Posted: Fri Feb 19, 2010 18:04 Post subject: Komplexe Konfiguration mit Openvpn
Hallo Leute,
ich hab eine Idee für eine recht komplexe Konfiguratiom, kenn mich aber leider nicht genug mit DD-wrt aus um es umzusetzten, theoretisch sollte es aber möglich sein.
Erstmal zu meiner Idee:
Ich hab von der Telekom eine Hotspot-Flat und einen Rootserver im Netz angemietet. Ich möchte gern meinen DD-WRT (WHR-HP-G54) Router so konfigurieren das er sich mit dem Hotspot der Telekom verbindet (ohne Verschlüsselung) und darüber die OpenVPN Verbindung zu meinem Rootserver aufbauen und darüber meine Internetverbindung terminieren.
Hier ein Schema meiner Idee
Rootserver
....|..............\
....|...............\
....|...............|
T-Hotspot......|(OPENVPN als WAN)
....|...............|
....|(WLAN)..../
....|............../
DD-WRT als NAT-Gateway
....|
....|(WLAN mit WPA/LAN)
....|
....|---|---|
Voip PC PC
Legende:
. platzhalter
| / \ - netzwerkverbindung
Jetzt meine Fragen:
Hat jemand von euch schonmal sowas versucht?
Wenn ja, hats funktioniert?
Kann man diese Konfiguration mit über das GUI einrichten oder muss man dazu in den Konfigfiles rumeditieren?
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Fri Feb 19, 2010 18:56 Post subject:
Klar geht das über den GUI. Der dd-wrt Router fungiert (wenn ich das jetzt richtig interpretiere) ja auch nur als OpenVpn Client der OpenVpn Server müsste ja auf deinem Rootserver laufen.
Wenn das so stimmt musst du in der server conf die "redirect-gateway“ Direktive angeben (um Split tunneling zu vermeiden) und deinen Clients hinter dem wrt die openvpn Adresse des dd-wrt Routers als Default gateway mitteilen. Dann sollte alles über die Openvpn Verbindung laufen und der Openvpn Server als Globales Default Gateway für alle Netzteilnehmer fungieren.
(alle Clienten hinter dem wrt schicken alles was nicht für das Lokale netz gedacht ist an ihr Default Gateway (die dd-wrt openvpn Adresse) und der dd-wrt alles verschlüsselt über den OpenVpn Server (weil dessen Adresse sich wiederum als default Gateway für den Router implementiert (redirect-gateway).
also du hast meine Idee schon richtig verstanden und es ist gut zu wissen das es an sich geht. Könntest du mir ein paar Tipps geben wie ich das DD-WRT zu konfigurieren habe? Also ich nehme mal an das ich WLAN-Technisch in den Repeater Modus muss damit ich gleichzeitig AP und Client sein kann. Der VPN-client ist einzurichten auch klar, aber was für mich absolut unklar ist wie ich dem DD-WRT das tap0 als WAN-Port beibringen kann.
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Sat Feb 20, 2010 14:34 Post subject:
Sämtliche TCP/IP Settings sowie Routen übergibt der vpn Server dem client und manipuliert so auch die Routingtabelle-> wenn er den richtig oder besser gesagt entsprechend Konfiguriert ist!
Das alles jetzt hier zu erklären würde den Rahmen sprengen da auch die Konfiguration stark von jeweiligen Gegebenheiten abhängt.
Fang am besten einfach mal an wenn der erste tunnel erst mal steht kann man die conf Schritt für Schritt anpassen bis alles so läuft wie man es haben will.
Am besten du schaust dir mal das Openvpn WIKi an dann erklärt sich so einiges.
Diese Seiten sind ganz hilfreich wenn man sich keine Lektüre kaufen möchte.
http://www.indato.ch/openvpn/openvpn.html http://www.linuxforen.de/forums/showthread.php?t=169354 http://sarwiki.informatik.hu-berlin.de/OpenVPN_%28deutsch%29 http://wiki.openvpn.eu/index.php/Hauptseite
Ich weiß es ist eine Menge zu lesen aber so ganz ohne geht es leider nicht.
ok, so weit so klar. Ich dachte das zaubere ich fix hin. Aber der Client hinter dem WRT-Router kommt nicht an das VPN-Gate dran und nutzt es nicht als default Gateway :(
Wenn ich auf dem Client hinter dem WRT-Router die Openvpn-Gui starte, wird das VPN aufgebaut.
Aber genau die Aufgabe sollte ja der WRT-Router übernehmen, damit ein lokaler Client nicht mehr nötig ist....
- Der WRT-Router (in meinem Falle Firmware: "DD-WRT v24-sp2 (07/21/09) vpn" auf einem WRT54G ist als OpenVPN-Client mit dem Root-OpenVPN-Server verbunden.
- Routertabelle und interface wie folgt:
Code:
root@WRT54GL:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.10.6 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
217.xxx.XXX.xxx 91.xxx.XXX.254 255.255.255.255 UGH 0 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
192.168.10.0 192.168.10.6 255.255.255.0 UG 0 0 0 tun0
91.xxx.XXX.0 0.0.0.0 255.255.252.0 U 0 0 0 vlan1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.10.6 0.0.0.0 UG 0 0 0 tun0
root@WRT54GL:~#
Fehlt da evtl. noch eine Route, die ich eintragen muss, oder vllt auch eine iptables Regel?
So langsam gehen mir die Ideen aus.
Danke für jegliche Hilfen.
ok mit der Firmware: DD-WRT v24-sp2 (10/10/09) vpn klappt alles.
nun kann man auch die Kindersicherung zum SquidGuard nicht mehr austricksen (ja klar, ausser man hat einen weiteren Root-Server oder irgendwas, was ssh annimmt)
wobei... ich werde nochmal die iptables auf dem vpnserver verschärfen
cheers