da auch eine "interne Standardeinstellung"? Einschalten, oder nicht erforderlich?
Die höchste Übertragungsgeschwindigkeit soll doch Blowfish haben, oder liege ich da falsch?



Grüße
Ephorus

 

[MaxMuster]

Ich plane eine Syncronisierung/Backup oder sagen wir mal Spiegelung zwischen zwei NAS.

Jetzt kenne ich deine NAS nicht und weiß auch nicht genau, mit welchen Mitteln du das "Spiegeln" machen möchtest. Ich vermute aber ganz stark, dass eine solche SW auch über IPs und damit über eine geroutete TUN-Verbindung geht.

Wie ist das denn bei zwei FritzBoxen die über IPSec verbunden sind?

IPSec funktioniert komplett anders, als OpenVPN. Damit wird (vereinfacht ausgedrückt) der zuvor festgelegte Verkehr von einer definierten Quelle auf definiertes Ziel(netz) in ein IPSec-Paket gekapselt und auf die andere Seite geschickt und dort ausgepackt. Auch dafür müssen die Netze verschieden sein, und es geht auch kein "TAP".

Wie sieht es denn mit der TLS-Authentifizierung bei der FritzBox aus? Gibt es da auch eine "interne Standardeinstellung"?

TLS "mit dem Haken" wird mit "Richtungen" versehen. Der Server nutzt "tls-auth <key> 0", der Client muss demnach "tls-auth <key> 1" nutzen. Ob du die zusätzliche Sicherheit wirklich benötigst, kannst nur du wissen.

One notable security improvement that OpenVPN provides over vanilla TLS is that it gives 
the user the opportunity to use a pre-shared passphrase (or static key) in conjunction with 
the [I]--tls-auth[/I] directive to generate an HMAC key to authenticate the packets that are 
themselves part of the TLS handshake sequence. This protects against buffer overflows 
in the OpenSSL TLS implementation, because an attacker cannot even initiate a TLS handshake 
without being able to generate packets with the currect HMAC signature.

Die höchste Übertragungsgeschwindigkeit soll doch Blowfish haben, oder liege ich da falsch?

Da liegst du richtig, ein paar Tests dazu findest du auf der WIKI-Seite unten.

Wenn es die um "Geschwindigkeit" geht, solltes du auch überlegen, ob "lzo" passend ist. Das spart zwar durch die Komprimierung etwas Bandbreite, benötigt dafür aber einiges an CPU-Power.

 

[Ephorus]

So, jetzt fing ich noch einmal von Grund auf an. Und diesmal mit "TUN". Sollte ich dann doch Bridging brauchen, kann ich mich später immer noch damit auseinander setzen.

Außerdem nahm ich diesmal die Zertifikate, die ich parallel mit XCA erstellt habe. Irgendwie bekam ich vorher keine Meldungen unter Syslog. Ich bin vielleicht auch nur zu bl*d.

Neue Einstellungen wieder angehängt. Port Forwarding und Firewall Regeln für UDP 1194 wurden nicht geändert.

Hier noch was Syslog ausspuckt:

Feb 25 15:27:31 fritz user.info kernel: SysRq : Changing Loglevel
Feb 25 15:27:31 fritz user.warn kernel: Loglevel set to 4
Feb 25 15:27:31 fritz user.info kernel: /proc/tffs: info request: success
Feb 25 15:28:25 fritz user.info kernel: /proc/tffs: info request: success
Feb 25 15:28:35 fritz user.notice openvpn[5457]: OpenVPN 2.2.1 mips-linux [SSL] [LZO2] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Nov 25 2011
Feb 25 15:28:35 fritz user.warn openvpn[5457]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Feb 25 15:28:35 fritz user.notice openvpn[5457]: Diffie-Hellman initialized with 1024 bit key
Feb 25 15:28:35 fritz user.warn openvpn[5457]: WARNING: file '/tmp/flash/openvpn/box.key' is group or others accessible
Feb 25 15:28:35 fritz user.notice openvpn[5457]: TLS-Auth MTU parms [ L:1557 D:138 EF:38 EB:0 ET:0 EL:0 ]
Feb 25 15:28:35 fritz user.notice openvpn[5457]: Socket Buffers: R=[135168->131072] S=[135168->131072]
Feb 25 15:28:35 fritz user.notice openvpn[5457]: TUN/TAP device tun0 opened
Feb 25 15:28:35 fritz user.notice openvpn[5457]: TUN/TAP TX queue length set to 100
Feb 25 15:28:35 fritz user.notice openvpn[5457]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Feb 25 15:28:35 fritz user.notice openvpn[5457]: /sbin/ifconfig tun0 192.168.178.1 pointopoint 172.16.30.1 mtu 1500
Feb 25 15:28:35 fritz user.notice openvpn[5457]: /sbin/route add -net 10.0.0.0 netmask 255.255.255.0 gw 172.16.30.1
Feb 25 15:28:35 fritz user.notice openvpn[5457]: Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
Feb 25 15:28:35 fritz user.notice openvpn[5460]: chroot to '/tmp/openvpn' and cd to '/' succeeded
Feb 25 15:28:35 fritz user.notice openvpn[5460]: GID set to openvpn
Feb 25 15:28:35 fritz user.notice openvpn[5460]: UID set to openvpn
Feb 25 15:28:35 fritz user.notice openvpn[5460]: UDPv4 link local (bound): [undef]
Feb 25 15:28:35 fritz user.notice openvpn[5460]: UDPv4 link remote: [undef]
Feb 25 15:28:35 fritz user.notice openvpn[5460]: MULTI: multi_init called, r=256 v=256
Feb 25 15:28:35 fritz user.notice openvpn[5460]: IFCONFIG POOL: base=10.0.0.0 size=1, ipv6=0
Feb 25 15:28:35 fritz user.notice openvpn[5460]: Initialization Sequence Completed

Unter DD-WRT bekomme ich zur Zeit keine Logdateien. Ich muss noch schauen, woran das liegt.

MaxMuster hat folgendes geschrieben:
Jetzt kenne ich deine NAS nicht und weiß auch nicht genau, mit welchen Mitteln du das "Spiegeln" machen möchtest.

Zu Hause steht ein QNab 219P+ und auswärts ein Zyxel NSA310. Damit habe ich mich im Detail auch noch nicht ausseinander gesetzt. Ich wollte erst einmal die Voraussetzungen dazu schaffen. Wobei ich ja jetzt feststellen musste, dass die Frage vorher beantwortet sein sollte, um zu wissen, "TUN" oder "TAB".


Grüße
Ephorus

 

[MaxMuster]

Du musst für den Tunnel ein eigenes IP-Netz vergeben (lokale IP, remote IP, Range...). Mein Vorschlag wäre, lade einmal die "defaults", und fange neu an. Die "Voreinstellungen" sollten bei dir eigentlich ganz gut passen, dann schaltest du auf "Zertifikate", ggf lzo aus und das wars.

Auf der "Gegenseite" könntest du dann die IP 192.168.200.2 als VPN-IP eintragen (bei "lokale IP", wenn das wie beim ersten Screenshot ist), damit sollte von der FB aus über 192.168.200.2 der DD-WRT erreichbar sein, von dort die FB als 192.168.200.1.

Wenn das Netz auf der DD-WRT-Seite auf 172.16.30.0 gesetzt ist, müsstest du auf der FB als "entferntes Netz" eintragen "172.16.30.0 255.255.255.0", beim Client noch ggf "route 192.168.178.0 255.255.255.0", sofern er das nicht per "pull" abholt.

 

[Ephorus]

Ich weiß, ich werde anstrengend. Tut mir auch leid.

Aber, so langsam tut sich auch bei mir da oben etwas.

Einstellungen wieder angehängt.

Hier noch Auswertung Syslog:

Feb 25 20:51:43 fritz syslog.info syslogd started: BusyBox v1.19.3
Feb 25 20:51:43 fritz user.notice kernel: klogd started: BusyBox v1.19.3 (2011-11-25 17:19:34 CET)
Feb 25 20:52:06 fritz user.notice openvpn[9681]: OpenVPN 2.2.1 mips-linux [SSL] [LZO2] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Nov 25 2011
Feb 25 20:52:06 fritz user.warn openvpn[9681]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Feb 25 20:52:06 fritz user.notice openvpn[9681]: Diffie-Hellman initialized with 1024 bit key
Feb 25 20:52:06 fritz user.warn openvpn[9681]: WARNING: file '/tmp/flash/openvpn/box.key' is group or others accessible
Feb 25 20:52:06 fritz user.notice openvpn[9681]: Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Feb 25 20:52:06 fritz user.notice openvpn[9681]: Socket Buffers: R=[135168->131072] S=[135168->131072]
Feb 25 20:52:06 fritz user.notice openvpn[9681]: TUN/TAP device tun0 opened
Feb 25 20:52:06 fritz user.notice openvpn[9681]: TUN/TAP TX queue length set to 100
Feb 25 20:52:06 fritz user.notice openvpn[9681]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Feb 25 20:52:06 fritz user.notice openvpn[9681]: /sbin/ifconfig tun0 192.168.200.1 pointopoint 192.168.200.2 mtu 1500
Feb 25 20:52:06 fritz user.notice openvpn[9681]: /sbin/route add -net 172.16.30.0 netmask 255.255.255.0 gw 192.168.200.2
Feb 25 20:52:06 fritz user.notice openvpn[9681]: Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Feb 25 20:52:06 fritz user.notice openvpn[9684]: chroot to '/tmp/openvpn' and cd to '/' succeeded
Feb 25 20:52:06 fritz user.notice openvpn[9684]: GID set to openvpn
Feb 25 20:52:06 fritz user.notice openvpn[9684]: UID set to openvpn
Feb 25 20:52:06 fritz user.notice openvpn[9684]: UDPv4 link local (bound): [undef]
Feb 25 20:52:06 fritz user.notice openvpn[9684]: UDPv4 link remote: [undef]
Feb 25 20:54:07 fritz user.notice openvpn[9684]: [UNDEF] Inactivity timeout (--ping-restart), restarting
Feb 25 20:54:07 fritz user.notice openvpn[9684]: TCP/UDP: Closing socket
Feb 25 20:54:07 fritz user.notice openvpn[9684]: SIGUSR1[soft,ping-restart] received, process restarting
Feb 25 20:54:07 fritz user.notice openvpn[9684]: Restart pause, 2 second(s)
Feb 25 20:54:09 fritz user.warn openvpn[9684]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Feb 25 20:54:09 fritz user.notice openvpn[9684]: Re-using SSL/TLS context
Feb 25 20:54:09 fritz user.notice openvpn[9684]: Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Feb 25 20:54:09 fritz user.notice openvpn[9684]: Socket Buffers: R=[135168->131072] S=[135168->131072]
Feb 25 20:54:09 fritz user.notice openvpn[9684]: Preserving previous TUN/TAP instance: tun0
Feb 25 20:54:09 fritz user.notice openvpn[9684]: Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Feb 25 20:54:09 fritz user.notice openvpn[9684]: UDPv4 link local (bound): [undef]
Feb 25 20:54:09 fritz user.notice openvpn[9684]: UDPv4 link remote: [undef]
Feb 25 20:56:10 fritz user.notice openvpn[9684]: [UNDEF] Inactivity timeout (--ping-restart), restarting
Feb 25 20:56:10 fritz user.notice openvpn[9684]: TCP/UDP: Closing socket
Feb 25 20:56:10 fritz user.notice openvpn[9684]: SIGUSR1[soft,ping-restart] received, process restarting
Feb 25 20:56:10 fritz user.notice openvpn[9684]: Restart pause, 2 second(s)
Feb 25 20:56:12 fritz user.warn openvpn[9684]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Feb 25 20:56:12 fritz user.notice openvpn[9684]: Re-using SSL/TLS context
Feb 25 20:56:12 fritz user.notice openvpn[9684]: Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Feb 25 20:56:12 fritz user.notice openvpn[9684]: Socket Buffers: R=[135168->131072] S=[135168->131072]
Feb 25 20:56:12 fritz user.notice openvpn[9684]: Preserving previous TUN/TAP instance: tun0
Feb 25 20:56:12 fritz user.notice openvpn[9684]: Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Feb 25 20:56:12 fritz user.notice openvpn[9684]: UDPv4 link local (bound): [undef]
Feb 25 20:56:12 fritz user.notice openvpn[9684]: UDPv4 link remote: [undef]
Feb 25 20:58:12 fritz user.notice openvpn[9684]: [UNDEF] Inactivity timeout (--ping-restart), restarting
Feb 25 20:58:12 fritz user.notice openvpn[9684]: TCP/UDP: Closing socket
Feb 25 20:58:12 fritz user.notice openvpn[9684]: SIGUSR1[soft,ping-restart] received, process restarting
Feb 25 20:58:12 fritz user.notice openvpn[9684]: Restart pause, 2 second(s)
Feb 25 20:58:14 fritz user.warn openvpn[9684]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Feb 25 20:58:14 fritz user.notice openvpn[9684]: Re-using SSL/TLS context
Feb 25 20:58:14 fritz user.notice openvpn[9684]: Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Feb 25 20:58:14 fritz user.notice openvpn[9684]: Socket Buffers: R=[135168->131072] S=[135168->131072]
Feb 25 20:58:14 fritz user.notice openvpn[9684]: Preserving previous TUN/TAP instance: tun0
Feb 25 20:58:14 fritz user.notice openvpn[9684]: Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Feb 25 20:58:14 fritz user.notice openvpn[9684]: UDPv4 link local (bound): [undef]
Feb 25 20:58:14 fritz user.notice openvpn[9684]: UDPv4 link remote: [undef]
Feb 25 21:00:15 fritz user.notice openvpn[9684]: [UNDEF] Inactivity timeout (--ping-restart), restarting
Feb 25 21:00:15 fritz user.notice openvpn[9684]: TCP/UDP: Closing socket
Feb 25 21:00:15 fritz user.notice openvpn[9684]: SIGUSR1[soft,ping-restart] received, process restarting
Feb 25 21:00:15 fritz user.notice openvpn[9684]: Restart pause, 2 second(s)
Feb 25 21:00:17 fritz user.warn openvpn[9684]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Feb 25 21:00:17 fritz user.notice openvpn[9684]: Re-using SSL/TLS context
Feb 25 21:00:17 fritz user.notice openvpn[9684]: Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Feb 25 21:00:17 fritz user.notice openvpn[9684]: Socket Buffers: R=[135168->131072] S=[135168->131072]
Feb 25 21:00:17 fritz user.notice openvpn[9684]: Preserving previous TUN/TAP instance: tun0
Feb 25 21:00:17 fritz user.notice openvpn[9684]: Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Feb 25 21:00:17 fritz user.notice openvpn[9684]: UDPv4 link local (bound): [undef]
Feb 25 21:00:17 fritz user.notice openvpn[9684]: UDPv4 link remote: [undef]
Feb 25 21:02:17 fritz user.notice openvpn[9684]: [UNDEF] Inactivity timeout (--ping-restart), restarting
Feb 25 21:02:17 fritz user.notice openvpn[9684]: TCP/UDP: Closing socket
Feb 25 21:02:17 fritz user.notice openvpn[9684]: SIGUSR1[soft,ping-restart] received, process restarting
Feb 25 21:02:17 fritz user.notice openvpn[9684]: Restart pause, 2 second(s)
Feb 25 21:02:19 fritz user.warn openvpn[9684]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Feb 25 21:02:19 fritz user.notice openvpn[9684]: Re-using SSL/TLS context
Feb 25 21:02:19 fritz user.notice openvpn[9684]: Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Feb 25 21:02:19 fritz user.notice openvpn[9684]: Socket Buffers: R=[135168->131072] S=[135168->131072]
Feb 25 21:02:19 fritz user.notice openvpn[9684]: Preserving previous TUN/TAP instance: tun0
Feb 25 21:02:19 fritz user.notice openvpn[9684]: Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Feb 25 21:02:19 fritz user.notice openvpn[9684]: UDPv4 link local (bound): [undef]
Feb 25 21:02:19 fritz user.notice openvpn[9684]: UDPv4 link remote: [undef]
Feb 25 21:03:35 fritz user.info hostapd: ath1: STA 00:13:e8:7d:e4:0b WPA: group key handshake completed (RSN)
Feb 25 21:04:19 fritz user.notice openvpn[9684]: [UNDEF] Inactivity timeout (--ping-restart), restarting
Feb 25 21:04:19 fritz user.notice openvpn[9684]: TCP/UDP: Closing socket
Feb 25 21:04:19 fritz user.notice openvpn[9684]: SIGUSR1[soft,ping-restart] received, process restarting
Feb 25 21:04:19 fritz user.notice openvpn[9684]: Restart pause, 2 second(s)
Feb 25 21:04:21 fritz user.warn openvpn[9684]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Feb 25 21:04:21 fritz user.notice openvpn[9684]: Re-using SSL/TLS context
Feb 25 21:04:21 fritz user.notice openvpn[9684]: Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Feb 25 21:04:21 fritz user.notice openvpn[9684]: Socket Buffers: R=[135168->131072] S=[135168->131072]
Feb 25 21:04:21 fritz user.notice openvpn[9684]: Preserving previous TUN/TAP instance: tun0
Feb 25 21:04:21 fritz user.notice openvpn[9684]: Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Feb 25 21:04:21 fritz user.notice openvpn[9684]: UDPv4 link local (bound): [undef]
Feb 25 21:04:21 fritz user.notice openvpn[9684]: UDPv4 link remote: [undef]

MaxMuster hat folgendes geschrieben:
.....beim Client noch ggf "route 192.168.178.0 255.255.255.0", sofern er das nicht per "pull" abholt.

Ich wüßte jetzt gar nicht wo hin damit. Unter DD-WRT würde ich höchstens unter "OpenVPN Konfiguration" vermuten.:blonk:

"Client zu Client" unter Freetz könnte ich wenn ich wollte bei "TUN" auch nutzen, oder?


Grüße
Ephorus

 

[MaxMuster]

Ist das richtig, dass beim Client hinter dem DYNDNS-Namen noch eine Zahl stehen muss? Normalerweise steht dort höchstens ein abweichender Port.

Route Eintragen: Ich vermute das mal beim DD-WRT nach "OpenVPN Konfiguration" muss. Das kenne ich aber nicht, müsstest du dich ggf. mal in deren Forum/FAQ zum OpenVPN umtun.

Client-to-Client: Ja, geht auch mit TUN, das macht aber nur bei "Multi-Client" Sinn.
Dafür bedarf es noch weiterer Einstellungen (z.B. dann doch wieder ein "DHCP-Netz oder feste Einträge pro Client). Wenn bei einem Client ein Netz ist, was geroutet werden muss, dann muss das Netz über die "Erweiterte Clientkonfiguration" für den speziellen Client eingetragen werden.

 

[Ephorus]

MaxMuster hat folgendes geschrieben:
Ist das richtig, dass beim Client hinter dem DYNDNS-Namen noch eine Zahl stehen muss? Normalerweise steht dort höchstens ein abweichender Port.

Das ist der Port 450. Ich logge mich über https(Fernzugriff) mit diesen Port und der Dyndns Adresse von auswärts ein.

MaxMuster hat folgendes geschrieben:
Route Eintragen: Ich vermute das mal beim DD-WRT nach "OpenVPN Konfiguration" muss. Das kenne ich aber nicht, müsstest du dich ggf. mal in deren Forum/FAQ zum OpenVPN umtun.

Ich frage mal da nach.



Grüße
Ephorus

 

[MaxMuster]

Dieser Port hat beim Openvpn nix zu suchen, denke ich...

 

[Ephorus]

So, jetzt wollte ich mal eben mitteilen, wie der Stand der Dinge ist.

Nachdem ich feststellen muste, dass beim streamen und anderen Verbindungen einige Aussetzer auftraten, die mir dann doch zu heftig waren, spielte ich OpenWRT als Firmware auf. Seitdem funktionieren die Verbindungen beim WNDR3700 wieder einwandfrei.

Da ich aber keine Lust mehr habe, mich wieder in dem "Thema OpenVPN mit OpenWRT" einzulesen, wurde jetzt eine zweite FritzBox 7390 gekauft. Die Verbindungen werden jetzt über IPSec aufgebaut. Ich denke das ist auch keine schlechte Lösung!?:mrgreen:
Sollte ich wieder einmal auf die Idee kommen, OpenVPN nutzen zu wollen, wird das einstellen zwischen 2 FritzBoxen mir bestimmt leichter fallen.

Nochmals herzlichen Dank für die Hilfsbereitschaft.


Grüsse
Ephorus