[GELÖST] DIR300 für PPTP VPN hinter einem Gateway-Router

Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Ralink SoC basierte Hardware
Author Message
gizmoo00911
DD-WRT Novice


Joined: 08 May 2012
Posts: 6

PostPosted: Tue May 08, 2012 11:29    Post subject: [GELÖST] DIR300 für PPTP VPN hinter einem Gateway-Router Reply with quote
Hallo zusammen,

ich habe leider ein kleines Problem, welches ich auch nach Tagen intensivster Google- und Foren-Recherche nicht lösen konnte.

Gleich mal vorneweg, dies ist mein erster Thread hier im Forum, ich habe ja auch erst wenige Tage ein dd-wrt-fähiges Gerät.
Falls ich hier im falschen Bereich des Forums posten sollte : Sorry, und gleich die Bitte an einen Mod : bitte passend verschieben.

So, nun zu meinem "kleinen" Problem :


Beschreibung bisheriger Ist-Zustand :
> Gatewayrouter mit DSL Dialup
> ein WinXP VPN Server im LAN
> ein Portforwarding für TCP 1723 auf den Server
Diese Konfiguration funktioniert(e) bisher immer ohne Problem.

Allerdings soll nun der VPN Server durch eine Hareware-Lösung ersetzt werden.

Das ganze steht "daheim", ich bin also keine Firma, benötige nur ein "kleines" VPN für "n Butterbrot" und keine "teure Firmenlösung" ,
denke ich im Moment zumindest, vielleicht noch ..... Very Happy

Beschreibung Planung :
> Gatewayrouter mit DSL Dialup (bleibt bestehen)
> ein WinXP Server im LAN (bleibt bestehen, bekommt aber weitere/andere Aufgaben)
> ein DIR-300 von D-Link, genauer Revision B1
> ein Portforwarding für TCP 1723 auf den dd-wrt DIR-300

So, nun zu meinem kleinen Problem :
> der PPTP Service des DIR300 scheint nur auf dem WAN Port zu "lauschen"
> der bisherige Server stand "im LAN" , ganz ohne "DMZ"
> ein Loop zw. LAN und WAN am DIR-300 bringt mir nur das LAN durcheinander
> ein Brigeing zwischen br0 (interne Bridge) und vlan2 (WAN) funktioniert auch nicht

Meine Frage(n) :
> wie bekomme ich den PPTP Service dazu auch auf dem LAN Port zu "lauschen" ?
> alternativ : wie bekomme ich die PPTP Pakete vom LAN auf den WAN Port geroutet ?

Ich habe ein paar Screenshots angehängt, allerdings verschliesst sich mir die Funktion "Bild einfügen" in diesem Forum. Evtl. folgt also noch ein Post im Thread mit Bildern.


Gruß an alle die mich hier lesen.

GizMoo



edit : Typos entfernt
edit2 : Bild verkleinert
edit3 : SOLVED


Last edited by gizmoo00911 on Thu Jun 07, 2012 12:41; edited 4 times in total
Sponsor
gizmoo00911
DD-WRT Novice


Joined: 08 May 2012
Posts: 6

PostPosted: Tue May 08, 2012 11:32    Post subject: Reply with quote
So .... hier noch die fehlende 2 Screenshots, mehr als 3 Attachments sind nicht möglich gewesen.
Sash
DD-WRT Guru


Joined: 20 Sep 2006
Posts: 17638
Location: Hesse/Germany

PostPosted: Wed May 09, 2012 19:29    Post subject: Reply with quote
gimme:
Code:

iptables -L


und

Code:
ps


und mach zuerst n upgrade


kannst mich bei erfolg ja mal uff n bembel beim wagner einladen Wink

_________________
Forum Guidelines...How to get help
&
Forum Rules
&
RTFM/STFW
&
Throw some buzzwords into the WIKI search Exclamation
_________________
I'm NOT rude, just offer pure facts!
_________________
Atheros (TP-Link & Clones, etc ) debrick service in EU
_________________
Guide on HowTo be Safe, Secure and Protect Your Online Anonymity!
gizmoo00911
DD-WRT Novice


Joined: 08 May 2012
Posts: 6

PostPosted: Wed May 09, 2012 20:12    Post subject: Reply with quote
Hallo Sash,


Du antwortest auf allen Kanälen *wow* 1000 Dank

Vorneweg, ich bin am verzweifeln *g* und wenn s en Meter Bembel sein sollen Smile


Ich hab versucht dem zu folgen was Du geschrieben hast.
Das "iptables -L" ist per Telnet und Putty extrem langsam wenn PPTP läuft.
Wenn ich PPTP abschalte bekomme ich ne "Riesenantwort".

Code:
root@DD-WRT:/# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1723
ACCEPT     gre  --  anywhere             anywhere
DROP       udp  --  anywhere             anywhere            udp dpt:route
DROP       udp  --  anywhere             anywhere            udp dpt:route
ACCEPT     udp  --  anywhere             anywhere            udp dpt:route
logaccept  tcp  --  anywhere             10.0.0.251          tcp dpt:www
DROP       icmp --  anywhere             anywhere
DROP       igmp --  anywhere             anywhere
ACCEPT     0    --  anywhere             anywhere            state NEW
logaccept  0    --  anywhere             anywhere            state NEW
DROP       0    --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     gre  --  10.0.0.0/24          anywhere
ACCEPT     tcp  --  10.0.0.0/24          anywhere            tcp dpt:1723
ACCEPT     0    --  anywhere             anywhere
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
lan2wan    0    --  anywhere             anywhere
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED
TRIGGER    0    --  anywhere             anywhere            TRIGGER type:in match:0 relate:0
trigger_out  0    --  anywhere             anywhere
ACCEPT     0    --  anywhere             anywhere            state NEW
DROP       0    --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain advgrp_1 (0 references)
target     prot opt source               destination

Chain advgrp_10 (0 references)
target     prot opt source               destination

Chain advgrp_2 (0 references)
target     prot opt source               destination

Chain advgrp_3 (0 references)
target     prot opt source               destination

Chain advgrp_4 (0 references)
target     prot opt source               destination

Chain advgrp_5 (0 references)
target     prot opt source               destination

Chain advgrp_6 (0 references)
target     prot opt source               destination

Chain advgrp_7 (0 references)
target     prot opt source               destination

Chain advgrp_8 (0 references)
target     prot opt source               destination

Chain advgrp_9 (0 references)
target     prot opt source               destination

Chain grp_1 (0 references)
target     prot opt source               destination

Chain grp_10 (0 references)
target     prot opt source               destination

Chain grp_2 (0 references)
target     prot opt source               destination

Chain grp_3 (0 references)
target     prot opt source               destination

Chain grp_4 (0 references)
target     prot opt source               destination

Chain grp_5 (0 references)
target     prot opt source               destination

Chain grp_6 (0 references)
target     prot opt source               destination

Chain grp_7 (0 references)
target     prot opt source               destination

Chain grp_8 (0 references)
target     prot opt source               destination

Chain grp_9 (0 references)
target     prot opt source               destination

Chain lan2wan (1 references)
target     prot opt source               destination

Chain logaccept (2 references)
target     prot opt source               destination
ACCEPT     0    --  anywhere             anywhere

Chain logdrop (0 references)
target     prot opt source               destination
DROP       0    --  anywhere             anywhere

Chain logreject (0 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere            tcp reject-with tcp-reset

Chain trigger_out (1 references)
target     prot opt source               destination



Hier noch die andere Antwort :


Code:
root@DD-WRT:/# ps
  PID USER       VSZ STAT COMMAND
    1 root      1628 S    /sbin/init noinitrd
    2 root         0 SW<  [kthreadd]
    3 root         0 SW<  [ksoftirqd/0]
    4 root         0 SW<  [events/0]
    5 root         0 SW<  [khelper]
   34 root         0 SW<  [kblockd/0]
   53 root         0 SW   [pdflush]
   54 root         0 SW   [pdflush]
   55 root         0 SW<  [kswapd0]
   56 root         0 SW<  [aio/0]
  579 root         0 SW<  [mtdblockd]
  694 root      2148 S    resetbutton
 1095 root      1884 S    process_monitor
 1601 root       976 S    cron
 1700 root       972 S    udhcpc -i vlan2 -p /var/run/udhcpc.pid -s /tmp/udhcpc
 1712 root      4088 S    httpd -p 80
 3682 root       964 S    pptpd -c /tmp/pptpd/pptpd.conf -o /tmp/pptpd/options.
 3688 root      1816 S    ttraff
 3699 root      1084 S    dnsmasq --conf-file=/tmp/dnsmasq.conf
 3731 root      1340 S    telnetd
 4046 root      1356 S    -sh
 4280 root      1340 R    ps



Upgrade geht laut Routertabelle nicht, glaube ich.
Zumindest sagt mir die das ich "up to date" bin .... wie gesagt, glaube ich.


Greetz GizMoo



Nachtrag :
> Router wurde vor den Befehlen oben komplett auf Werkszustand zurückgesetzt.
> WLAN abgeschaltet
> LAN mit fester IP, DNS und Gateway zeigen wieder auf den Gateway-Router


edit : Nachtrag
Sash
DD-WRT Guru


Joined: 20 Sep 2006
Posts: 17638
Location: Hesse/Germany

PostPosted: Thu May 10, 2012 9:32    Post subject: Reply with quote
Code:
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1723


heist dass er auch wan connections annimmt.

fuer upgrades hier lesen (danach gehts bestimmt auch):

_________________
Forum Guidelines...How to get help
&
Forum Rules
&
RTFM/STFW
&
Throw some buzzwords into the WIKI search Exclamation
_________________
I'm NOT rude, just offer pure facts!
_________________
Atheros (TP-Link & Clones, etc ) debrick service in EU
_________________
Guide on HowTo be Safe, Secure and Protect Your Online Anonymity!
gizmoo00911
DD-WRT Novice


Joined: 08 May 2012
Posts: 6

PostPosted: Thu May 10, 2012 12:43    Post subject: Reply with quote
Hallo Sash,

die von Dir benannte Zeile :

Code:
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1723


ist mir auch aufgefallen. Ich habe mir ein wenig Infos zu "iptables" zusammengegoogled,
ich denke aber diese Zeile erlaubt dem DIR-300 alle Pakete auf allen Interfaces anzunehmen wenn
diese mit TCP auf Port 1723 ankommen.

bin deinem Signatur-Link gefolgt zu :
http://www.dd-wrt.com/phpBB2/viewtopic.php?p=317078
hier gings dann weiter nach :
http://www.dd-wrt.com/site/support/other-downloads?path=others%2Feko%2FBrainSlayer-V24-preSP2%2F
und nochmal weiter zu :
http://www.dd-wrt.com/site/support/other-downloads?path=others%2Feko%2FBrainSlayer-V24-preSP2%2F2012%2F03-19-12-r18777%2Fdlink-dir300-revb%2F

Die hier gefundene Version hab ich geflashed, ging ohne Problem, sogar die Konfig wurde behalten,
habe trotzdem alles überprüft, sieht i.O. aus.

Nun habe ich unter "Router" -> "Status" folgende Angabe :
Code:
Firmware Version      DD-WRT v24-sp2 (03/19/12) std - build 18777


Das sollte Deiner Empfehlung "Updaten !" nachkommen, was neueres hab ich nicht gefunden,
falls die Version immer noch nicht die sein sollte die ich installieren soll sag mir bite wo ich noch was anderes finde.

Leider funktioniert trotzdem weiterhin kein Zugang aus dem LAN zum PPTP Service auf dem DIR-300.

Ich denke das Problem liegt im Moment weder an Firmware noch am Routing.

Mein Gedanke geht ehr in die Richtung das der PPTP Service einfach nur auf dem WAN-Port (vlan2 ?) "horcht"
und daher die aus dem LAN (eth2 ?) ankommenden PPTP Pakete einfach nicht sieht.

Ich denke ich werde mir später nach Feierabend mal die .conf-Files im Ordner des PPTP-Services ansehen,
vielleicht finde ich hier irgendwo die Möglichkeit das "Lausch-Interface" vom WAN-Port auf den LAN-Port "umzubiegen"
oder das LAN eben hinzuzufügen.

Ich hoffe nur das imr das dann nicht "logische Probleme" verursacht, wenn z.B. dd-wrt dann automatisch
nach einer VPN Einwahl versucht Routen zwischen LAN- und WAN_Ports zu setzen.

Wie der "Rückweg" der PPTP Pakete aussieht ist mir auch noch nicht so klar. Vielleicht sollte ich einfach
mal nen Hub vor den DIR-300 hängen und mit Wireshark schauen was da so über die Leitung geht ?

Verzweifelter Gruß Smile
GizMoo
gizmoo00911
DD-WRT Novice


Joined: 08 May 2012
Posts: 6

PostPosted: Thu May 10, 2012 18:18    Post subject: Reply with quote
So ....
und wieder geht es weiter, ich hab mir ein wenig angelesen.

In folgendem Ordner liegen nun scheinbar die für den PPTP Dienst benötigten Dateien,
sowie eben auch zwei Konfig-Files :

Code:
root@DD-WRT:/tmp/pptpd# ls
chap-secrets   ip-down        ip-up          options.pptpd  pptpd.conf



Interessant in meinem Fall sind diese beiden :

Code:
options.pptpd
pptpd.conf


in options.pptpd fiel mir auf das die folgende Zeile mit einem * definiert war :

Code:
name *


das hab ich mal auf

Code:
name PPTP


geändert.

Desweiteren lässt sich laut Rindernet in der pptpd.conf das zu nutzende Interface einstellen.
Ich hatte also kurzerhand eine neue Zeile am Ende "angepappt" :

Code:
listen eth2


Das sollte den PPTP Dienst "zwingen" auf eth2 (ich hoffe das sind die LAN Ports ?) zu "lauschen".

Jedenfalls laut Web war es ein Hinweis :
http://www.astaro.org/astaro-gateway-products/vpn-site-site-remote-access/7439-limit-pptp-interface.html#post26214
Aber dieser Thread bezog sich a) auf Astaro und b) auf das Sperren des PPTP vom WAN aus.

Naja, was soll ich sagen : Weiterhin keine Funktion.

Was mich nur sehr wundert ist das die Änderungen scheinbar nicht weggeschrieben werden,
nach einem Reboot des DIR-300 sind die Änderungen weg.

Ich habe das eben extra nochmal verifiziert :

a) o.g. Änderungen an beiden Files vorgenommen
b) mit vi gearbeitet, on-board quasi
c) Änderungen mit :wq gespeichert
d) beide Files nochmals mit vi geöffnet, Änderungen vorhanden !
e) Reboot des DIR-300
f) beide Files sind wieder im alten Zustand, die Änderungen sind WEG !


Soweit bin ich also im Moment ..... mal sehen wie es weiter geht.

Greetz GizMoo
gizmoo00911
DD-WRT Novice


Joined: 08 May 2012
Posts: 6

PostPosted: Thu Jun 07, 2012 12:35    Post subject: [GELÖST] Reply with quote
Hallo zusammen,

ich habe zwar ein wenig gebraucht, aber das "Problem" ist "gelöst".
Das das komisch Forum hier scheinbar recht oft meine angehängten Scrrenshots nicht anzeigt,
werde ich den Abschluss hier einfach mal komplett in "Schrift" liefern.


Mein erklärtes Ziel war es einen extra für diesen Zweck käuflich erstandenen
"DIR300" in "Rev.B1" von "DLink"
als PPTP Server
HINTER einem
schon bestehenden Gateway-Router
zu nutzen.



Nach recht langer Recherche haben sich zwei Fakten herauskristalisiert :

a)
das Android meines Handys hatte ein Problem mit PPTP
( besteht ab Version 2.3.7 und scheinbar bis 4.0.3 ) ,
( mit dem letzten 4.0.4 klappt PPTP wieder mit meinem Handy )

b)
das dd-wrt-Image für den DIR-300 hat scheinbar auch nen kleinen "hau-weg" in der letzten Version,
welche mir vorgeschlagen wurde,
nach einem "Fallback" auf das letzte "stable" rennt es nun



Aktueller funktionierender Zustand ist :



- Gateway-Router , folgende Konfig :

- IP : 10.0.0.252
- Subnet : 255.255.255.0

- PortForwarding : TCP 1723 > 10.0.0.251



- "DIR-300" folgende Konfig :

- Firmware : DD-WRT v24-sp2 (08/07/10) std (SVN revision 14896)

- WAN Verbindungstyp : ABGESCHALTET

- Router-IP : 10.0.0.251
- Subnet : 255.255.255.0
- Gateway : 10.0.0.252
- DNS : 10.0.0.252
- einen LAN Port direkt per Kabel an den Gateway-Router

- WAN-Port Switch zuweisen : checked

- DHCP : Forwarder : 10.0.0.252 (zum Gateway)

- Uhrzeit per NTP von : 0.de.pool.ntp.org

- WLAN : abgeschaltet

- PPTP-Server : eingeschaltet
- Broadcast : eingeschaltet
- Erzwinge MPPE : eingeschaltet
- DNS : 10.0.0.252
- Server-IP : 10.0.0.249 (kann/darf angeblich auch gleich der LAN IP sein, HABE ich aber nicht so)
- Client-IP : 10.0.0.180-189 (ausserhalb des DHCP Bereichs des Gateway)
- Accounts logischerweise eingerichtet

Unter "Administration" -> "Diagnose" wurde folgendes Startup-Script gespeichert :

Code:
sleep 30
sed -i -e '/ms-dns/d' /tmp/pptpd/options.pptpd
sed -i -e 's/mppe .*/mppe required,no40,no56,stateless/' /tmp/pptpd/options.pptpd
echo "nopcomp" >> /tmp/pptpd/options.pptpd
echo "noaccomp" >> /tmp/pptpd/options.pptpd
echo "nobsdcomp" >> /tmp/pptpd/options.pptpd
kill `ps | grep pptp | cut -d ' ' -f 1`
pptpd -c /tmp/pptpd/pptpd.conf -o /tmp/pptpd/options.pptpd


Damit funktioniert nun wieder mein Zugang per VPN, aufgrund des genutzten PPTP sollten Kennwörter recht lang sein,
aber hier ging es nur um die Machbarkeit und das "wie" komme ich zur "Funktion".

Besten Dank an das Forum und alle die mich mit Informationen sowie Ideen versorgt haben.
Greetz
GizMoo

@Mod :
Please :
- Change Thread-Title to "SOLVED"
- Close / Lock Thread
Sash
DD-WRT Guru


Joined: 20 Sep 2006
Posts: 17638
Location: Hesse/Germany

PostPosted: Thu Jun 07, 2012 13:53    Post subject: Reply with quote
ja der pptp geht seit dem 18777 nicht mehr. weiss noch nicht warum.
_________________
Forum Guidelines...How to get help
&
Forum Rules
&
RTFM/STFW
&
Throw some buzzwords into the WIKI search Exclamation
_________________
I'm NOT rude, just offer pure facts!
_________________
Atheros (TP-Link & Clones, etc ) debrick service in EU
_________________
Guide on HowTo be Safe, Secure and Protect Your Online Anonymity!
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Ralink SoC basierte Hardware All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum