Oscamwrt Router mit OpenVPN

[Stivmeister]

Hi,

Habe mal ein paar Fragen zu Openvpn auf genannten Router.

Netzwerk sieht bei mir wie folgt aus.

Erster Router mit Gargoyle-Image zweiter Router Oscamwrt mit Oscam und OpenVPN
Zweiter Router ist über LAN1 zu LAN1 des ersten Router angeschlossen.
Erster Router IP 192.168.0.1, Zweiter Router IP 192.168.0.10.

Der Erste Router ist nur für die Einwahl ins Internet zuständig, alle Geräte sind an Router Zwei angeschlossen.

Es besteht somit die Möglichkeit an den angeschlossenen Geräten als IPV4 Gateaway sowohl Router Eins
(z.B. PC geht ohne VPN-Tunnel ins Internet) oderZwei (z.B. PC geht über VPN-Tunnel ins Internet) zu wählen.


Nun möchte ich folgendes wissen:

Wie muss Router 2 konfiguriert sein (z.B.Firewall, Network,OpenVPN) damit der interne Netzwerkverkehr
immer geht und nur Internet geht wenn der VPN-Tunnel aktiv ist?
Sind die Firewall Einstellungen richtig?

Firewall von Router 2

Spoiler

config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'lan'
option network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'wan'
option output 'ACCEPT'
option forward 'REJECT'
option network 'wan'
option input 'ACCEPT'

config zone
option name 'hide'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option network 'Hide'

config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'

config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config include
option path '/etc/firewall.user'

config forwarding
option dest 'hide'
option src 'lan'

 

[derdigge]

AW: Oscamwrt Router mit OpenVPN

Auf diese Weise garnicht .
Dein Router2 ist praktisch eine permabridge.
Da findet kein Routing statt, ergo ist es unmöglich das Routing "umzuleiten" über einen vpn tunnel.

 

[Stivmeister]

AW: Oscamwrt Router mit OpenVPN

Hi,
verstehe ich jetzt nicht.
wenn ich an Router 2 die VPN Schnittstelle stope ist keine I-Net Verbindung mehr möglich
für Geräte die diesen Router als Gateway nutzen.
Ist die VPN-Schnittstelle aktiv zeigt er mir auch an das ich nicht mit meiner eigenen IP
in I-Net unterwegs bin.
Ergo muss VPN doch funktionieren.

 

[derdigge]

Dann stimmt mit den von dir oben angegebenen ips was nicht.
Wenn beider router routing betreiben, und das selbe Subnetz befeuern solltest du soviel Paket kollisionen haben das der Verkehr komplett zusammenbricht.

 

[Stivmeister]

AW: Oscamwrt Router mit OpenVPN

Die IPs stimmen.
Router 1 = 192.168.0.1 ist am Kabelmodem angeschlossen
Router 2 = 192.168.0.10 ist von LAN zu LAN an Router 1 angeschlossen

Auf Router 2 ist OpenVPN installiert und alle Geräte daran angeschlossen.
Alle PC,TV,Receiver,NAS usw. haben feste IPs im Netzwerk.

 

[axel]

AW: Oscamwrt Router mit OpenVPN

Hi,

das kann nicht funktionieren!

Router 1 = 192.168.0.1 ist am Kabelmodem angeschlossen
Router 2 = 192.168.0.10 ist von LAN zu LAN an Router 1 angeschlossen

Routing findet zwischen verschiedenen Netzen statt, Deins ist EIN Netz,
nämlich 192.168.0.0 !! :ja

 

[derdigge]

Nur wenn du den Lan zu Lan so anschließt und clienten am router2 per dhcp den Gateway 192.168.0.10 zuweisen lässt hast du paketkolisionen ohne Ende. Du müsstest für dein Vorhaben entweder die Subnetze sauber trennen. Also wan(router2) zu Lan(router1) anschließen.

Dann kannst du entweder per policy routing was machen(luci-app-mwan3), du machst ein multiwan setup mit failover(luci-App-multiwan)
oder du machst ne cron Überwachung über dein openvpn tunnel.

Du könntest alternativ auch nur einen router benutzen. Warum sind es überhaupt 2?

 

[axel]

AW: Oscamwrt Router mit OpenVPN

Nur wenn du den Lan zu Lan so anschließt und clienten am router2 per dhcp den Gateway 192.168.0.10 zuweisen lässt hast du paketkolisionen ohne Ende. Du müsstest für dein Vorhaben entweder die Subnetze sauber trennen. Also wan(router2) zu Lan(router1) anschließen.

Dann kannst du entweder per policy routing was machen(luci-app-mwan3), du machst ein multiwan setup mit failover(luci-App-multiwan)
oder du machst ne cron Überwachung über dein openvpn tunnel.

Jetzt sind alle durcheinander, ich weiß aber was Du meinst! :whistle2:

PS: Ich schreibe Dir später noch ne PN @derdigge falls OK

 

[Stivmeister]

AW: Oscamwrt Router mit OpenVPN

Es scheint aber alles zu funktionieren.
Hatte vorher Router 1 auch in einem anderen Netz laufen (192.168.1.1)
und Router 2 war über WAN zu LAN angeschlossen.

Mit der jetzigen Konfiguration LAN zu LAN im gleichen Netz merke ich keinen Unterschied.

Im Grunde ist es doch auch nichts anderes als wenn ich nur auf einem
PC VPN installiere und mit diesem über einem Router ins I-Net gehe.
Auch heir befindet sich PC und Router im selben Netz.

Nichts für ungut ich bin in diesen Sachen echt Laie

 

[axel]

AW: Oscamwrt Router mit OpenVPN

Mit der jetzigen Konfiguration LAN zu LAN im gleichen Netz merke ich keinen Unterschied.

Jep, da hast Du einen "Switch" kaskadiert, mehr nicht!

Bei mir hängt ein IPcop vorm Netz.

So schaut das aus: ISP (via DHCP öffentliche IP) - Ipcop (192.168.1.1) - DDWRT Router bekommt via DHCP den Internetzugang - (192.168.2.1) DDWRT - LAN (192.168.2.XYZ oder ...0).

Das nennt man Routing (wenn auch mehr als ausreichend für Zuhause... :ja)

 

[derdigge]

AW: Oscamwrt Router mit OpenVPN

Das driftet hier ab.

Also wenn du eine saubere Lösung haben willst, gehe wie folgt vor.

Router 1 so lassen wie er ist.
Router 2, Schnittstelle LAN auf 192.168.1.1.
Verbinde router 2 an router 1, wan zu LAN.
Stelle die openvpn Verbindung her. Erkläre bitte auch hier nochmal, wie das das machst.
Am besten mit config usw.

Wenn die Verbindung steht, erstelle eine neue Schnittstelle unter Netwerk -> Schnittstelle.
Wähle den tun Adapter als physikalisches Gerät aus, es sollte zu sehen sein wenn openvpn läuft.
Auf dem Reiter firewall hier in der Schnittstelle erzeuge eine neue firewallzone vpn.

Speichern, anwenden usw.
Jezt gehst du in die firewall config. Netzwerk > firewall
Dort nun bei LAN auf bearbeiten. Weiterleitung ZU Zone wan deaktivieren und dafür Weiterleitung zu Zone vpn erlauben.
Speichern anwenden usw.
Als letztes bei der Zone vpn masquarading aktivieren und openvpn Neustarten. Fertig.

 

[Stivmeister]

AW: Oscamwrt Router mit OpenVPN

@derdigge

Hatte ich ja zuerst genauso Laufen wie du es beschreibst.
OpenVPN kann ich über das Webinterface des OscamWRT-Routers Starten und stoppen
OpenVPN ist nach dieser Anleitung

Sie müssen registriert sein, um Links zu sehen.

. Die Firewall nach Option 1 der Anleitung.

config openvpn

Spoiler

config openvpn 'Example_simple_routed_Server'
option dev 'tun'
option ifconfig '10.0.0.1 10.0.0.2'
option secret 'shared-secret.key'
option keepalive '10 60'
option comp_lzo '1'
option verb '3'
option mssfix '1420'

config openvpn 'Example_simple_routed_Client'
option dev 'tun'
option remote 'vpnserver.example.org'
option ifconfig '10.0.0.2 10.0.0.1'
option secret 'shared-secret.key'
option nobind '1'
option comp_lzo '1'
option verb '3'

config openvpn 'Example_routed_multiclient_server'
option dev 'tun'
option server '10.0.100.0 255.255.255.0'
option ca 'ca.crt'
option cert 'server.crt'
option key 'server.key'
option dh 'dh1024.pem'
option keepalive '10 60'
option comp_lzo '1'
option verb '3'
option mssfix '1420'

config openvpn 'Example_routed_client'
option client '1'
option dev 'tun'
option remote 'vpnserver.example.org'
option pkcs12 'my_client.p12'
option remote_cert_tls 'server'
option comp_lzo '1'
option nobind '1'
option persist_key '1'
option persist_tun '1'
option verb '3'
option reneg_sec '0'
option float '1'

config openvpn 'Example_multiclient_bridge_server'
option dev 'tap'
option server_bridge '192.168.1.1 255.255.255.0 192.168.1.128 192.168.1.254'
option ca 'ca.crt'
option cert 'server.crt'
option key 'server.key'
option dh 'dh1024.pem'
option keepalive '10 60'
option comp_lzo '1'
option verb '3'
option mssfix '1420'

config openvpn 'Example_ethernet_bridge_client'
option client '1'
option dev 'tap'
option remote 'vpnserver.example.org'
option ca 'ca.crt'
option cert 'my_client.crt'
option key 'my_client.key'
option dh 'dh1024.pem'
option remote_cert_tls 'server'
option comp_lzo '1'
option nobind '1'
option persist_key '1'
option verb '3'
option reneg_sec '0'
option float '1'

config openvpn 'Hide'
option dev 'tun314'
option proto 'udp'
option dev_type 'tun'
option nobind '1'
option client '1'
option reneg_sec '0'
option persist_tun '1'
option persist_key '1'
option port '3478'
option verb '3'
option ca '/etc/openvpn/TrustedRoot.pem'
list auth_user_pass '/etc/openvpn/login.auth'
option cipher 'AES-128-CBC'
option enabled '1'
option remote 'haarlem.hide.me'
option ping '30'
option ping_restart '60'

config network

Spoiler

config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config globals 'globals'
option ula_prefix 'fccc:cdb7:gh56::/48'

config interface 'lan'
option ifname 'eth0.1'
option force_link '1'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option dns '208.67.222.222 208.67.220.220'
option ipaddr '192.168.0.10'
option gateway '192.168.0.1'

config interface 'wan'
option ifname 'eth1'
option proto 'dhcp'

config interface 'wan6'
option ifname '@wan'
option proto 'dhcpv6'

config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0 1 2 3 5t'

config interface 'Hide'
option proto 'none'
option ifname 'tun314'
option auto '1'

config firewall

Spoiler

config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'lan'
option network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'wan'
option output 'ACCEPT'
option forward 'REJECT'
option network 'wan'
option input 'ACCEPT'

config zone
option name 'hide'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
option network 'Hide'

config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'

config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fe80::/10'
option src_port '547'
option dest_ip 'fe80::/10'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config include
option path '/etc/firewall.user'

config forwarding
option dest 'hide'
option src 'lan'

 

[4gx35]

AW: Oscamwrt Router mit OpenVPN

sind unter barrier breaker jetzt nicht 2048.pem parameter gültig, die anleitung ist für attid.adjustm.

vergleiche mal meine anleitung aus meiner signatur, hast du überhaupt einen tun0 tunneladapter ?
vpn verwende ich aber nur für zugriff auf router von außerhalb, zb per smartphone

 

[derdigge]

AW: Oscamwrt Router mit OpenVPN

@4gx35
Stimmt aber tut bei dem Provider wohl kaum was zur Sache.

@stivmeister
Die Anleitung dort hat sicher viel Arbeit gekostet jedoch würde ich danach nicht Vorgehen.
Gerade das rumgefummelt da in netzwerk ist uncool.
Mach es wie ich oben geschrieben habe. Nur das du die normale linux conf datei verwendest.
Da gibt es doch sicher config files von deinem Provider?
Lege alles in /etc/openvpn ab. Du kannst dann in einer jungfräulichen /etc/config/openvpn auf die
Normale openvpn config in /etc/openvpn verweisen (include custom config oder so).
Das hat den Vorteil, das du leicht die config ändern kannst und auch alle Hilfestellungen
zu openvpn Parametern nicht mehr openwrt spezifisch sein müssen.

 

[Stivmeister]

AW: Oscamwrt Router mit OpenVPN

@4gx35
tun0 heist tun314

es geht ja alles.
Kann auch auf der Homepage des VPN-Providers sehen welche Geräte verbunden sind.
Maximal sind 5 Geräte möglich
Im Moment sind das der Router und noch ein Gerät.

[TABLE="class: connections"]
[TR]
[TD]Das ist der Router[/TD]
[TD]OpenVPN 128bit UDP[/TD]
[TD]

Du musst angemeldet sein, um Bilder zu sehen.

Haarlem - 2, Netherlands[/TD]
[TD]29. Dezember 2014 17:52 UTC[/TD]
[TD][/TD]
[/TR]
[TR]
[TD]Noch ein Gerät von mir [/TD]
[TD]OpenVPN 128bit UDP[/TD]
[TD]

Du musst angemeldet sein, um Bilder zu sehen.

Montreal - 5, Canada[/TD]
[TD]29. Dezember 2014 18:49 UTC[/TD]
[/TR]
[/TABLE]

@derdigge
Werde den Router wenn ich Zeit habe nochmal neu aufsetzen und es nach deiner Anleitung machen.