Netzwerke

Hi folks,

Nun teste ich gerade den Buffalo WHR-G54S und bin auch recht zufrieden.
Allerdings habe ich ein Problem mit der OpenVPN-Client-Verbindung, die
mit meiner alten Routerbrotschachtel anstandslos funktioniert hat. Habe
hier auf dem Buffalo eine aktuelle DD-WRT Version und möchte "einfach"
den OpenVPN-Client Traffic wie bisher durchleiten. Leider bekomme ich
keine Verbindung mehr zum OpenVPN Server.
Die Ports ausgehend: UDP 1194 (lokal) auf zB UDP 6543 (remote OpenVPN
Server). Muss/Kann man beim DD-WRT noch irgendwo die Ports freigeben?

Gruß
Ibrahim

Monsieur Ibrahim schrieb:
> Hi folks,
>
> Nun teste ich gerade den Buffalo WHR-G54S und bin auch recht zufrieden.
> Allerdings habe ich ein Problem mit der OpenVPN-Client-Verbindung, die
> mit meiner alten Routerbrotschachtel anstandslos funktioniert hat. Habe
> hier auf dem Buffalo eine aktuelle DD-WRT Version und möchte "einfach"
> den OpenVPN-Client Traffic wie bisher durchleiten. Leider bekomme ich
> keine Verbindung mehr zum OpenVPN Server.
> Die Ports ausgehend: UDP 1194 (lokal) auf zB UDP 6543 (remote OpenVPN
> Server). Muss/Kann man beim DD-WRT noch irgendwo die Ports freigeben?

Ergänzung: Habe heute weitere Tests durchgeführt. Im remote OpenVPN
Server Log wird ein Verbindungsversuch aufgezeichnet, also kommt die
Verbindung nach außen durch. Aber die Verbindung wird nicht hergestellt,
sondern endet mit "TLS handhake failed" nach einem Timeout.
Ich verwende die Version "DD-WRT v23 SP2 (09/15/06) vpn". Das VPN ist
nicht aktiviert, ich wollte später einen VPN-Server einrichten. Aber
vielleicht hat er mit dieser Version ein Problem und lässt den Traffic
auf UDP 1194 nicht zu? Any ideas?

BTW gibt es eine passendere Newsgroup zu diesem Thema?

Gruß
Ibrahim

Monsieur Ibrahim wrote:

>Ich verwende die Version "DD-WRT v23 SP2 (09/15/06) vpn".

Warum keine v24? Die 23er habe ich schnell entsorgt, als ich gesehen
habe, wie gut die 24er laufen.

Ralph A. Schmid, dk5ras schrieb:
> Monsieur Ibrahim wrote:
>
>> Ich verwende die Version "DD-WRT v23 SP2 (09/15/06) vpn".
>
> Warum keine v24? Die 23er habe ich schnell entsorgt, als ich gesehen
> habe, wie gut die 24er laufen.

Gibt es da zusätzliche Features bez. Durchleitung (von OpenVPN-Traffic)?
Ansonsten hilft mir das wohl nicht weiter. Habe schon überlegt, ob ich
den Router mal als OpenVPN-Client laufen lasse, aber das wäre nicht
richtig das was ich möchte. Er soll einfach den OpenVPN-TRaffic
durchleiten und selbst als OpenVPN-Server laufen (später). Muss ja
irgendwie gehen, notfalls muss ich mit telnet rumwursteln.

Gruß
Ibrahim

Monsieur Ibrahim wrote:

>Gibt es da zusätzliche Features bez. Durchleitung (von OpenVPN-Traffic)?
>Ansonsten hilft mir das wohl nicht weiter.

Da gibt es halt die üblichen Häkchen für VPN-Durchlässigkeit in den
Sicherheitseinstellungen. Ich konnte durch so ein Teil hindurch noch
jedes VPN nutzen, ohne jedes forwarding, nur dann gibt es Probleme,
wenn man auf dem Router selbst auch einen VPN-server betreibt, ist ja
auch logisch, dann nimmt er die benötigten ports selbst in Anspruch.

Ralph A. Schmid, dk5ras schrieb:
> Monsieur Ibrahim wrote:
>
>> Gibt es da zusätzliche Features bez. Durchleitung (von OpenVPN-Traffic)?
>> Ansonsten hilft mir das wohl nicht weiter.
>
> Da gibt es halt die üblichen Häkchen für VPN-Durchlässigkeit in den
> Sicherheitseinstellungen. Ich konnte durch so ein Teil hindurch noch
> jedes VPN nutzen, ohne jedes forwarding, nur dann gibt es Probleme,
> wenn man auf dem Router selbst auch einen VPN-server betreibt, ist ja
> auch logisch, dann nimmt er die benötigten ports selbst in Anspruch.

Habe jetzt mal die v24 installiert, leider keine Änderung bei der
Durchleitung von OpenVPN. Für andere VPNs (zB PPTP) kann die
Durchleitung einfach aktiviert werden, für OpenVPN nicht. Ich habe nun
versucht mit iptables die fehlenden FORWARDs selbst aufzubauen, leider
bisher ohne Erfolg, aber ich denke das ist die richtige Richtung. Ich
dachte halt nur, ein DD-WRT sollte die Durchleitung von OpenVPN von Haus
aus unterstützen. Das Problem müsste doch eigentlich öfter vorkommen.
Mir würde auch erstmal die Durchleitung von OpenVPN reichen.

(Wobei technisch auch möglich sein sollte, zusätzlich einen OpenVPN
Server gleichzeitig auf dem Router zu betreiben, aber das ist derzeit
noch nicht das Problem, der ist noch inaktiv.)

Gruß
Ibrahim

Monsieur Ibrahim schrieb:

> Durchleitung einfach aktiviert werden, für OpenVPN nicht. Ich habe nun
> versucht mit iptables die fehlenden FORWARDs selbst aufzubauen, leider
> bisher ohne Erfolg, aber ich denke das ist die richtige Richtung. Ich

Du brauchst doch nur ein Portforwarding einrichten, auf Application&
Gaming, nur für UDP, Port 1194, auf den OpenVPN Server im Netz - läuft
hier problemlos.

Nicht vergessen auf dem Router noch eine Route für das VPN Netz auf den
VPN-Server zu setzen, falls Du noch andere interne Rechner erreichen
willst (und diese den Router als Standardgateway haben)

Gruß, Rainer

Dr. Rainer Meergans schrieb:
> Monsieur Ibrahim schrieb:
>
>> Durchleitung einfach aktiviert werden, für OpenVPN nicht. Ich habe nun
>> versucht mit iptables die fehlenden FORWARDs selbst aufzubauen, leider
>> bisher ohne Erfolg, aber ich denke das ist die richtige Richtung. Ich
>
> Du brauchst doch nur ein Portforwarding einrichten, auf Application&
> Gaming, nur für UDP, Port 1194, auf den OpenVPN Server im Netz - läuft
> hier problemlos.

Die Probleme liegen hier auf der Clientseite. Auf der Serverseite gibt
es bereits einen Portforwarding auf den OpenVPN Server (Port 6xxx udp,
ich verwende einen anderen Port). Beide, Client und Server, befinden
sich also hinter einem Router in einem lokalen Netz. Meinst du, man
benötigt zusätzlich ein Portforwarding im Clientnetz (bzw. Router) auf
den Port 1194?

Komisch ist ja, dass das Ganze einwandfrei funktioniert, wenn ich wieder
meinen alten Digitus-Router hier anschließe (auf der Clientseite, ohne
Änderung an der Serverseite). Dieser Digitus verwendet auch kein
Portforwarding, nur eine static route auf das VPN-Netz (aber es geht
auch ohne).

> Nicht vergessen auf dem Router noch eine Route für das VPN Netz auf den
> VPN-Server zu setzen, falls Du noch andere interne Rechner erreichen
> willst (und diese den Router als Standardgateway haben)

Die statische Route ist auch gesetzt.

Gruß
Ibrahim