Posted: Tue May 08, 2012 11:29 Post subject: [GELÖST] DIR300 für PPTP VPN hinter einem Gateway-Router
Hallo zusammen,
ich habe leider ein kleines Problem, welches ich auch nach Tagen intensivster Google- und Foren-Recherche nicht lösen konnte.
Gleich mal vorneweg, dies ist mein erster Thread hier im Forum, ich habe ja auch erst wenige Tage ein dd-wrt-fähiges Gerät.
Falls ich hier im falschen Bereich des Forums posten sollte : Sorry, und gleich die Bitte an einen Mod : bitte passend verschieben.
So, nun zu meinem "kleinen" Problem :
Beschreibung bisheriger Ist-Zustand :
> Gatewayrouter mit DSL Dialup
> ein WinXP VPN Server im LAN
> ein Portforwarding für TCP 1723 auf den Server
Diese Konfiguration funktioniert(e) bisher immer ohne Problem.
Allerdings soll nun der VPN Server durch eine Hareware-Lösung ersetzt werden.
Das ganze steht "daheim", ich bin also keine Firma, benötige nur ein "kleines" VPN für "n Butterbrot" und keine "teure Firmenlösung" ,
denke ich im Moment zumindest, vielleicht noch .....
Beschreibung Planung :
> Gatewayrouter mit DSL Dialup (bleibt bestehen)
> ein WinXP Server im LAN (bleibt bestehen, bekommt aber weitere/andere Aufgaben)
> ein DIR-300 von D-Link, genauer Revision B1
> ein Portforwarding für TCP 1723 auf den dd-wrt DIR-300
So, nun zu meinem kleinen Problem :
> der PPTP Service des DIR300 scheint nur auf dem WAN Port zu "lauschen"
> der bisherige Server stand "im LAN" , ganz ohne "DMZ"
> ein Loop zw. LAN und WAN am DIR-300 bringt mir nur das LAN durcheinander
> ein Brigeing zwischen br0 (interne Bridge) und vlan2 (WAN) funktioniert auch nicht
Meine Frage(n) :
> wie bekomme ich den PPTP Service dazu auch auf dem LAN Port zu "lauschen" ?
> alternativ : wie bekomme ich die PPTP Pakete vom LAN auf den WAN Port geroutet ?
Ich habe ein paar Screenshots angehängt, allerdings verschliesst sich mir die Funktion "Bild einfügen" in diesem Forum. Evtl. folgt also noch ein Post im Thread mit Bildern.
Vorneweg, ich bin am verzweifeln *g* und wenn s en Meter Bembel sein sollen
Ich hab versucht dem zu folgen was Du geschrieben hast.
Das "iptables -L" ist per Telnet und Putty extrem langsam wenn PPTP läuft.
Wenn ich PPTP abschalte bekomme ich ne "Riesenantwort".
Code:
root@DD-WRT:/# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:1723
ACCEPT gre -- anywhere anywhere
DROP udp -- anywhere anywhere udp dpt:route
DROP udp -- anywhere anywhere udp dpt:route
ACCEPT udp -- anywhere anywhere udp dpt:route
logaccept tcp -- anywhere 10.0.0.251 tcp dpt:www
DROP icmp -- anywhere anywhere
DROP igmp -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere state NEW
logaccept 0 -- anywhere anywhere state NEW
DROP 0 -- anywhere anywhere
root@DD-WRT:/# ps
PID USER VSZ STAT COMMAND
1 root 1628 S /sbin/init noinitrd
2 root 0 SW< [kthreadd]
3 root 0 SW< [ksoftirqd/0]
4 root 0 SW< [events/0]
5 root 0 SW< [khelper]
34 root 0 SW< [kblockd/0]
53 root 0 SW [pdflush]
54 root 0 SW [pdflush]
55 root 0 SW< [kswapd0]
56 root 0 SW< [aio/0]
579 root 0 SW< [mtdblockd]
694 root 2148 S resetbutton
1095 root 1884 S process_monitor
1601 root 976 S cron
1700 root 972 S udhcpc -i vlan2 -p /var/run/udhcpc.pid -s /tmp/udhcpc
1712 root 4088 S httpd -p 80
3682 root 964 S pptpd -c /tmp/pptpd/pptpd.conf -o /tmp/pptpd/options.
3688 root 1816 S ttraff
3699 root 1084 S dnsmasq --conf-file=/tmp/dnsmasq.conf
3731 root 1340 S telnetd
4046 root 1356 S -sh
4280 root 1340 R ps
Upgrade geht laut Routertabelle nicht, glaube ich.
Zumindest sagt mir die das ich "up to date" bin .... wie gesagt, glaube ich.
Greetz GizMoo
Nachtrag :
> Router wurde vor den Befehlen oben komplett auf Werkszustand zurückgesetzt.
> WLAN abgeschaltet
> LAN mit fester IP, DNS und Gateway zeigen wieder auf den Gateway-Router
ist mir auch aufgefallen. Ich habe mir ein wenig Infos zu "iptables" zusammengegoogled,
ich denke aber diese Zeile erlaubt dem DIR-300 alle Pakete auf allen Interfaces anzunehmen wenn
diese mit TCP auf Port 1723 ankommen.
Die hier gefundene Version hab ich geflashed, ging ohne Problem, sogar die Konfig wurde behalten,
habe trotzdem alles überprüft, sieht i.O. aus.
Nun habe ich unter "Router" -> "Status" folgende Angabe :
Code:
Firmware Version DD-WRT v24-sp2 (03/19/12) std - build 18777
Das sollte Deiner Empfehlung "Updaten !" nachkommen, was neueres hab ich nicht gefunden,
falls die Version immer noch nicht die sein sollte die ich installieren soll sag mir bite wo ich noch was anderes finde.
Leider funktioniert trotzdem weiterhin kein Zugang aus dem LAN zum PPTP Service auf dem DIR-300.
Ich denke das Problem liegt im Moment weder an Firmware noch am Routing.
Mein Gedanke geht ehr in die Richtung das der PPTP Service einfach nur auf dem WAN-Port (vlan2 ?) "horcht"
und daher die aus dem LAN (eth2 ?) ankommenden PPTP Pakete einfach nicht sieht.
Ich denke ich werde mir später nach Feierabend mal die .conf-Files im Ordner des PPTP-Services ansehen,
vielleicht finde ich hier irgendwo die Möglichkeit das "Lausch-Interface" vom WAN-Port auf den LAN-Port "umzubiegen"
oder das LAN eben hinzuzufügen.
Ich hoffe nur das imr das dann nicht "logische Probleme" verursacht, wenn z.B. dd-wrt dann automatisch
nach einer VPN Einwahl versucht Routen zwischen LAN- und WAN_Ports zu setzen.
Wie der "Rückweg" der PPTP Pakete aussieht ist mir auch noch nicht so klar. Vielleicht sollte ich einfach
mal nen Hub vor den DIR-300 hängen und mit Wireshark schauen was da so über die Leitung geht ?
So ....
und wieder geht es weiter, ich hab mir ein wenig angelesen.
In folgendem Ordner liegen nun scheinbar die für den PPTP Dienst benötigten Dateien,
sowie eben auch zwei Konfig-Files :
Code:
root@DD-WRT:/tmp/pptpd# ls
chap-secrets ip-down ip-up options.pptpd pptpd.conf
Interessant in meinem Fall sind diese beiden :
Code:
options.pptpd
pptpd.conf
in options.pptpd fiel mir auf das die folgende Zeile mit einem * definiert war :
Code:
name *
das hab ich mal auf
Code:
name PPTP
geändert.
Desweiteren lässt sich laut Rindernet in der pptpd.conf das zu nutzende Interface einstellen.
Ich hatte also kurzerhand eine neue Zeile am Ende "angepappt" :
Code:
listen eth2
Das sollte den PPTP Dienst "zwingen" auf eth2 (ich hoffe das sind die LAN Ports ?) zu "lauschen".
Naja, was soll ich sagen : Weiterhin keine Funktion.
Was mich nur sehr wundert ist das die Änderungen scheinbar nicht weggeschrieben werden,
nach einem Reboot des DIR-300 sind die Änderungen weg.
Ich habe das eben extra nochmal verifiziert :
a) o.g. Änderungen an beiden Files vorgenommen
b) mit vi gearbeitet, on-board quasi
c) Änderungen mit :wq gespeichert
d) beide Files nochmals mit vi geöffnet, Änderungen vorhanden !
e) Reboot des DIR-300
f) beide Files sind wieder im alten Zustand, die Änderungen sind WEG !
Soweit bin ich also im Moment ..... mal sehen wie es weiter geht.
Posted: Thu Jun 07, 2012 12:35 Post subject: [GELÖST]
Hallo zusammen,
ich habe zwar ein wenig gebraucht, aber das "Problem" ist "gelöst".
Das das komisch Forum hier scheinbar recht oft meine angehängten Scrrenshots nicht anzeigt,
werde ich den Abschluss hier einfach mal komplett in "Schrift" liefern.
Mein erklärtes Ziel war es einen extra für diesen Zweck käuflich erstandenen
"DIR300" in "Rev.B1" von "DLink"
als PPTP Server
HINTER einem
schon bestehenden Gateway-Router
zu nutzen.
Nach recht langer Recherche haben sich zwei Fakten herauskristalisiert :
a)
das Android meines Handys hatte ein Problem mit PPTP
( besteht ab Version 2.3.7 und scheinbar bis 4.0.3 ) ,
( mit dem letzten 4.0.4 klappt PPTP wieder mit meinem Handy )
b)
das dd-wrt-Image für den DIR-300 hat scheinbar auch nen kleinen "hau-weg" in der letzten Version,
welche mir vorgeschlagen wurde,
nach einem "Fallback" auf das letzte "stable" rennt es nun
- Router-IP : 10.0.0.251
- Subnet : 255.255.255.0
- Gateway : 10.0.0.252
- DNS : 10.0.0.252
- einen LAN Port direkt per Kabel an den Gateway-Router
- WAN-Port Switch zuweisen : checked
- DHCP : Forwarder : 10.0.0.252 (zum Gateway)
- Uhrzeit per NTP von : 0.de.pool.ntp.org
- WLAN : abgeschaltet
- PPTP-Server : eingeschaltet
- Broadcast : eingeschaltet
- Erzwinge MPPE : eingeschaltet
- DNS : 10.0.0.252
- Server-IP : 10.0.0.249 (kann/darf angeblich auch gleich der LAN IP sein, HABE ich aber nicht so)
- Client-IP : 10.0.0.180-189 (ausserhalb des DHCP Bereichs des Gateway)
- Accounts logischerweise eingerichtet
Unter "Administration" -> "Diagnose" wurde folgendes Startup-Script gespeichert :
Damit funktioniert nun wieder mein Zugang per VPN, aufgrund des genutzten PPTP sollten Kennwörter recht lang sein,
aber hier ging es nur um die Machbarkeit und das "wie" komme ich zur "Funktion".
Besten Dank an das Forum und alle die mich mit Informationen sowie Ideen versorgt haben.
Greetz
GizMoo
@Mod :
Please :
- Change Thread-Title to "SOLVED"
- Close / Lock Thread