[Suche] Empfehlung für Router mit Kabel Deutschland unter openWRT

    lsmod | grep xt_state ?


    Albert

    Ich habe das Script nicht in /etc/init.d/ipsec sondern unter /root/ipsec.sh gespeichert, aber das dürfte ja wohl keinen Unterschied machen.
    Wenn ich es ausführe erhalte ich

    Code
    root@OpenWrt:/etc# /root/ipsec.sh restart
Stopping strongSwan IPsec...
Starting strongSwan 5.3.3 IPsec [starter]...
!! Your strongswan.conf contains manual plugin load options for charon.
!! This is recommended for experts only, see
!! http://wiki.strongswan.org/projects/strongswan/wiki/PluginLoad


    Der Tunnel kommt nicht zustande:


    Und hier die erzeugte ipsec.conf:


    Code
    root@OpenWrt:/etc# lsmod | grep xt_state
xt_state                 608  0


    Klaus

    Nimm noch mal von der Post 100 die /etc/ipsec/firewall.sh. Ich habe den Aufruf von /etc/functions.sh nach /lib/functions.sh geändert.


    Albert


    Klaus

    Wo liegt jetzt die functions.sh? Aufruf vielleicht nur /lib/functions.sh ohne führende Punkt?


    Albert

    Die liegt in /lib/functions.sh.


    Wenn ich den Punkt wegnehme sieht es so aus:



    Also wohl doch eher *mit* Punkt.


    Klaus

    Eine kleine Änderung bei /etc/config/firewall um zu sehen, ob wir damit den Fehler Couldn't load target `zone_vpn_nat' wegbekommen.


    Albert

    Das hier wäre die Brechstange (bezogen auf Post 100):


    - /etc/init.d/ipsec löschen.
    - /etc/config/ipsec nicht ändern.
    - /etc/config/firewall, die zwei Einträge: forward_vpn und nat_vpn entfernen.
    - /etc/ipsec/firewall.sh löschen.
    - /etc/strongswan.conf verwenden.
    - /etc/ipsec.conf verwenden.
    - /etc/firewall.user hat neuen Inhalt.



    Albert

    2 Mal editiert, zuletzt von ATD ()

    Nach der Änderung aus Posting 127:



    Mit den Änderungen aus Posting 128:



    Der Tunnel kommt damit zwar zustande, aber es gehen nach wie vor keine Daten durch.
    Da sind auch noch zwei Fehlermeldungen beim Firewall-Restart ("No chain/target/match by that name").


    Klaus

    Ich habe jetzt /etc/firewall.user ( Posting 128 ) dahingehend bearbeitet, dass auch das Subnet angegeben wird.


    Die 5 Zeilen kannst Du aber auch an der Konsole eingeben, dann sehen wir, welche nicht passt.


    Wie sah die ursprüngliche Firewall Konfiguration aus (/rom/etc/config/firewall)?


    Albert

    Da passt gleich die erste nicht:


    Code
    root@OpenWrt:/etc# iptables -t nat -I zone_wan_nat -s 88.198.76.220/32 -j ACCEPT
iptables: No chain/target/match by that name.


    (ich habe jetzt mal aufgehört mit dem "xx.xx", denn die IP meines Web-Servers ist eh öffentlich bekannt ;-).



    Klaus

    Irgendwie habe ich es schon gerochen. Eine iptables-save > /etc/iptables/rules.v4 wäre auch nicht schlecht. Ich kann mir kaum vorstellen, dass die zone_wan_nat nicht existiert, bzw. sehen wir uns mal an, was wir überhaupt haben.


    Albert

    Bitteschön:



    Klaus

    Das sieht wieder mal ganz anders als erwartet aus. Ich kann nicht einmal forward_vpn entdecken, was LuCI angelegt hat und ein zone_wan_nat gibt es auch nicht.


    Versuchen wir also den Firewall und NAT wie folgt zu überlisten:



    Ich hoffe es greift, denn mir gehen langsam die Ideen aus.


    Ich habe noch eine mögliche Alternative gefunden.



    Albert

    Einmal editiert, zuletzt von ATD ()

    Bei beiden Versionen kommen keine Fehlermeldungen mehr, und ipsec baut in beiden Fällen den Tunnel auf.
    Mit der ersten Variante kann ich dann aber weder traceroute noch ssh zu racoon machen. Die zweite Variante verhält sich so wie bisher. In beiden Fällen gehen keine Daten durch den Tunnel.


    Die erste Variante scheint aber zumindest irgendwie zu greifen, denn es wird ausschließlich die Strecke zu racoon "abgefangen".


    Falls dir nicht noch irgend etwas grandioses einfällt werde ich wohl doch mal OpenVPN probieren müssen. Ich kann dir schließlich nicht ewig
    deine Zeit stehlen...


    Klaus

    Zitat von kls

    Falls dir nicht noch irgend etwas grandioses einfällt werde ich wohl doch mal OpenVPN probieren müssen. Ich kann dir schließlich nicht ewig deine Zeit stehlen...


    Ich würde mich freuen, wenn mir eine grandiose Idee einfallen würde. Du stiehlst mir die Zeit bestimmt nicht, ich sitze meistens vor dem PC. Über OpenWRT versuchen das Problem zu lösen könntest Du langsam angehen, wir haben genug Informationen gesammelt. Zweigleisig zu fahren ist immer besser.


    Nicht desto trotz, wenn die erste /etc/firewall.user schon mal gezuckt hat, dann hier noch eine:



    Greift es auch nicht, dann mein vermutlich letzter Versuch wäre es über die Zonen Forwards abfangen zu wollen:




    Albert

    Zitat von kls

    Erstmal vieln Dank für dein Hilfe.


    Sehr gern geschehen, auch wenn es leider nicht geholfen hat. Wenn Du magst, dann schicke mir einen Link per Mail mit Deinem nächsten Versuche. Ich würde es stillschweigend verfolgen und ggf. ein Paar Hinweise an Dich liefern.


    Albert

    Klaus, bist Du schon ein Stück weitergekommen?


    Albert

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden