holle2 10 Geschrieben 20. April 2011 Melden Teilen Geschrieben 20. April 2011 Hallo, ich möchte gerne eine kostengünstige openVPN site-to-site Lösung für eine kleine Firma mit zwei Standorten aufsetzen. Ich bin nach folgendem howto vorgegangen: OpenVPN - Site-to-Site Bridged VPN Between Two Routers - DD-WRT Wiki Laut syslog der router, wird die VPN Verbindung erfolgreich aufgebaut. Allerdings ist es mir nicht möglich aus einem LAN ins andere zu pingen. Die erforderlichen Firewall settings sollten ebenfalls gesetzt sein. Standort 1: TP-Link TL-WR1043ND mit DD-WRT (v24-sp2) und openVPN Alice DSL16000 Router 1 IP: 192.168.10.1 WAN IP: router01.dyndns.org Router 1 startup settings: # Move to writable directory and create scripts cd /tmp ln -s /usr/sbin/openvpn /tmp/myvpn # Config for Site-to-Site SiteA-SiteB echo " proto udp port 2000 dev tun0 secret /tmp/static.key verb 3 comp-lzo keepalive 15 60 daemon " > SiteA-SiteB.conf # Config for Static Key echo " -----BEGIN OpenVPN Static key V1----- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx -----END OpenVPN Static key V1----- " > static.key # Create interfaces /tmp/myvpn --mktun --dev tun0 ifconfig tun0 192.168.10.0 netmask 255.255.255.0 promisc up # Create routes route add -net OTHERSUBNET netmask 255.255.255.0 gw 192.168.1.0 # Initiate the tunnel sleep 5 /tmp/myvpn --config SiteA-SiteB.conf Router 1 firewall settings: # Open firewall holes iptables -I INPUT 2 -p udp --dport 2000 -j ACCEPT iptables -I INPUT 3 -i tun0 -p icmp -j ACCEPT iptables -I INPUT 1 -i tun0 -p tcp --dport 80 -j ACCEPT iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT Standort 2: TP-Link TL-WR1043ND mit DD-WRT (v24-sp2) und openVPN Alice DSL16000 Router IP: 192.168.1.1 WAN IP: router01.dyndns.org Router 2 startup settings: # Move to writable directory and create scripts cd /tmp ln -s /usr/sbin/openvpn /tmp/myvpn # Config for Site-to-Site SiteA-SiteB echo " remote router01.dyndns.org proto udp port 2000 dev tun0 secret /tmp/static.key verb 3 comp-lzo keepalive 15 60 daemon " > SiteA-SiteB.conf # Config for Static Key echo " -----BEGIN OpenVPN Static key V1----- xxxxxxxxxxxxxxxxxxxxxxxxxxx -----END OpenVPN Static key V1----- " > static.key # Create interfaces /tmp/myvpn --mktun --dev tun0 ifconfig tun0 192.168.1.0 netmask 255.255.255.0 promisc up # Create routes route add -net OTHERSUBNET netmask 255.255.255.0 gw 192.168.10.0 # Initiate the tunnel sleep 5 /tmp/myvpn --config SiteA-SiteB.conf Router 2 firewall settings: # Open firewall holes iptables -I INPUT 2 -p udp --dport 2000 -j ACCEPT iptables -I INPUT 3 -i tun0 -p icmp -j ACCEPT iptables -I INPUT 1 -i tun0 -p tcp --dport 80 -j ACCEPT iptables -I FORWARD -i br0 -o tun0 -j ACCEPT iptables -I FORWARD -i tun0 -o br0 -j ACCEPT Zitieren Link zu diesem Kommentar
holle2 10 Geschrieben 21. April 2011 Autor Melden Teilen Geschrieben 21. April 2011 Hier noch die syslogs der beiden router... Syslog Router 1 (192.168.10.1): Apr 20 01:32:03 syslog: WAN is up. IP: xx.54.135.142 Apr 20 01:32:04 openvpn[1589]: WARNING: file '/tmp/static.key' is group or others accessible Apr 20 01:32:04 openvpn[1589]: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Apr 20 01:32:04 openvpn[1589]: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Apr 20 01:32:04 openvpn[1589]: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Apr 20 01:32:04 openvpn[1589]: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Apr 20 01:32:04 openvpn[1589]: LZO compression initialized Apr 20 01:32:04 openvpn[1589]: TUN/TAP device tun0 opened Apr 20 01:32:04 openvpn[1589]: TUN/TAP TX queue length set to 100 Apr 20 01:32:04 openvpn[1589]: Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ] Apr 20 01:32:04 openvpn[1589]: Socket Buffers: R=[114688->131072] S=[114688->131072] Apr 20 01:32:04 openvpn[1589]: UDPv4 link local (bound): [undef]:2000 Apr 20 01:33:00 cron[3156]: (crontabs) ORPHAN (no passwd entry) Apr 20 01:33:04 openvpn[1589]: Inactivity timeout (--ping-restart), restarting Apr 20 01:33:04 openvpn[1589]: TCP/UDP: Closing socket Apr 20 01:33:04 openvpn[1589]: Closing TUN/TAP interface Apr 20 01:33:04 openvpn[1589]: SIGUSR1[soft,ping-restart] received, process restarting Apr 20 01:33:04 openvpn[1589]: Restart pause, 2 second(s) Apr 20 01:33:06 openvpn[1589]: WARNING: file '/tmp/static.key' is group or others accessible Apr 20 01:33:06 openvpn[1589]: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Apr 20 01:33:06 openvpn[1589]: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Apr 20 01:33:06 openvpn[1589]: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Apr 20 01:33:06 openvpn[1589]: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Apr 20 01:33:06 openvpn[1589]: LZO compression initialized Apr 20 01:33:06 openvpn[1589]: TUN/TAP device tun0 opened Apr 20 01:33:06 openvpn[1589]: TUN/TAP TX queue length set to 100 Apr 20 01:33:06 openvpn[1589]: Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ] Apr 20 01:33:06 openvpn[1589]: Socket Buffers: R=[114688->131072] S=[114688->131072] Apr 20 01:33:06 openvpn[1589]: UDPv4 link local (bound): [undef]:2000 Apr 20 01:33:08 openvpn[1589]: Peer Connection Initiated with xx.224.92.190:2000 Apr 20 01:33:09 openvpn[1589]: Initialization Sequence Completed Zitieren Link zu diesem Kommentar
holle2 10 Geschrieben 21. April 2011 Autor Melden Teilen Geschrieben 21. April 2011 Syslog router 2 (192.168.1.1): Apr 20 21:34:51 syslog: WAN is up. IP: xx.224.92.190 Apr 20 21:35:04 openvpn[1610]: Inactivity timeout (--ping-restart), restarting Apr 20 21:35:04 openvpn[1610]: TCP/UDP: Closing socket Apr 20 21:35:04 openvpn[1610]: Closing TUN/TAP interface Apr 20 21:35:04 openvpn[1610]: SIGUSR1[soft,ping-restart] received, process restarting Apr 20 21:35:04 openvpn[1610]: Restart pause, 2 second(s) Apr 20 21:35:06 openvpn[1610]: WARNING: file '/tmp/static.key' is group or others accessible Apr 20 21:35:06 openvpn[1610]: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Apr 20 21:35:06 openvpn[1610]: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Apr 20 21:35:06 openvpn[1610]: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Apr 20 21:35:06 openvpn[1610]: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Apr 20 21:35:06 openvpn[1610]: LZO compression initialized Apr 20 21:35:06 openvpn[1610]: TUN/TAP device tun0 opened Apr 20 21:35:06 openvpn[1610]: TUN/TAP TX queue length set to 100 Apr 20 21:35:06 openvpn[1610]: Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ] Apr 20 21:35:06 openvpn[1610]: Socket Buffers: R=[114688->131072] S=[114688->131072] Apr 20 21:35:06 openvpn[1610]: UDPv4 link local (bound): [undef]:2000 Apr 20 21:35:06 openvpn[1610]: UDPv4 link remote: xx.54.135.142:2000 Apr 20 21:35:20 openvpn[1610]: Peer Connection Initiated with xx.54.135.142:2000 Apr 20 21:35:20 openvpn[1610]: Initialization Sequence Completed Jemand eine Idee was hier falsch läuft!? Gruss holle2 Zitieren Link zu diesem Kommentar
r2k 10 Geschrieben 24. April 2011 Melden Teilen Geschrieben 24. April 2011 Hi also gemäss den Logs steht die Verbindung. Was gibt ein traceroute aus? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 24. April 2011 Melden Teilen Geschrieben 24. April 2011 Befinden sich beide Router im gleichen Subnet ? Wenn nicht: Anleitung nochmal lesen. -Zahni Zitieren Link zu diesem Kommentar
holle2 10 Geschrieben 3. Mai 2011 Autor Melden Teilen Geschrieben 3. Mai 2011 Hallo nochmals, war die Tage im urlaub und nun wollte ich mich wieder dem alten problem widmen... Ein traceroute gibt mir folgendes aus: tracert 192.168.1.1 Routenverfolgung zu 192.168.1.1 über maximal 30 Abschnitte 1 3ms 1ms 3ms DD-WRT [192.168.10.1] 2 32ms 31ms 33ms lo1.br13.weham.de.hansenet.net [213.191.76.39] 3 ae1-102.cr01.asham.de.hansenet.net [62.109.121.126] meldet: Zielnetz nicht erreichbar Ablaufverfolgung beendet. Subnet Server Router: 192.168.10.1 Subnet Client Router: 192.168.1.1 mfg und thx 4 help! Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 3. Mai 2011 Melden Teilen Geschrieben 3. Mai 2011 Die Netze befinden sich also nicht im gleichen Subnet. Sollten sie aber. Die verlinkte Anleitung baut eine Bridge durch den VPN Tunnel. Fürs Routing mal hier lesen: OpenVPN - Site-to-Site routed VPN between two routers - DD-WRT Wiki Zitieren Link zu diesem Kommentar
holle2 10 Geschrieben 3. Mai 2011 Autor Melden Teilen Geschrieben 3. Mai 2011 Oh sry, mein fehler! Ich habe oben aufs falsche howto verlinkt. Da ich keine bridged lösung wollte bin ich natürlich nach folgendem howto vorgegangen: OpenVPN - Site-to-Site routed VPN between two routers - DD-WRT Wiki Zitieren Link zu diesem Kommentar
holle2 10 Geschrieben 4. Mai 2011 Autor Melden Teilen Geschrieben 4. Mai 2011 Bin nochmal das howto durchgegangen und habs mit folgenden configs zum laufen bekommen! OTHERSUBNET musste natürlich mit der jeweils anderen subnet ip ersetzt werden. Die 10.0.0.1 (server TUN interface) und 10.0.0.2 (Client TUN interface) sind meinem Verständnis nach die server und client seitigen lokalen Endpunkte des TUN Interfaces!? Router 1 startup settings (server): # Move to writable directory and create scriptscd /tmp ln -s /usr/sbin/openvpn /tmp/myvpn # Config for Site-to-Site SiteA-SiteB echo " proto udp port 2000 dev tun0 secret /tmp/static.key verb 3 comp-lzo keepalive 15 60 daemon " > SiteA-SiteB.conf # Config for Static Key echo " -----BEGIN OpenVPN Static key V1----- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx -----END OpenVPN Static key V1----- " > static.key # Create interfaces /tmp/myvpn --mktun --dev tun0 ifconfig tun0 10.0.0.1 netmask 255.255.255.0 promisc up # Create routes route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.2 # Initiate the tunnel sleep 5 /tmp/myvpn --config SiteA-SiteB.conf Router 2 startup settings (client): # Move to writable directory and create scriptscd /tmp ln -s /usr/sbin/openvpn /tmp/myvpn # Config for Site-to-Site SiteA-SiteB echo " remote chaoswghh.dyndns.org proto udp port 2000 dev tun0 secret /tmp/static.key verb 3 comp-lzo keepalive 15 60 daemon " > SiteA-SiteB.conf # Config for Static Key echo " -----BEGIN OpenVPN Static key V1----- 2313c57e47a3fae9eea3f2cb8ec41405 ec52b1247f05c21177d142dcf92c4366 0f05884a050e1e16f34ea1bfe380b3c8 1efb8c483e2756f3d237917341d611e1 a083ee54206886c385a4bad8ec651e6c b73a7b04abc83fe12275c8072cf6a651 1cb39512d1274538c88a0059a0b38e14 6060d5cf0ccd7af451addebd99983651 b0319c16c1896b8682fc5ab678d35002 4cea95174b869aa00867947bb2832ee7 3ea0fef9e034dfbdbf21f95af169271d 1632f9865de1843444f08ee9a00fa771 0df983b8c08f0411ec0d10cadca2fc48 e6b0c4bab3a51007d9f648eb090924b8 1d86f1ac32bca8f7d6b5eaf8ed050a45 5d0e04e964dafadcade44c34d70a33d0 -----END OpenVPN Static key V1----- " > static.key # Create interfaces /tmp/myvpn --mktun --dev tun0 ifconfig tun0 10.0.0.2 netmask 255.255.255.0 promisc up # Create routes route add -net 192.168.10.0 netmask 255.255.255.0 gw 10.0.0.1 # Initiate the tunnel sleep 5 /tmp/myvpn --config SiteA-SiteB.conf Dann muss ich das ganze jetzt nur noch auf die Verwendung mit Zertifikaten portieren ^^ Gruss holle2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.