ich sagte ja schon, iwie hast du ne IP zuviel oder wie seh ich dat. _________________ RT-N66U @ Build 25697M K3.10.63
TL-WR842ND v1 @ BS-build 23919 WDS AP
TL-WR841ND @ BS-build 23919 WDS Client
TL-WR841ND @ BS-build 23919 Client Bridge ( Routed )
seit wann hat der client ne virtuelle ip. ich hab sowas nicht. da is was fehlkonfiguriert. sowas is nicht üblich _________________ RT-N66U @ Build 25697M K3.10.63
TL-WR842ND v1 @ BS-build 23919 WDS AP
TL-WR841ND @ BS-build 23919 WDS Client
TL-WR841ND @ BS-build 23919 Client Bridge ( Routed )
Nee da würde ja der Tunnel überhaupt nicht funktionieren.
Beim DD-WRT OpenVPN-Client ist die 10.10.8.5, die in der Routingtabelle eingetragene IP.
Die Ip, über die ich diesen remoten Router erreiche, ist die
10.10.8.6. 10.10.8.6 lautet auch der Tunneleintrag als virtuelle IP in der pfSense.
In der DD-WRT Routingtabelle ist dann 10.10.8.1 als Destination eingetragen. In der pfSense erscheint dann 10.10.8.1 und 10.10.8.2 in der Routingtabelle.
Jetzt habe ich aber ein anderes Problem.
Mir bricht sporadisch die Verbindung im DD-WRT Router zum remoten Netz ab, ohne das ich irgend etwas mache. Dort besteht dann keine Internetverbindung mehr (obwohl die WAN-Verbindung steht) und ich erreiche das remote Netz auch nicht mehr über den Router.
Selbst wenn der Router vom Netz genommen wird, funktioniert er nicht, wie von Geisterhand geht er dann irgendwann wieder.
Hab erst mal einen Ersatzrouter reingehängt (kein VPN) und muß jetzt abklären was da falsch läuft.
Ich überlege schon ein zweites ALIX mit pfsSense dort einzubauen, da der WRT54GL ja auch schon etwas in die Jahre gekommen ist und mit seinen 200 MegaHerzchen ja nun wirklich nicht ein Rennpferd ist.
Oder ein WRT320N ??? ...zumindest das Preis-Leistungsverhältnis passt. Da ist aber dann nix mit pfSense.
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Wed Apr 04, 2012 15:09 Post subject:
Mal ne generelle Info!
Quote:
Nee, Tunnelnetzwerk 10.10.8.0/24
10.10.8.1 Server
10.10.8.2 Virtuelle IP Serverseite
10.10.8.5 Virtuelle IP Clientseite
10.10.8.6 Client.....und die fehlt in der Clientconfig DD-WRT
im Routing Mode über das TUN Device ist das so schon richtig!
Es wird dort ein Transfernetz gebildet
dieses Transfernetz hat in der Regel vier Adressen (es sei den man gibt in der conf etwas anders vor!).
Zwei davon sind die IP-Adressen der virtuellen Netzwerkkarten an den jeweiliegen Tunnel Endpunkten
(z.B. 10.8.0.1 am Server und 10.8.0.2 am Client) die restlichen beiden dienen für Broadcast und das Netzwerk selbst.
Das Problem was du dort beschreibst liegt sehr wohl am Routing!
Dein Ansatz war also schon Richtig nur hast du so wie es aussieht das falsche gateway gesetzt.
kannst dir ja das mal durchlesn dort ist es eigentlich ganz gut beschrieben.
eine zweite ip adresse erhalten die clients nicht und ergibt fuer mich auch gar keinen sinn. _________________ RT-N66U @ Build 25697M K3.10.63
TL-WR842ND v1 @ BS-build 23919 WDS AP
TL-WR841ND @ BS-build 23919 WDS Client
TL-WR841ND @ BS-build 23919 Client Bridge ( Routed )
gar nicht so einfach, so ein virtueller Tunnel.....
Also, laut pfSense routing-Tabelle ist 10.10.8.1 die virtuelle Server-IP, 10.10.8.2 der Server-Gateway.
pfSense zeigt ebenfalls das virtuelle Tunnelende (DD-WRT-Router) mit 10.10.8.6 an, welches sich anpingen und per ssh erreichen lässt.
Die 10.10.8.6 ist also die virtuelle-client-IP und Tunnelende des VPN.
Vom 192.168.55.0/24 Netz über den Gateway der Clientseite 10.10.8.5, so steht es auch in der Routing-Tabelle des DD-WRT Clients. wird dann die virtuelle IP 10.10.8.1 des pfSense erreicht und von da aus die DMZ und das NAS.
@ BasCom
Quote:
eine zweite ip adresse erhalten die clients nicht und ergibt fuer mich auch gar keinen sinn.
..wenn das so ist, wieso erreiche ich dann 10.10.8.6 und wieso steht dann die 10.10.8.5 als Gateway in der Routing-Tabelle des DD-WRT ?
Was mich stutzig macht, die fehlende 10.10.8.6 in der Routing-Tabelle des DD-WRT.
Versionsunterschiede in OpenVPN ???
Übrigens Netzmaske ist sowohl Server wie Client gleich mit 255.255.255.255 angegeben und dürfte desahlb nicht das Problem sein.
ganz einfach: der server hat 2 adressen, ip und PtP
die clients bekommen eine adresse und die ip des servers als PtP ( gateway ) bei dir bekommt der client ne eigene ip (augenschienlich 10.10.8.5 ) als gateway, imho überflüssig. funktionieren wird beides, nur sorgts augenscheinlich fuer verwirrung und erschwert die fehlersuche.
Werde ich tun, muss nur den WRT54 heute Abend erst wieder einbauen.
Wie gesagt....
Quote:
Jetzt habe ich aber ein anderes Problem.
Mir bricht sporadisch die Verbindung im DD-WRT Router zum remoten Netz ab, ohne das ich irgend etwas mache. Dort besteht dann keine Internetverbindung mehr (obwohl die WAN-Verbindung steht) und ich erreiche das remote Netz auch nicht mehr über den Router.
Selbst wenn der Router vom Netz genommen wird, funktioniert er nicht, wie von Geisterhand geht er dann irgendwann wieder.
Hab erst mal einen Ersatzrouter reingehängt (kein VPN) und muß jetzt abklären was da falsch läuft
root@winnie:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.8.1 10.10.8.5 255.255.255.255 UGH 0 0 0 tun0
10.10.8.5 * 255.255.255.255 UH 0 0 0 tun0
213.191.64.180 * 255.255.255.255 UH 0 0 0 ppp0
172.16.7.0 10.10.8.5 255.255.255.0 UG 0 0 0 tun0
192.168.55.0 10.10.8.5 255.255.255.0 UG 0 0 0 tun0
192.168.55.0 * 255.255.255.0 U 0 0 0 br0
192.168.155.0 10.10.8.5 255.255.255.0 UG 0 0 0 tun0
169.254.0.0 * 255.255.0.0 U 0 0 0 br0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default lo1.br55.asham. 0.0.0.0 UG 0 0 0 ppp0
Sorry das es so geklemmt hat, ich habe den WRT54GL noch mal geflasht und Backup gemacht.
Nach wie vor habe ich sporadisch Probleme mit dem DD-WRT.
Die gelbe Anzeige brennt dann und es fehlt mir die LAN-Verbindung zum Router.
VPN-Tunnel steht aber und der Router ist von mir aus erreichbar.
Heute Abend bin ich da vor Ort und muss mal sehen was da klemmt.
Gruß orcape
@BasCom
Vermutlich nutzt du die Option "ifconfig-pool-linear" in deiner Server Konfig, was dann ein richtiges P2P Interface erzeugt.
Fehlt das als Server Option macht OVPN immer ein /30er Subnetz für jeden Client da das dümmliche Windows (tap32 Treiber) nicht mit einem linearen P2P Netzwerk umgehen kann.
Die tun0 Addressierung ist also so im Windows kompatiblen non linear Modus absolut OK.
Das Grundproblem bzw. die Lösung der o.a. Problematik ist das der DD-WRT OpenVPN Client IMMER ein NAT (Masquerading) im OpenVPN Tunnel macht auf dem tun0 Interface !!
Siehe:
http://www.dd-wrt.com/wiki/index.php/OpenVPN#GUI_Client_Mode_Disabling_NAT
und auch
http://cyberdelia.de/2011/03/ddwrt-openvpn-nat-und-lan2lan-kopplung.html
sowie andere Postings zu diesem Thema.
Der OVPN Client bei DD-WRT nimmt es deshalb mit dem Client Modus allzu genau so das das nur eine immerwährende Einbahnstrasse ist vom Client zu Server !
Es ist völlig unverständlich warum im DD-WRT Client Mode GUI dort nicht eine Möglichkeit geschaffen ist das zu deaktivieren um einen LAN zu LAN Kopplung zu ermöglichen ?! Alle anderen OVPN Client Implementationen haben diese Restriktion nicht weil klar kontraproduktiv bei einer LAN zu LAN Kopplung.
Interessanterweise bietet der PPTP Client genau diese Option !! Dort ist NAT deaktivierbar.
Hier müssen die DD-WRT Entwickler also nochmal nachlegen wenn frustrierte User nicht zu Tomato oder OpenWRT abwandern sollen
Hilft also nur NAT/Masquerading am tun0 Interface manuell zu deaktivieren...dann klappts!
Last edited by itfrog on Fri Apr 13, 2012 16:53; edited 3 times in total
Vermutlich nutzt du die Option "ifconfig-pool-linear" in deiner Server Konfig, was dann ein richtiges P2P Interface erzeugt.
eher nicht. habe auch gar keine windows clients. der TE ja auch nicht, soweit ich blicke. daher sind seine /30er subnetztes auch überflüssig imho und nur quell von Fehlern im Routing.
nat musste ich ebenfalls manuell einschalten, damit client a über client b ins internet konnte. möglicherweise sind das aber neue settings aus den letzten changesets. sash hat viel gemacht in letzter zeit im ovpn bereich.
eine nat aktiv/ nicht aktiv bietet die oepnvpn client gui in dd-wrt übrigens auch an . . .
Denke: es streiten sich hier ein wenig die geister. die konfig muesste mal geändert werden, bzw ohne direkten zugriff auf die geräte, um ich alles mal anzusehen, ist hier wohl eh eher ein toter punkt erreicht. zieht sich ja auch schon einige zeit hin das thema
letzlich habe ich hier nur meine config mal dargelegt, da sie ja so funnktioniert, wie es sich der TE eigentlich wünscht für sich zuhaus. _________________ RT-N66U @ Build 25697M K3.10.63
TL-WR842ND v1 @ BS-build 23919 WDS AP
TL-WR841ND @ BS-build 23919 WDS Client
TL-WR841ND @ BS-build 23919 Client Bridge ( Routed )
eher nicht. habe auch gar keine windows clients. der TE ja auch nicht, soweit ich blicke. daher sind seine /30er subnetztes auch überflüssig imho und nur quell von Fehlern im Routing.
..was Windows angeht richtig, nur sind die 30 er Subnetze vom OpenVPN-Server der pfSense automatisch kreiert und lassen sich nicht ändern.
Mein config-Eintrag für das Tunnelnetz ist 10.10.8.0/24 und trotzdem wird von der pfSense ein 255.255.255.255 er Netz erstellt.
Ausserdem lässt sich dort auch keine Option "ifconfig-pool-linear" einstellen.
Wie itfrog richtig sagt...
Code:
Das Grundproblem bzw. die Lösung der o.a. Problematik ist das der DD-WRT OpenVPN Client IMMER ein NAT (Masquerading) im OpenVPN Tunnel macht auf dem tun0 Interface !!
Mit dem NAT, das sich für den Tunnel nicht separat abschalten lässt, wird so eine Art Einbahnstrasse produziert.
Wurde mir von "höherer" Stelle bestätigt.
Seht das Thema als erledigt an. Der Client Router hat sich eh verabschiedet und muss durch was anderes ersetzt werden.