Mehrere OpenVPN-Instanzen auf einem Router?

Post new topic   Reply to topic    DD-WRT Forum Index -> Broadcom SoC basierende Hardware
Author Message
JMC
DD-WRT Novice


Joined: 06 Nov 2006
Posts: 42
Location: Aachen, Cologne, Germany

PostPosted: Wed Jan 10, 2007 14:18    Post subject: Mehrere OpenVPN-Instanzen auf einem Router? Reply with quote
Hi,

Ich habe einen 54GL 1.1 mit DD-WRT VPN. Funktioniert soweit auch alles Prima, der Router ist ein VPN-Client und verbindet sich gegen einen OpenVPN-Server. Nun wollte ich aber noch 1-2 Serverinstanzen starten auf dem Router gegen den sich dann der Router bei meiner Freundin verbinden soll z.B. - ist das möglich?

Was wäre hierfür nötig? Muss ich vorher ein 2. tun interface erzeugen irgendwie?

Gruß

JMC
Sponsor
LordIceT
DD-WRT Novice


Joined: 17 Jun 2006
Posts: 32

PostPosted: Wed Jan 10, 2007 16:38    Post subject: Reply with quote
@JMC

wie hast du das hinbekommen das sich dein Router über openvpn bei einem openvpn server einwählt ich versuche das schon seit monaten und bekomme es nicht zum laufen.

MfG

LordIceT
JMC
DD-WRT Novice


Joined: 06 Nov 2006
Posts: 42
Location: Aachen, Cologne, Germany

PostPosted: Wed Jan 10, 2007 16:52    Post subject: Reply with quote
Da das nicht die Frage meines Postings war ignoriere ich deine Anfrage...

Quatsch ;)

Ich hab ein wenig gelesen und es dann einfach so gemacht wie beschrieben:

Als Firmware DD-WRT v23 SP2 (09/15/06) vpn

und in den Commands als Startup eingetragen:

Code:

sleep 10
cd /tmp
mkdir openvpn
ln -s /usr/sbin/openvpn myvpn

echo "client
proto udp
dev tun
remote xx.yy.zz 8796
resolv-retry infinite
pull
nobind
persist-key
persist-tun
ca /tmp/openvpn/ca.crt
ns-cert-type server
cert /tmp/openvpn/client.crt
key /tmp/openvpn/client.key
tls-auth /tmp/openvpn/ta.key 1
cipher AES-256-CBC
comp-lzo
link-mtu 1492
verb 3" > /tmp/openvpn/openvpn.conf

echo "-----BEGIN CERTIFICATE-----
Schnipp
-----END CERTIFICATE-----" > /tmp/openvpn/ca.crt

echo "-----BEGIN CERTIFICATE-----
Schnipp
-----END CERTIFICATE-----" > /tmp/openvpn/client.crt

echo "-----BEGIN RSA PRIVATE KEY-----
Schnipp
-----END RSA PRIVATE KEY-----" > /tmp/openvpn/client.key

echo "#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
Schnipp
-----END OpenVPN Static key V1-----" > /tmp/openvpn/ta.key

echo "iptables -D POSTROUTING -t nat -o tun0 -j MASQUERADE" > /tmp/openvpn/route-down.sh
chmod +x /tmp/openvpn/route-down.sh
echo "iptables -A POSTROUTING -t nat -o tun0 -j MASQUERADE" > /tmp/openvpn/route-up.sh
chmod +x /tmp/openvpn/route-up.sh

( sleep 15 ; killall openvpn ; ./myvpn --config /tmp/openvpn/openvpn.conf --route-up /tmp/openvpn/route-up.sh --down /tmp/openvpn/route-down.sh --daemon ) &


Dazu als Firewall
Code:

iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -t filter -I FORWARD -i tun0 -j ACCEPT
iptables -t filter -I FORWARD -o tun0 -j ACCEPT
iptables -t filter -I INPUT -i tun0 -j ACCEPT
iptables -t filter -I OUTPUT -o tun0 -j ACCEPT
iptables -t nat -I POSTROUTING -o tun0 -j ACCEPT
iptables -t nat -I PREROUTING -o tun0 -j ACCEPT


Gruß
LordIceT
DD-WRT Novice


Joined: 17 Jun 2006
Posts: 32

PostPosted: Wed Jan 10, 2007 17:01    Post subject: Reply with quote
danke werde es mal versuchen
hash
DD-WRT Novice


Joined: 09 Jan 2007
Posts: 3

PostPosted: Wed Jan 10, 2007 18:24    Post subject: Reply with quote
sorry, hab keine ahnung zu deiner frage... aber zwei fragen zu deiner config:

1) ich extrahiere ja die ganzen schlüssel aus meiner p12-datei folgendermaßen:
openssl pkcs12 -clcerts -nokeys -in xy.p12 -out xy.crt
openssl pkcs12 -cacerts -nokeys -in xy.p12 -out xy.ca
openssl pkcs12 -nocerts -in xy.p12 -out xy.key
openssl rsa -in xy-key -out xy.nokey
copy xy.nokey+xy.crt+xy.ca xy.pem
openssl pkcs12 -export -nodes -in xy.pem -out xy_new.p12 -CAfile xy.ca

welche dieser obigen dateien sind jetzt:
//edit: wahrscheinlich herausgefunden:
ca.crt <- xy.ca
client.crt <- xy.crt
client.key <- xy.nokey (nicht xy.key)
ta.key

2) hast du zugriff auf das netz hinter dem wrt54g oder geht das nur per server-2-server-connection...

dankeschön

//edit: okay habe es teilweise hinbekommen... probleme:

1) ich muss "/myvpn --config /tmp/openvpn/openvpn.conf --route-up /tmp/openvpn/route-up.sh --down /tmp/openvpn/route-down.sh --daemon" manuell über die konsole starten und mein passwort eingeben, damit er verbindet... habe ich evtl. die schlüsseldateien falsch exportiert? //edit2: gelöst xy.nokey verwenden statt xy.key

2) wie stelle ich ein, dass der wrt54g automatisch neuverbindet bei einem verbindungsfehler/abbruch?


hier meine angepasste config:

Quote:
sleep 10
cd /tmp
mkdir openvpn
ln -s /usr/sbin/openvpn myvpn

echo "client
proto tcp
dev tun
remote [host] [port]
resolv-retry infinite
pull
nobind
persist-key
persist-tun
ca /tmp/openvpn/ca.crt
ns-cert-type server
cert /tmp/openvpn/client.crt
key /tmp/openvpn/client.key
cipher AES-256-CBC
comp-lzo 1
link-mtu 1492
verb 3" > /tmp/openvpn/openvpn.conf

echo "Bag Attributes
friendlyName: xxxxxx CA
subject=/C=DE/O=xxxxx/CN=xxxxxx CA
issuer=/C=DE/O=xxxxx/CN=xxxxxx CA
-----BEGIN CERTIFICATE-----
schnap
-----END CERTIFICATE-----" > /tmp/openvpn/ca.crt

echo "Bag Attributes
friendlyName: xxxxxx
localKeyID: 58 xxxx
subject=/C=DE/O=xxxx/CN=xxxxxxx
issuer=/C=DE/O=xxxxxx/CN=xxxxx CA
-----BEGIN CERTIFICATE-----
schnop
-----END CERTIFICATE-----" > /tmp/openvpn/client.crt

echo "Bag Attributes
friendlyName: xxxxx
localKeyID: E9 0xxxx
Key Attributes: <No Attributes>58 xxxxxxxxx 2C
-----BEGIN RSA PRIVATE KEY-----
schnipp
-----END RSA PRIVATE KEY-----" > /tmp/openvpn/client.key


echo "iptables -D POSTROUTING -t nat -o tun0 -j MASQUERADE" > /tmp/openvpn/route-down.sh
chmod +x /tmp/openvpn/route-down.sh
echo "iptables -A POSTROUTING -t nat -o tun0 -j MASQUERADE" > /tmp/openvpn/route-up.sh
chmod +x /tmp/openvpn/route-up.sh

( sleep 15 ; killall openvpn ; ./myvpn --config /tmp/openvpn/openvpn.conf --route-up /tmp/openvpn/route-up.sh --down /tmp/openvpn/route-down.sh --daemon ) &
JMC
DD-WRT Novice


Joined: 06 Nov 2006
Posts: 42
Location: Aachen, Cologne, Germany

PostPosted: Fri Jan 12, 2007 10:27    Post subject: Reply with quote
Hi,

Also normalerweise sollte er automatisch neuverbinden, das tut er bei mir einwandfrei - da kann ich dir leider nicht helfen Sad Aber ich habe aus Platzgründen den ganzen überflüssigen Kram bei den Cert und Key weggelassen - du brauchst nur das ab den --- jeweils.

Ja, mit den entsprechenden Firewall-Einstellungen hab ich auch Zugriff auf das Netz hinter dem Router:

iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -t filter -I FORWARD -i tun0 -j ACCEPT
iptables -t filter -I FORWARD -o tun0 -j ACCEPT
iptables -t filter -I INPUT -i tun0 -j ACCEPT
iptables -t filter -I OUTPUT -o tun0 -j ACCEPT
iptables -t nat -I POSTROUTING -o tun0 -j ACCEPT
iptables -t nat -I PREROUTING -o tun0 -j ACCEPT

Achja - und ein Fehler ist noch drin - in der letzten Anweisung fehlt noch ein Sleep 10 ; killall myvpn ; also:

( sleep 15 ; killall openvpn ; sleep 10 ; killall myvpn ; ./myvpn --config /tmp/openvpn/openvpn.conf --route-up /tmp/openvpn/route-up.sh --down /tmp/openvpn/route-down.sh --daemon ) &

Hoffe ich konnte dir helfen

Gruß
hash
DD-WRT Novice


Joined: 09 Jan 2007
Posts: 3

PostPosted: Fri Jan 12, 2007 10:56    Post subject: Reply with quote
das mit dem automatisch wiederverbinden ist mir noch nicht vorgekommen, wollte nur wissen, was passiert....

eine verbindung im netzwerk habe ich schon hinbekommen... über internet muss ich noch testen.

welche ip-adressbereiche verwendest du für die verschiedenen geräte?


danke


Last edited by hash on Fri Jan 12, 2007 11:03; edited 1 time in total
JMC
DD-WRT Novice


Joined: 06 Nov 2006
Posts: 42
Location: Aachen, Cologne, Germany

PostPosted: Fri Jan 12, 2007 11:03    Post subject: Reply with quote
Ist bei mir alles 192.168.0.xxx

Du musst natürlich bedenken - meine Config war ja ne Client-Config - da werden auch noch entsprechende Routen gepusht und auf dem Server mit iroute entsprechend auch konfiguriert

Gruß
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Index -> Broadcom SoC basierende Hardware All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You can attach files in this forum
You can download files in this forum