OpenVPN-Site-to-Site-Bridged geht nicht nach Anleitung .

Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Allgemeine Fragen
Author Message
expression
DD-WRT Novice


Joined: 31 Aug 2010
Posts: 16

PostPosted: Sat Nov 20, 2010 0:48    Post subject: OpenVPN-Site-to-Site-Bridged geht nicht nach Anleitung . Reply with quote
Hi ich habe heute nach folgender Anleitung versucht einen site2site von aufzubauen.
Zentrale: 172.16.23.0/24
Aussenstelle1: 192.168.1.0/24
Aussenstelle2: 192.168.178.0/24
.
.
.

http://www.dd-wrt.com/wiki/index.php/OpenVPN-Site-to-Site-Bridged

Hintrgrund ist ich möchte 2-4 verschiedene Ausenstellen zusammen schließen zu einem vpn.

Leider klappt es das ganze nicht. Ich kann nichts Pingen. Wenn ich das Startupskript ausführe auf server router und client Router, muss ich dann auch noch den OpenVPN Deamon aktivieren, oder ist das dann unabhängig ?


Server Config:
#OpenVPN CFG (Server) 09.01.2008

cd /tmp
mkdir /tmp/myvpn
ln -s /usr/sbin/openvpn /tmp/myvpn/myvpn
/tmp/myvpn/myvpn --mktun --dev tap0
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up

echo "
# Tunnel options
mode server # Set OpenVPN major mode
proto udp # Setup the protocol (server)
port 1194 # TCP/UDP port number
dev tap0 # TUN/TAP virtual network device
keepalive 15 60 # Simplify the expression of --ping
daemon # Become a daemon after all initialization
verb 3 # Set output verbosity to n
comp-lzo # Use fast LZO compression

# OpenVPN server mode options
client-to-client # tells OpenVPN to internally route client-to-client traffic
# duplicate-cn # Allow multiple clients with the same common name
ifconfig-pool 192.168.254.201 192.168.254.210 255.255.255.0 # Define IP-Pool for OpenVPN clients

# TLS Mode Options
tls-server # Enable TLS and assume server role during TLS handshake
ca /tmp/myvpn/ca.crt
dh /tmp/myvpn/dh1024.pem
cert /tmp/myvpn/server.crt
key /tmp/myvpn/server.key
" > /tmp/myvpn/ipsec.config

echo "
-----BEGIN CERTIFICATE-----
hlkjdfhalksdjfhsaljkfahfalk.....
-----END CERTIFICATE-----

" > /tmp/myvpn/ca.crt
echo "
-----BEGIN RSA PRIVATE KEY-----
sjklhadfjklhafljkhf...
-----END RSA PRIVATE KEY-----

" > /tmp/myvpn/server.key
chmod 600 /tmp/myvpn/server.key
echo "
-----BEGIN CERTIFICATE-----
skjhafkljahfljkh
-----END CERTIFICATE-----

" > /tmp/myvpn/server.crt
echo "
-----BEGIN DH PARAMETERS-----
sdfjkhdsfjkhg
-----END DH PARAMETERS-----
" > /tmp/myvpn/dh1024.pem

route add -net 192.168.254.0/24 dev br0

sleep 5
/tmp/myvpn/myvpn --config /tmp/myvpn/ipsec.config

=========================

Client Config:

#OpenVPN CFG (Client) 09.01.2008
cd /tmp
mkdir /tmp/myvpn
ln -s /usr/sbin/openvpn /tmp/myvpn/myvpn

/tmp/myvpn/myvpn --mktun --dev tap0 # initialize tunnel
brctl addif br0 tap0 # create a new network-adapter
ifconfig tap0 0.0.0.0 promisc up
sleep 5

echo "
client # Set OpenVPN mode to client
daemon
dev tap0 # TUN/TAP virtual network device
proto udp # Set the protocol (udp/tcp)
remote 1234567890.dyndns.org 1194 # Set the IP-adress/DNS-entry of the server
resolv-retry infinite
nobind
persist-key
persist-tun
ca /tmp/myvpn/ca.crt
cert /tmp/myvpn/client1.crt
key /tmp/myvpn/client1.key
ns-cert-type server
comp-lzo
verb 3
" > /tmp/myvpn/ipsec.config

echo "
-----BEGIN CERTIFICATE-----
laksejhsdafjksfdajk
-----END CERTIFICATE-----

" > /tmp/myvpn/ca.crt
echo "
-----BEGIN RSA PRIVATE KEY-----
jhgsahsgahf
-----END RSA PRIVATE KEY-----

" > /tmp/myvpn/client1.key
chmod 600 /tmp/myvpn/client1.key
echo "
-----BEGIN CERTIFICATE-----
afhgasdhgfahsgdf
-----END CERTIFICATE-----

" > /tmp/myvpn/client1.crt

route add -net 192.168.254.0/24 dev br0

sleep 5
/tmp/myvpn/myvpn --config /tmp/myvpn/ipsec.config



Danke und Gruß.
Sponsor
expression
DD-WRT Novice


Joined: 31 Aug 2010
Posts: 16

PostPosted: Sat Nov 20, 2010 13:20    Post subject: Reply with quote
Okay ich habs hinbekommen. Habe vergessen jedem stadort eine ip aus dem selben range zu geben.

Nur noch mal für´s Verständnis. Wenn ich 3x standorte habe, alle im selben IP-Bereich. jeder hat einen DHCP Range. Dann kann es ja vorkommen, dass z.b.
Die Ausenstelle 1 zufällig eine IP aus dem DHPC bereich der Ausenstelle 3 usw. bekommt. Je nach dem
welcher DHPC Server schneller auf den DHPC requeset
reagiert. Das ist doch unschön oder ?

Oder ist ein Bridge VPN doch das falsche für mein Vorhaben.

Was ich will, ist, das alle Ausenstellen auf einen
Datenbankserver in der Zentrale per VPN zugreifen können.

Danke und Gruß
Thyrael
DD-WRT User


Joined: 22 Apr 2009
Posts: 71

PostPosted: Mon Nov 22, 2010 10:20    Post subject: Reply with quote
Eine VPN per Bridge aufzubauen hat den Vorteil das auch Broadcasts über die VPN gehen, da müssen aber alle Standorte im gleichen Netz sein, das kann man z.B. mit einem /16 Subnetz gut erledigen, so hat dann jeder Standort noch seinen eigenen IP Bereich. Du kannst auch ein geroutetes Netz aufbauen, je nachdem was du für passender empfindest, dazu gibt es auch ne Anleitung im Wiki. Bei einer Bridge und einem /16 Subnet brauchten wir auch keinen IP Pool und keine extra Route, da alle Standorte im gleichen Subnetz sind, wir haben das hier mit insgesamt 4 Routern so gemacht.

Um den DHCP Verkehr über die VPN zu unterbinden kann man eine ebtables Regel verwenden. Die Einrichtung unterscheidet sich je nach eingesetztem Modell. Bei einem Bufallo WZR-HP-G300NH reicht es z.B. das ans Ende des OpenVPN Scripts anzuhängen:
Code:
# DHCP ueber VPN verhindern
sleep 2
insmod ebtables
insmod ebtable_filter
insmod ebt_ip.o
ebtables -I INPUT -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP

Bei einem Linksys WRT-54GL sieht das ganze aber so aus:
Code:
sleep 5
echo "begin-base64 644 -" > /tmp/ebt_ip.o.gz.u64
echo "H4sIADwAAAACA5VWz28bVRD+dteON20KG9eq3BJUB21UVy1m2+RQRCO5cX5w" >> /tmp/ebt_ip.o.gz.u64
echo "yMGHHpAQcr32Eq9wHMveIFAPNSkHDq7wIb1H5R+p0gpx7J8QtaH8EBfuSGbm" >> /tmp/ebt_ip.o.gz.u64
echo "vbdh8whEHelp9ps3883Mm/ecPFhZXzUMA7EYsPEPAv5Ikc1BdUGgIt7CWSQl" >> /tmp/ebt_ip.o.gz.u64
echo "i5ejFJY8B2VntjrAecIFPByyLUM2B4cjA43RGDveN6g4HJMD7CxeH9nvo5KT" >> /tmp/ebt_ip.o.gz.u64
echo "XK9HNva9KsUxPo/fiKvyyMZ7N5hrmrgmVUxHcV0hrmm8OrK3FBfbJmC6FnyK" >> /tmp/ebt_ip.o.gz.u64
echo "M92P4At7AUuPBsRZwHMPWBq+TXUOHBN5DJzZsg8T5uM8DnfHqHi4ZMHMmpjL" >> /tmp/ebt_ip.o.gz.u64
echo "+7hWaCKNQW62CFzCy91rTgUW1VSg2gykXdZpwgae3FpDWeRap9oc6qeCPYH5" >> /tmp/ebt_ip.o.gz.u64
echo "+6LqDZQnd0qeCyqPqWI4D5+vQzXHua6rXBvqTIsqlzzffS9LfiZpORc+y8Oh" >> /tmp/ebt_ip.o.gz.u64
echo "oWYD/Dycgj90nWXqaUXkuE887B/bc1gRfGzL8YwdiBmniIf5TMU1hV+GjohZ" >> /tmp/ebt_ip.o.gz.u64
echo "QwbLgsvGgcX+sd1K2A2aCe/xtzybH76fIdsNmtPv47Rr49muTfh9NbcU9kXd" >> /tmp/ebt_ip.o.gz.u64
echo "V1W/WboLT8lvjIee6wR0ZtLOtbnOipgN4x8pBfN58L0zYl47Xh73HLbpdyR7" >> /tmp/ebt_ip.o.gz.u64
echo "dEd21N1l31e78bwpXtTmqP14RjnyUXMS+2yXve9x5beBi7Q+vGKjQL1+655s" >> /tmp/ebt_ip.o.gz.u64
echo "Oy5hF6fKx+a/bX9l8ARvIO/SuvwfXMn9gvX/+wun7LfDRtDpB4tr1XV8EfQ6" >> /tmp/ebt_ip.o.gz.u64
echo "Qbv2ZdDrh1udxZulhdK8x86l/tebUd0nHfWkbsVfvaBdioKvIvnVrEd1lPx+" >> /tmp/ebt_ip.o.gz.u64
echo "n+FG2Pl8S9q7zR5Km83A394o1f1w/iahrabYfwO5LN4aMKFwmVY10Z96wHiH" >> /tmp/ebt_ip.o.gz.u64
echo "1mQi7hMb4LFNqfiUuOvAVYVjipElOXW+OY3vJwrOKz4rwfeB0jHfC+3sY74F" >> /tmp/ebt_ip.o.gz.u64
echo "2UPXTPjlE37Mx/iOqi+WX8lvoPmxLGr1Hdj8VmR9mUR9qxpfK3W8vnjvrvo2" >> /tmp/ebt_ip.o.gz.u64
echo "E37uCXmnE72y0B8XfHYCX5KLZYaKOiB9TtWdUmczqfHRm8GnJ/DpYhyr7c9x" >> /tmp/ebt_ip.o.gz.u64
echo "cs/SoixYGk5reFLDZzQ8oeGM8OB3mBO/fwb99sh3F+M57Q7Ma3hVvyOBH9XC" >> /tmp/ebt_ip.o.gz.u64
echo "bqmBsBNGNXop2+0AjXZQ72x3Y1irRa2wHyOO4BfXj4JebbMeNVrCtN3RjOLu" >> /tmp/ebt_ip.o.gz.u64
echo "pUx5j1jPGFJ/p/QLpfdMqelHGGm6SEXSE1OyzzQtjzGtW4xpkLcZn5N98/6y" >> /tmp/ebt_ip.o.gz.u64
echo "2i/y7InnutKc31T/qjAuKF1W+p7SfwMbOFhxAAkAAA==" >> /tmp/ebt_ip.o.gz.u64
echo "====" >> /tmp/ebt_ip.o.gz.u64
uudecode /tmp/ebt_ip.o.gz.u64 | gzip -cd > /tmp/ebt_ip.o
sleep 5
insmod ebtables
sleep 5
insmod ebtable_filter
sleep 5
insmod /tmp/ebt_ip.o
sleep 5
ebtables -I INPUT -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Forum Index -> Allgemeine Fragen All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You can attach files in this forum
You can download files in this forum