Bleiben also nur noch die beiden Fehler bei 9 und 10, für die ich aber keine Erklärung finde.
Hm, welche sind sie denn ?
Albert
Bleiben also nur noch die beiden Fehler bei 9 und 10, für die ich aber keine Erklärung finde.
Ach, "iptables -A zone_vpn_ACCEPT ...". Sie muss existieren bevor Bedingungen daran geknüpft werden.
iptables -N zone_vpn_ACCEPT
Also entweder über die Console einmalig, oder wenn nicht persistent, dann am Anfang des Scriptes einbauen.
Albert
Sieht aus als kämen wir durchaus voran :-).
Was sonst? 
Ich werde allerdings Freitag und Samstag nichts testen können. Melde mich ggf. am Sonntag wieder.
Klaus, lasse Dir Zeit. Das kommt mir durchaus gelegen. 
Albert
Eine Fehlermeldung haben wir noch bei "52 ip6tables -F zone_vpn_ACCEPT". Das kannst Du mit ip6tables -N zone_vpn_ACCEPT aus der Post 174 bereinigen.
Eine kurze Inspektion zeigt aber logische Fehler (Reihenfolge / Zuordnung), auch wenn wir nahezu null Fehlermeldungen mehr bekommen. Daran müssen wir noch arbeiten. ;.)
Hilfreich wäre, wenn Du die aktuelle /etc/config/firewall und /etc/firewall.user zeigen würdest. Wenn ich sie in der VM einbaue, dann könnte ich mit LuCI die Abarbeitungsreihenfolge besser betrachten.
Es eilt nicht!
Albert
Klaus, heute hatte ich ein wenig Zeit (Hotline geschoben). Soweit sind wir schon:
Traceroute und Ping von OpenWRT Console an die 30 km entfernter Drucker hinter einem Funkwerk Router.
Lasse mir noch ein paar Tage Zeit. Vielleicht gibt es diese Woche schon die endgültige Lösung.
Albert
Klaus, ich stufe es jetzt als Beta ein, aber teste selbst.
Wie bei der Rotorsteuerung wollte ich mich nicht geschlagen geben. So ist es mir gelungen, ohne den "Script" eine reine Zonen Forwarding mit einfachen Mitteln zu bewältigen.
1. Tunnel steht! (Geht ggf. viel einfacher. Wenn Du magst, dann schreibe ich was dazu.)
2. leftfirewall=no ! iptables Zonen Forward ohne störende Elemente.
3. Deine Änderungen (Diffs) behältst Du, geht aber auch eleganter.
Was Du noch brauchst, das steht hier:
IP auf racoon setzen! Das war's schon.
Albert
Albert, du bist der Größte!!!
Direkt vom Router aus klappt es damit schon mal:
root@OpenWrt:/etc# traceroute racoon.tvdr.de
traceroute to racoon.tvdr.de (88.198.76.220), 30 hops max, 38 byte packets
1 racoon.tvdr.de (88.198.76.220) 24.885 ms 23.960 ms 25.415 ms
root@OpenWrt:/etc# ping racoon.tvdr.de
PING racoon.tvdr.de (88.198.76.220): 56 data bytes
64 bytes from 88.198.76.220: seq=0 ttl=64 time=30.125 ms
64 bytes from 88.198.76.220: seq=1 ttl=64 time=28.786 ms
64 bytes from 88.198.76.220: seq=2 ttl=64 time=29.116 ms
64 bytes from 88.198.76.220: seq=3 ttl=64 time=34.181 ms
Und ich kann auch umgekehrt von racoon aus den Router direkt ansprechen:
racoon:~ # traceroute 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 60 byte packets
1 cougar.tvdr.de (192.168.1.1) 31.941 ms 31.930 ms 31.924 ms
racoon:~ # ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=28.3 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=23.2 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=24.9 ms
Was noch nicht geht ist racoon von einem Rechner im lokalen Netz (also "hinter" dem Router) anzusprechen:
traceroute to racoon.tvdr.de (88.198.76.220), 64 hops max, 52 byte packets
1 192.168.1.1 (192.168.1.1) 1.310 ms 0.878 ms 0.829 ms
2 192.168.1.1 (192.168.1.1) 0.853 ms 0.821 ms 0.814 ms
Klauss-MacBook-Pro:~ kls$ ping racoon.tvdr.de
PING racoon.tvdr.de (88.198.76.220): 56 data bytes
92 bytes from 192.168.1.1: Destination Port Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 8996 0 0000 3f 01 8a15 192.168.1.179 88.198.76.220
Request timeout for icmp_seq 0
Und auch von racoon aus kann ich keinen Rechner "hinter" dem Router (also z.B. 192.168.1.220) ansprechen.
Wenn du auch dafür noch eine Lösung finden könntest, dann wäre es perfekt!
Klaus
Albert, du bist der Größte!!!
Wenn Du es meinst.
Was noch nicht geht ist racoon von einem Rechner im lokalen Netz (also "hinter" dem Router) anzusprechen:
Das geht bei mir. Wie sind die IP Einstellungen von Deinem MacBook-Pro? (MacBook!?)
Und auch von racoon aus kann ich keinen Rechner "hinter" dem Router (also z.B. 192.168.1.220) ansprechen.
Wenn du auch dafür noch eine Lösung finden könntest, dann wäre es perfekt!
Das muss ich noch testen. Ich setze in VM OpenWRT neu auf (dauert ca. 15 Minuten), denn es geht viel schlanker als angenommen, dann berichte ich.
Albert
Das geht bei mir. Wie sind die IP Einstellungen von Deinem MacBook-Pro? (MacBook!?)
Alles "out of the box" mit DHCP. Es geht auch von einem anderen (Linux-)Rechner aus hinter dem Router nicht.
Da fehlt vielleicht noch eine entsprechende FW-Regel.
Klaus
Da fehlt vielleicht noch eine entsprechende FW-Regel.
So ist es.
Zusammenfassung:
1. OpenWRT in der VM Aufgesetzt, konfiguriert (Passwort, SSH, Interfaces, Zeit).
2. opkg update && opkg install strongswan-default ipset bringt alle benötigte Pakete.
3. /etc/strongswan.conf nicht geändert, /etc/ipsec.conf (leftfirewall=no !) und /etc/ipsec.secrets angepasst, Tunnel steht.
4. /etc/config/firewall und /etc/firewall.user erstellt, reboot.
Das wäre mal eine aussagekräftige Anleitung, findest Du nicht? Wozu auf drei verschiedenen Internetseiten beschreiben, was nicht funktioniert?
Die /etc/config/firewall ist neu, tausche sie aus (IP ersetzen!). Sie behebt Deine restlichen Probleme.
Möchtest Du auch einen Tunnel von cougar nach panther?
Albert
Deine Anleitung ist genial einfach und ich bin froh, daß du ohne das dubiose firewall.sh Script auskommst :-).
Ich auch. Das Script ist, na ja.
Ich werde am WE den Router nochmal komplett neu aufsetzen und deine Anleitung durchspielen.
Das ist eine gute Idee.
Einen Tunnel zwischen cougar und panther hätte ich schon gerne, wobei ich bis jetzt davon ausgegangen bin, daß man das wohl mit entsprechenden Routing-Einträgen lösen könnte.
Das geht mit strongSwan so brutal einfach, dass man es nur als Eleganz bezeichnen kann.
In /etc/ipsec.conf tragen wir einen neuen conn nach panther ein und schlagen den zweiten Subnet in der /etc/config/firewall dazu (option subnet '88.xxx.xxx.220/32 192.168.100.0/24').
Ja, das ist alles.
Ach: strongswan-mod-kernel-libipsec, forget it! Auch die diff-s. Wenn Du es unbedingt brauchst, dann so:
Das Log ist sehr gesprächig. Wenn Du magst oder wenig Platz, dann ändern.
Wie auch immer, wenn Du neu installierst, dann sollten wir VORHER die /etc/ipsec.conf unter die Lupe nehmen!
Hättest Du Dir nicht für die Sache eine Woche ohne Fußball aussuchen können!?
Albert
Das ist für die zwei Tunnel (racoon und panther) von cougar gesehen.
Den zweiten Subnet in der /etc/config/firewall unter (option subnet '88.xxx.xxx.220/32 192.168.100.0/24') eintragen.
Albert
Einige Parameter, die ich bisher nicht verwendet habe, die du aber angegeben hast, habe ich erstmal auskommentiert - ich möchte das Ganze zu simpel wie möglich halten.
Die Einträge ike und esp brauchst Du spätestens nach der Neuinstallation, weil strongswan-mod-kernel-libipsec für die "Suchautomatik" nicht mit installiert wird, wozu auch.
Das Mode aggressive=yes schaltest Du zu, wenn es bei der Tunnel mit dynamische IPs Probleme gibt, wie right=%panther.tvdr.de, sonst tut es das Mode main auch. Ob ikev1 oder ikev2, bzw. Kombi, dass ist Deine Sache.
Du arbeitest mit AES-128, dazu passt die PFS DH Gruppe modp2048 nicht. Besser wäre es die modp3072 zu nehmen (sofern vertretbar), damit Du in DH auch 128 security bits hast. Bei modp2048 sind es nur 103 bits und damit eine potentielle Schwachstelle in der Verschlüsselungskette. Wer einen brute-force plant dann wendet er das traditionell auf DH und nicht auf AES an. Wir wollen nicht, dass PFS nicht mehr für Perfect Forward Secrecy steht.
Der Tunnel zu panther ist offensichtlich schon bereit, die entsprechenden Änderungen auf panther wage ich aber remote nicht zu machen, um nicht Gefahr zu laufen, mich auszusperren.
Ein SSH Portforward von WAN kommend auf 127.0.0.1 verhindert das schon. Wenn Du fertig bist, dann entsorgst Du den wieder.
Albert
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
