Diskussion:OpenVPN unter OpenWRT: Unterschied zwischen den Versionen

Aus Opennet
Wechseln zu: Navigation, Suche
(Nicht gleich nachmachen, stört das Netz)
Zeile 1: Zeile 1:
 
==Nicht gleich nachmachen, stört das Netz==
 
==Nicht gleich nachmachen, stört das Netz==
Also, das ganze scheint einigermassen auf den Linksys zu laufen, auf den ASUS nicht. Ohne vernünftige Firewallkonfiguration werden Pakete von anderen AccessPoints, die den openvpn-olsr-AccessPoint als super erachten, momentan gedroppt. Bevor das nicht behoben ist, funktioniert das ganze nicht und macht eher das Netz platt.
+
Also, das ganze scheint einigermassen auf den Linksys zu laufen, auf den ASUS nicht. Ohne vernünftige Firewallkonfiguration werden Pakete von anderen AccessPoints, die den openvpn-olsr-AccessPoint als super erachten gedroppt. Daher ist es extrem wichtig, die openvpn-option '''redirect-gateway auf dem AccessPoint nicht zu nutzen''', sondern die Routen per Script zu ändern.
 
+
Bei mir zeigen sich im logfile folgende Drops:
+
 
+
auf dem router:
+
<pre>
+
root@OpenWrt:~# logread
+
Aug  9 19:27:21 (none) kern.warn kernel: FW:IN=eth1 OUT=tun0 SRC=192.168.1.XX DST=85.138.XX.XX LEN=60 TOS=0x00 PREC=0x00 TTL=61 ID=8488 DF PROTO=TCP SPT=36310 DPT=3515 WINDOW=5840 RES=0x00 SYN URGP=0
+
Aug  9 19:27:22 (none) kern.warn kernel: FW:IN=eth1 OUT=tun0 SRC=192.168.1.XX DST=163.25.XX.XX LEN=60 TOS=0x00 PREC=0x00 TTL=61 ID=14018 DF PROTO=TCP SPT=36311 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
+
Aug  9 19:27:22 (none) kern.warn kernel: FW:IN=eth1 OUT=tun0 SRC=192.168.1.XX DST=137.226.XX.XX LEN=60 TOS=0x00 PREC=0x00 TTL=61 ID=372 DF PROTO=TCP SPT=36307 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
+
Aug  9 19:27:23 (none) kern.warn kernel: FW:IN=eth1 OUT=tun0 SRC=192.168.1.XX DST=137.104.XX.XX LEN=60 TOS=0x00 PREC=0x00 TTL=61 ID=28259 DF PROTO=TCP SPT=36296 DPT=443 WINDOW=5840 RES=0x00 SYN URGP=0
+
...
+
</pre>
+
 
+
Ergebnis:
+
Eigentlich sollte ja nur der Verkehr, der von 172.16.1.0/24 über tun0 geroutet werden, alles was über 192.168.0.0/16 kommt soll ja nicht nochmal getunnelt werden. Also, pakete die von 172.16.1.0/24 nach * gehen, sollen durch tun, alle von 192.168.0.0/16 nach * sollen durch ?eth1? geroutete werden - sonst wirds nix.<br>
+
Ansätze gesucht, Stichworte bisher ?policy routing? routing decisions ... Vorschläge?
+
  
 
----
 
----

Version vom 10. August 2005, 02:07 Uhr

Nicht gleich nachmachen, stört das Netz

Also, das ganze scheint einigermassen auf den Linksys zu laufen, auf den ASUS nicht. Ohne vernünftige Firewallkonfiguration werden Pakete von anderen AccessPoints, die den openvpn-olsr-AccessPoint als super erachten gedroppt. Daher ist es extrem wichtig, die openvpn-option redirect-gateway auf dem AccessPoint nicht zu nutzen, sondern die Routen per Script zu ändern.

Hi, hab auf meinen Asus wl-500g das gleiche ausprobiert und kahm auf die gleichen ergebnisse wie du siehe http://forum.opennet-initiative.de/thread.php?threadid=321&sid= letzten thread. Hab jetzt gehört das ich eventuell nicht alle Libarys auf meinen Asus hab. Weis aber nicht welche mir fehlen sollten. Hab auch schon auf anderen Foren gefragt wie man das machen kann, aber bis jetzt noch keine Antwort.

Gruß, Oconnor

Danke Rene für deine Doku, genau dieses Thema wollten wir die Tage wieder angreifen. Ich werde mich auf jeden Fall mit der Sache beschäftigen. Auf Dauer sollte es unbedingt Ziel sein, VPN auf die APs zu verlagern. --MathiasMahnke 20:26, 3. Aug 2005 (CEST)

OpenWrt whiterussian rc2 and openvpn package: Hab gehört das es damit funzen soll werd es mal in angriff nehmen. Problem is nur das man dann da noch mehr Packete Installieren muss so das es wieder der freifunkfirmware angepasst wird. Oconnor
Schoen waere erstmal das Problem zu identifizieren. Am Ende laesst es sich vielleicht auch mit Freifunk wieder machen bzw. es werden die notwendigen Aenderungen dort integriert. --MathiasMahnke 10:02, 4. Aug 2005 (CEST)

Hallo,

da Du, Oconnor, das Problem (FloatingPointException) also auch schon vor einer Weile hattest wird es wohl nicht an einer von mir erhofften Änderung am OpenVPN-Server liegen. Aber ich hätt das ganze vielleicht gar nicht ins Wiki geschrieben, wenn ich nicht vorgestern (also einen Tag bevor ich dass hier reingeschrieben hab) abends recht weit gekommen wäre. Der Tunnel wurde aufgebaut, allerdings hat die automatische Anpassung der routen nicht funktioniert und von der Exception, die nun immer auftritt war egal wie oft ich rumprobiert hab keine Spur. Und, ganz sicher, tun0 wurde bei ifconfig gestern angezeigt.
Seitdem hab ich auf meinem Accesspoint nix geändert, außer einem Neustart. Und dann der Versuch der Dokumentation des ganzen gestern...
Na mal schauen, ich werd einfach weiterprobieren,

viele Grüße, Rene

Ergebnis auf Linksys

  • Namensaufloesung funktionierte bereits
  • ipkg install ntpclient, 192.168.0.254 eingetragen (/etc/init.d/S60ntpclient)
    • ist bei Freifunk 1.0.2 nicht extra nötig, schon installiert (Anm. Ap46rene)
  • group/user nobody auf Config entfernen (es exisitiert nur root)
  • "openvpn --config opennet.conf" z.B. verwenden
  • Namensauflösung funktioniere nun nicht mehr! - doch eine resolv.conf angelegt
    • gab bei Freifunk 1.0.2 bei mir keine Probleme (Anm. Ap46rene)
  • pings ueber den Tunnel liefern "ping: sendto: Operation not permitted"
    • firewall-problem, sollte sich lösen lassen (Anm. Ap46rene)

--MathiasMahnke 08:52, 9. Aug 2005 (CEST) Datei:Beispiel.jpg

Von „http://wiki.opennet-initiative.de/w/index.php?title=Diskussion:OpenVPN_unter_OpenWRT&oldid=1772
Meine Werkzeuge
Namensräume

Varianten
Aktionen
Start
Opennet
Kommunikation
Karten
Werkzeuge