VPN-Server am WRT54G mit DD-WRT

Re(2): VPN-Server am WRT54G mit DD-WRT

Beel — Sun, 06 May 2007 21:21:03 GMT

Servus patos,

ich glaube es funktioniert! Ich habe es geschafft, bei stehender Cisco-VPN-Verbindung zur Uni mit dem OpenVPN Client zu meiner WAN IP zu verbinden.
Ich habe mittlerweile die v23 SP2 drauf und bin so vorgegangen wie im Wiki vorgeschlagen, das Ersetzen der letzte Zeile des startup scripts durch

ln -s /usr/sbin/openvpn /tmp/myvpn
/tmp/myvpn --config openvpn.conf

war bei mir übrigens anscheinend notwendig.

Re(3): VPN-Server am WRT54G mit DD-WRT

patos — Sun, 22 Apr 2007 21:33:27 GMT

Obwohl ich mit dem OpenVPN Client mittlerweile eh schon relativ gut zurecht
komme (meiner Meinung nach zumindest ) klingt das recht sympathisch. Du
meinst also ich soll mir mit dem Cisoc Client einen neuen VPN Connection Entry
basteln, und dabei "allow Local Lan Access" deaktiviert lassen? Was soll ich
dabei für die Authentifizierung einstellen...einfach nix, weil eh nur für
Testzwecke?

ah. das meine ich nicht.

einfach den cisco client verwenden damit man logisch von der uni aus den zugang zum eigenen heimlan über openvpn testet.

Re(2): VPN-Server am WRT54G mit DD-WRT

Beel — Sun, 22 Apr 2007 20:51:38 GMT

Vielen Dank für den Hinweis! Ich dachte bis jetzt dass man dieses startup script nur braucht wenn auf dem Router eine normale nicht-VPN DD-WRT läuft. Ich hab's mit den startup script zwar noch noch nicht probiert, werde es aber so bald wie möglich tun und dann über meine Fortschritte berichten. Ich war da wirklich am Holzweg, wie es scheint.

Du kannst aber dein Cisco VPN Client wunderbar für Testzwecke verwenden, sperre einfach den LAN Zugang.

Obwohl ich mit dem OpenVPN Client mittlerweile eh schon relativ gut zurecht komme (meiner Meinung nach zumindest ) klingt das recht sympathisch. Du meinst also ich soll mir mit dem Cisoc Client einen neuen VPN Connection Entry basteln, und dabei "allow Local Lan Access" deaktiviert lassen? Was soll ich dabei für die Authentifizierung einstellen...einfach nix, weil eh nur für Testzwecke?

Re: VPN-Server am WRT54G mit DD-WRT

patos — Sun, 22 Apr 2007 00:16:47 GMT

Hi!

Über die Webinterface der OpenVPN Version von DD-WRT lässt sich OpenVPN nur als Client konfigurieren. Für die Konfiguration des installierten OpenVPN als Server musst du anders vorgehen. Da wird alles über die Startup Scripts definiert, die Settings im Webinterface bleiben alle leer.

http://www.dd-wrt.com/wiki/index.php/OpenVPN#Server_Mode_with_Certificates

dev tap bedeutet AFAIK ja, dass ein ethernet bridging erfolgt. Gibt es dann
bei meiner Konfiguration keine Kollisionen?

Morgen mit einem klaren Kopf kann ich die Frage bestimmt besser beantworten, es ist jedenfalls nicht ratsam ein tap interface im LAN zu betreiben zu dem man tunneln möchte...

Du kannst aber dein Cisco VPN Client wunderbar für Testzwecke verwenden, sperre einfach den LAN Zugang.

VPN-Server am WRT54G mit DD-WRT

Beel — Sat, 21 Apr 2007 22:53:35 GMT

Eigentlich gäbe es für mein Problem bestimmt passendere Foren, aber ich probier's hier trotzdem einmal. Außerdem gibt es zumindest einen User, bei dem ich mir gut vorstellen kann, dass er mir bei meinem Problemchen entscheidend weiterhelfen kann...ja patos, DU bist gemeint.
Aber vielleicht gibt es auch noch andere, die sich damit genauer auskennen. Ich lasse mich da gerne überraschen.

um zur Sache zu kommen:
Mein WRT54G läuft mit DD-WRT v23 SP1 VPN, ich bin bei der VPN-Konfiguration so wie in der DD-WRT Wiki beschrieben vorgegangen, d.h. ich habe unter Win XP OpenVPN installiert, Lizenzen und Schlüssel erstellt, und entsprechend in der VPN-Konfigurationsseite vom Router und in den config Ordner vom OpenVPN eingetragen.

Ich habe nun versucht, von einem PC im LAN aus eine Verbindung zum VPN-Server des Routers eine Verbindung aufzustellen, doch er scheint nicht zu antworten (beim Verbinden mittels OpenVPN-Client am PC tut sich nach "UDPv4 link remote: 192.168.1.222:1194" nichts mehr).

Mein Konfiguration des Routers sieht folgendermaßen aus:
Der Port 1194 ist am Router, obwohl ich erst testweise vom LAN aus verbinde, sicherheitshalber freigegeben.

DHCP Daemon: enable
Used Domain: LAN & WLAN
Start OpenVPN: enable
Server IP: 192.168.1.222
Port: 1194
Tunnel Protocol: UDP
Public Server Cert: -----BEGIN CERTIFICATE-----XXXXX.......
Public Client Cert: -----BEGIN CERTIFICATE-----XXXXX.......
Private Client Key: -----BEGIN RSA PRIVATE KEY-----XXXX......

Ansonsten sind überall die Standardwerte eingestellt.

Mein OpenVPN config file am PC:

client
dev tap
proto udp
remote 192.168.1.1 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 5

Bzgl. des Routings benötige ich aber noch eine Klarstellung: dev tap bedeutet AFAIK ja, dass ein ethernet bridging erfolgt. Gibt es dann bei meiner Konfiguration keine Kollisionen? Denn wenn der PC ein Paket an 192.168.1.X senden möchte weiß er dann ja gar nicht, ob er es über das physikalisch vorhandene Netzwerkinterface schicken soll, oder aber über das virtuelle (OpenVPN), da ja die beiden Subnetze dahinter 192.168.1.X sind. Oder leitet der OpenVPN Client beim bridging ohnehin den gesamten Traffic um, sobald er verbunden ist?
Oder denke ich da jetzt überhaupt ganz verkehrt?

Da ich mir nicht sicher bin, ob der VPN Server des Routers mit der Router IP (192.168.1.1) oder mit der eingetragenen IP des VPN Servers (192.168.1.222) anzusprechen ist, habe ich es im config file nacheinander mit beiden IPs probiert. In beiden Fällen scheint der VPN Server aber nicht zu antworten.

Die letzten Zeilen des Log vom OpenVPN Client am PC sehen übrigens folgendermaßen aus:

Sun Apr 22 00:44:23 2007 us=476339 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sun Apr 22 00:44:23 2007 us=476445 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sun Apr 22 00:44:23 2007 us=478253 LZO compression initialized
Sun Apr 22 00:44:23 2007 us=478356 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 22 00:44:23 2007 us=524006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 22 00:44:23 2007 us=524051 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Sun Apr 22 00:44:23 2007 us=524063 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Sun Apr 22 00:44:23 2007 us=524093 Local Options hash (VER=V4): '41690919'
Sun Apr 22 00:44:23 2007 us=524109 Expected Remote Options hash (VER=V4): '530fdded'
Sun Apr 22 00:44:23 2007 us=524139 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Apr 22 00:44:23 2007 us=524156 UDPv4 link local: [undef]
Sun Apr 22 00:44:23 2007 us=524167 UDPv4 link remote: 192.168.1.1:1194

VPN-Server am WRT54G mit DD-WRT

Beel — Sat, 21 Apr 2007 22:53:35 GMT

Eigentlich gäbe es für mein Problem bestimmt passendere Foren, aber ich probier's hier trotzdem einmal. Außerdem gibt es zumindest einen User, bei dem ich mir gut vorstellen kann, dass er mir bei meinem Problemchen entscheidend weiterhelfen kann...ja patos, DU bist gemeint.
Aber vielleicht gibt es auch noch andere, die sich damit genauer auskennen. Ich lasse mich da gerne überraschen.

um zur Sache zu kommen:
Mein WRT54G läuft mit DD-WRT v23 SP1 VPN, ich bin bei der VPN-Konfiguration so wie in der DD-WRT Wiki beschrieben vorgegangen, d.h. ich habe unter Win XP OpenVPN installiert, Lizenzen und Schlüssel erstellt, und entsprechend in der VPN-Konfigurationsseite vom Router und in den config Ordner vom OpenVPN eingetragen.

Ich habe nun versucht, von einem PC im LAN aus eine Verbindung zum VPN-Server des Routers herzustellen, doch er scheint nicht zu antworten (beim Verbinden mittels OpenVPN-Client am PC tut sich nach "UDPv4 link remote: 192.168.1.222:1194" nichts mehr).

Mein Konfiguration des Routers sieht folgendermaßen aus:
Der Port 1194 ist am Router, obwohl ich erst testweise vom LAN aus verbinde, sicherheitshalber freigegeben.

DHCP Daemon: enable
Used Domain: LAN & WLAN
Start OpenVPN: enable
Server IP: 192.168.1.222
Port: 1194
Tunnel Protocol: UDP
Public Server Cert: -----BEGIN CERTIFICATE-----XXXXX.......
Public Client Cert: -----BEGIN CERTIFICATE-----XXXXX.......
Private Client Key: -----BEGIN RSA PRIVATE KEY-----XXXX......

Ansonsten sind überall die Standardwerte eingestellt.

Mein OpenVPN config file am PC:

client
dev tap
proto udp
remote 192.168.1.222 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 5

Sun Apr 22 00:44:23 2007 us=476339 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sun Apr 22 00:44:23 2007 us=476445 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sun Apr 22 00:44:23 2007 us=478253 LZO compression initialized
Sun Apr 22 00:44:23 2007 us=478356 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 22 00:44:23 2007 us=524006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 22 00:44:23 2007 us=524051 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Sun Apr 22 00:44:23 2007 us=524063 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Sun Apr 22 00:44:23 2007 us=524093 Local Options hash (VER=V4): '41690919'
Sun Apr 22 00:44:23 2007 us=524109 Expected Remote Options hash (VER=V4): '530fdded'
Sun Apr 22 00:44:23 2007 us=524139 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Apr 22 00:44:23 2007 us=524156 UDPv4 link local: [undef]
Sun Apr 22 00:44:23 2007 us=524167 UDPv4 link remote: 192.168.1.1:1194