Posted: Thu Apr 08, 2010 20:37 Post subject: WRT als openvpn client
Hallo,
es ist folgende Ausgangssituation:
Openvpn hat sich erfolgreich mit dem Server verbunden, Pings vom WRT auf den Server sind erfolgreich, andersherum jedoch nicht.
Tag auch,
ich hab schon mit solch einer qualifizierten Antwort gerechnet, da es ja mein erster Beitrag war.
Quote:
da wird schon was falsch eingestellt sein.
Finde ich nun allerdings auch nicht sonderlich präzise, aber seis drum.
Vielleicht kannst du ja auch mal genau erläutern was genau du noch wissen willst.
FYI, es ist nicht das erste VPN welches ich Aufbaue, allerdings das erste VPN mit dem WRT als Client.
Wie ich ja bereits in meinen "brocken" schon geschriebe haben verläuft der Verbindungsaufbau erfolgreich. Die Client-Server Kommunikation über den Tunnel funktioniert ja auch einwandfrei.
Ich werde im Laufe des Tages dann mal die iptables vom WRT komplett flushen und bei 0 anfangen, vielleicht liegts ja an nem Prerouting oder ne Masquerade.
Hätte ja sein können dass jemand direkt eine Antwort weiß.
also hellsehen kann hier keiner. jedenfalls hab ich noch keinen gefunden....und wenn wuerd ich den direkt fuer mich verhaften....da braeuchten wir nicht mehr mit usern zu diskutieren was sie alles an benoetigten grundlegenden infos NICHT geben weil sie keine guidelines lesen. _________________ Forum Guidelines...How to get help
&
Forum Rules
&
RTFM/STFW
&
Throw some buzzwords into the WIKI search
_________________
I'm NOT rude, just offer pure facts!
_________________
Atheros (TP-Link & Clones, etc ) debrick service in EU
_________________
Guide on HowTo be Safe, Secure and Protect Your Online Anonymity!
Richtig, die Sache mit dem Hellsehen ist immer ein Thema und kann ich auch vollsten Nachvollziehen.
Auch wenn die Ausgangssituation klar ist und es eigentlich unabhängig von irgendwelchen Versionen oder ähnlichem ist, poste ich dann mal sämtliche Versionen:
Meine Vermutung liegt immernoch irgendwo bei POST oder PRE-Routing.
Aber so wie es ja aussieht ja bisher niemand seinen WRT mit Openvpn als Client eingebunden, bzw. hatte niemand selbiges Problem dabei.
Der VPN Tunnel steht, da gibts auch keinerlei Probleme. Der Server lässt sich vom WRT aus anpingen, das Problem ist, andersrum einfach nicht.
Ich seh sogar über ttraff eingehenden Traffic auf dem vpn device (http://192.168.42.1/graph_if.svg?tap1) Jedoch antwortet der WRT einfach nicht.
Ich kann ja sogar aus dem LAN den WRT über seine VPN IP erreichen.
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Fri Apr 16, 2010 14:38 Post subject:
Ich sagte doch mach doch bitte mal ein Tracert, wenn du (noch) nicht auf die Clienten willst dann halt auf die IP des Routers.
Ich könnte wetten das auf dem Server noch eine Route in das WRT Netz fehlt (192.168.42.0/24).
Der Server selbst übergibt doch (zumindest konfiguriert man das in der regel so) alle nötigen Routing Infos an den VPN Client damit dieser weis wie er „alles“ im vpn netz erreichen kann was er soll.
Das das so ist sieht man schon alleine daran das du vom WRT aus in das VPN Netz pingen kannst, antworten kommen auch zurück dafür sorgt ebenfalls der Ovpn prozess auf dem Client.
Ebenso solltest du in der lage sein bei aufgebauten Tunnel vom Ser ver aus die VPN IP des WRTs zu pingen. Nur die 192.168.42.1 nicht weil im dazu die routing infos fehlen.
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Sat Apr 17, 2010 13:40 Post subject:
OK die VPN IP ist die 10.1.1.53 damit du das WebIf auf dieser IP erreichst musst du dafür sorgen das alle Anfragen an Port 80 die über die 10.1.1.53 ankommen an die 192.168.42.1 Port 80 weitergeleitet werden. Außerdem musst du Port 161 erreichbar machen über tap0.
Es geht natürlich nicht, das ist doch genau mein Problem.
iptables -I INPUT 1 -i tap1 -j ACCEPT
schließt doch auch ein "-p udp --dport 161", genauso wie ein ping, alles quasi.
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Sat Apr 17, 2010 14:55 Post subject:
Hast du die NAT regel überhaupt getestet?
Die INPUT Rule reicht z.B für das WebIf nicht weil der httpd nicht entsprechend konfiguriert ist.
Allerdings sollte ein ping möglich sein. Lösche mal die icmp DROP Rule aus deiner FW conf (auch wenn sie eigentlich auf vlan1 liegt)
Wie sieht deine Server.conf aus?
Allerdings bin ich deine wenig freundlichen Antworten so langsam leid
Wenn du nicht möchtest dass ich dir bei deinem Problem helfe sag es einfach. _________________ http://www.dd-wrt.com/phpBB2/search.php? http://www.dd-wrt.com/wiki/index.php/Main_Page http://www.dd-wrt.com/wiki/index.php/Category:Deutsche_Dokumentation
Hey,
ja die NAT Regel habe ich auch ausprobiert, auch ohne Erfolg.
Meine Antworten sollen keinesfalls pampig oder unfreundlichen wirken. Wenn du es so aufgenommen hast tut es mir leid.
Ich werd mich arbeitsbedingt erst nächste Woche wieder melden können, dann gibts also weitere Neuigkeiten.