Posted: Thu Jan 02, 2014 21:06 Post subject: OpenVPN - erreiche Geräte im LAN nicht ! (iptables?)
Hallo,
ich möchte mit "OpenVPN für Android" (oder OpenVPN Connect Android) über den OpenVPN-Server meines Routers (TL-WR1043ND) ins Internet. Habe auch den Wiki-Artikel mehrmals gelesen... Verzweifle seit 3 Tagen, es funktioniert einfach nicht! Beim Smartphone steht OpenVPN-VERBUNDEN aber wenn ich eine Webseite aufrufen will, kommt nichts, er lädt ohne Ergebnis. Natürlich verwende ich beim Handy die Daten-Verbindung und nicht das eigene WLan für die VPN-Verbindung.
Additional Config:
push "route 192.168.1.1 255.255.255.0"
server 192.168.10.0 255.255.255.0
push "dhcp-option DNS 8.8.8.8"
dev tun0
proto tcp
keepalive 10 120
nun die erste Frage ist, wieso du tcp anstatt udp verwendest?
Bei Openvpn wird generell udp empfohlen, oder geht das bei deinem Handybetreiber nicht?
die nächste Frage ist, kommst du zu deinen Geräten im LAN, wenn das Openvpn aktiv ist?
nun die erste Frage ist, wieso du tcp anstatt udp verwendest?
Bei den meisten Wifi-Netzwerken bei denen ich surfe, werden VPN Protokolle vom Anbieter geblockt. Wenn ich TCP Port 443 verwende funktionierts einwandfrei - jedenfalls mit fremden OpenVPN Anbietern.
devzero wrote:
kommst du zu deinen Geräten im LAN, wenn das Openvpn aktiv ist?
nein. wenn ich 192.168.1.1 auf dem Handy aufrufe (mit verbundenem VPN), kommt nichts
von Desktop-PC (192.168.1.X) ---> Handy (192.168.10.X) funktioniert ein Ping (Zeit: 700ms)
von Handy ---> Desktop-PC funktioniert NICHT es kommt kein Ping an
Unter STATUS OpenVPN DD-WRT GUI, steht bei meinem Client1:
Real Address: X.X.X.X (>> IP von meinem Handy Betreiber)
Virtual Address: 192.168.10.2
Bytes Received: 10050
Bytes Sent: 10372
.:: Log es kommt immer nur das
Serverlog 20140102 23:40:18 D MANAGEMENT: CMD 'state'
20140102 23:40:18 MANAGEMENT: Client disconnected
20140102 23:40:18 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20140102 23:40:18 D MANAGEMENT: CMD 'state'
20140102 23:40:18 MANAGEMENT: Client disconnected
20140102 23:40:18 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20140102 23:40:18 D MANAGEMENT: CMD 'status 2'
20140102 23:40:18 MANAGEMENT: Client disconnected
20140102 23:40:18 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:14
20140102 23:40:18 D MANAGEMENT: CMD 'log 500'
20140102 23:40:18 MANAGEMENT: Client disconnected
... das wiederholt sich dann immer wieder ...
Last edited by no-exit on Thu Jan 02, 2014 23:47; edited 1 time in total
Posted: Fri Jan 03, 2014 0:11 Post subject: UPDATE
Wenn ich das Feld Service/ OpenVPN Server "Additional Config" leer lasse. Dann kann ich mit dem Handy NUR auf 192.168.1.1 (Router Web GUI) zugreifen und auch pingen. Sonst geht nichts. Meinen Desktop-PC (192.168.1.X) erreiche ich auch nicht.
Posted: Fri Jan 03, 2014 1:29 Post subject: Internet Ja - LAN funktioniert nicht
Ok ... ein erster Fortschritt ... bei den FIREWALL Regeln hab ich hinzugefügt:
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
jetzt komme ich mit dem Handy zwar ins Internet. Wenn ich myip.is aufrufe, sehe ich meine Router WAN IP. Und unter Status/ Router "Active IP Connections" sehe ich die TCP 443 Verbindung zwischen den Public-IPs Handy und Router.
Aber ich kann vom Handy kein Gerät im LAN (z.B.: Router GUI: 192.168.1.1) aufrufen. Meinen Desktop-PC (192.168.1.X) kann ich auch nicht erreichen.
Additional Config (OpenVPN Server)
push "dhcp-option DNS 8.8.8.8"
push "redirect-gateway"
server 192.168.10.0 255.255.255.0
dev tun0
proto tcp
keepalive 10 120
Aber jetzt nattest halt vom vpninterface am Router ins Internet. Wäre ein entsprechender Routingeintrag nicht besser? In dem Fall müsste dein Router eh alle Netze kennen und das entsprechend verteilen.
Ich komm zwar ins Internet. Aber erreiche keine Geräte im LAN. Ping
PC ---> Handy JA (~120ms)
Handy ---> PC NEIN (bspw.:192.168.1.1 oder 192.168.1.X Desktop-PC)
devzero wrote:
Btw hast am PC eine Firewall rennen, die ICMP Echo abwürgt?
Nein, hab keine die sowas macht. Das würde aber nur die Pings betreffen, oder? Der Browser sollte die Seiten ja trotzdem liefern können, selbst wenn die Echos geblockt würden?
Last edited by no-exit on Sun Jan 05, 2014 3:56; edited 1 time in total
warum der mit mit der firewall, wenn dwrt das schon macht!?
Und genau das ist die Frage:
Was macht DD-WRT wenn ich den OpenVPN-Server konfiguriert habe mit der Firewall?
Ich meine ich suche nun auch schon seit Tagen eine halbwegs aktuelle und verlässliche Quelle, die mir sagen kann, was den alles an der Firewall gemacht wird bzw. was ich den noch einstellen muss um aus meinem VPN-Netz z.B. ins LAN zu kommen.
Über Umwege kann ich mir die Live verwendeten Konfigurationsdaten des OpenVPN-Servers ansehen (auch innerhalb der GUI).
Genau das finde ich nicht / fehlt mir im Bezug auf die Firewallregeln.
Ich bin auf meiner Suche hier im Forum und durch eigenes ausprobieren drauf gekommen, dass wohl in den aktuellen Builds die Portfreigabe automatisch geschaltet wird (Allerdings sehr Global gehalten:
Destination = Anywhere ; Source=Anywhere).
Also Grob gesagt:
Firewall wird soweit konfiguriert, dass man den Server erreichen kann und eine Verbindung aufbaut. Alles was darüber hinaus geht, ist man dann selber gefordert.
Soweit so gut.
Was einem in diesem Zusammenhang auffällt, ist dass es nicht so einfach möglich ist, die Firewall aus der GUI zu überwachen / administrieren.
Das finde ich mehr als schade. Ich habe den Workaround mit dem FWBuilder gelesen allerdings finde ich das auch teilweise recht umständlich bzw. ungeeignet für eine schnelle Konfiguration / Überwachung der Firewall.