[Suche] Empfehlung für Router mit Kabel Deutschland unter openWRT

    Zitat von kls

    Ich habe mal versuchsweise auf modp3072 umgestellt (sowohl auf racoon als auch auf cougar), aber damit kam der Tunnel nicht zustande. Muß ich da außer modp2048 zu modp3072 zu ändern noch etwas machen?


    Dann lasse es so, wie gehabt, eine Orgie aus Versuchen bringt niemanden weiter. Die Wahrscheinlichkeit einer Attacke ist gegen null.


    Ich arbeite gewöhnlich auf potenter Router-Hardware mit AES256, SHA256, DH Gruppen aus der neuen Spezifikation für Phase 1 IKEv2 und Phase 2 läuft mit MD5. Das ist aber nicht meine Empfehlung für Deine Hardware! Kann dazu führen, dass die Übertragungsgeschwindigkeit drastisch einbricht oder es treten unerklärliche Effekte auf.


    Albert

    Ich habe jetzt OpenWrt völlig neu aufgesetzt, "opkg update && opkg install strongswan-default ipset" gemacht und nur die Dateien /etc/config/firewall, /etc/firewall.user, /etc/ipsec.secrets und /etc/ipsec.conf von der alten Installation übernommen. Restart von firewall und ipsec funktioniert ohne Fehler. Der Tunnel zu racoon entsteht und es gehen auch Daten hinein, aber es kommen offensichtlich keine zurück:


    Die Ausgabe "0 bytes_i, 4366 bytes_o" in der vorletzten Zeile sagt wohl, daß zwar 4366 Bytes von cougar Richtung racoon gegangen sind (von einem 'ping'), aber keine Daten zurückgekommen sind.


    Bevor ich jetzt mein schönes, sauberes System mit allen möglichen Paketen "verunreinige", wollte ich erst nochmal nachfragen, ob du eine Idee hast, woran das liegen könnte. Ich habe ja eigentlich genau das gemacht, was du auch gemacht hast - und bei dir geht es ja...


    Klaus

    Das hatte ich nach dem Neuinstallation auch. Ein reboot hat das Problem gelöst.


    Wenn nicht, dann zeige bitte die oben genannten Dateien.


    Albert

    Reboot hat leider nicht geholfen.




    Die /etc/ipsec.secrets poste ich verständlicherweise nicht, aber ohne die würde ja der Tunner überhaupt nicht entstehen.


    Klaus

    Zitat von kls

    Die /etc/ipsec.secrets poste ich verständlicherweise nicht, aber ohne die würde ja der Tunner überhaupt nicht entstehen.


    Schon klar, aber Syntax: @cougar.tvdr.de @racoon.tvdr.de : PSK "wurst" !?


    Geht es wenn /etc/init.d/firewall stop ist?


    Ist die /etc/ipsec.conf wirklich wie gehabt (ohne rightsubnet)?


    War früher in der /etc/config/firewall racoon mit Adresse oder mit Adresse/Subnet eingetragen?


    /etc/init.d/firewall stop
    ipsec reload
    ipsec restart
    ipsec statusall
    traceroute und ping
    /etc/init.d/firewall start
    traceroute und ping


    Ich werde zum Kaffee geladen. Bis dann.


    Albert

    Zitat von ATD


    Schon klar, aber Syntax: @cougar.tvdr.de @racoon.tvdr.de : PSK "wurst" !?


    Ja, genau so.


    Zitat


    Geht es wenn /etc/init.d/firewall stop ist?


    Damit geht gar nichts (auch kein Zugriff auf andere externe Hosts).


    Zitat


    Ist die /etc/ipsec.conf wirklich wie gehabt (ohne rightsubnet)?


    Die Datei (wie auch alle anderen) habe ich 1:1 vom alten System übernommen.


    Zitat


    War früher in der /etc/config/firewall racoon mit Adresse oder mit Adresse/Subnet eingetragen?


    Es hatte beides funktioniert. Ich habe es jetzt auch auf dem neu aufgesetzten System in beiden Varianten probiert, ohne Erfolg.



    Bringt alles nichts. Nur wenn ich ipsec stoppe und die Zeile "option subnet '88.198.76.220/32 192.168.100.0/24'" in /etc/config/firewall auskommentiere, kann ich racoon erreichen - dann allerdings freilich nicht über das VPN.


    Klaus

    Mit "option subnet '88.198.76.220 192.168.100.0/24'" auch nicht?


    Möglich das Du in der /etc/ipsec.conf bei racoon auch noch rightsubnet=88.198.76.220/32 eintrage musst.


    Albert

    Ist nun strongswan-mod-kernel-libipsec installiert oder nicht?


    Sichere strongswan.conf und versuche es mit der aus Post 196.


    Ist in /etc/strongswan.d/charon aes.conf vorhanden?


    Wenn alles nicht hilft, dann müssen wir den Firewall mit uci im Schrittbetrieb inspizieren.


    Ich bin für eine halbe Stunde weg.


    Albert

    Zitat von ATD

    Ist nun strongswan-mod-kernel-libipsec installiert oder nicht?


    Nein, ich habe nur das installiert, was du gesagt hattest.
    Soll ich das mal installieren?
    Aber warum klappt es dann bei dir ohne das? Oder ist das bei dir doch installiert?


    Zitat


    Sichere strongswan.conf und versuche es mit der aus Post 196.


    Auch damit geht es nicht.


    Zitat


    Ist in /etc/strongswan.d/charon aes.conf vorhanden?


    Ja, ist vorhanden.


    Klaus

    Bei Firewall restart keine Fehlermeldung auf fehlende ipset?


    Albert

    Schrittbetrieb.


    Zonenprüfung:


    uci show firewall.@zone[0] von 0 bis 3, wobei es nur insgesamt drei geben dürfte.


    Prüfung auf Forward:


    uci show firewall.@forwarding[0] auch hier dürften nur drei geben.


    Albert

    Gib mal die folgenden vier Befehle an der Console ein, aber bitte nur ein einziges mal und dann nie wieder!


    iptables -t nat -A prerouting_wan_rule -m policy --dir in --pol ipsec -j ACCEPT
    iptables -t nat -A postrouting_wan_rule -m policy --dir out --pol ipsec -j ACCEPT
    iptables -A forwarding_rule -m policy --dir in --pol ipsec -m conntrack --ctstate NEW -j zone_vpn_forward
    iptables -I input_wan_rule -m policy --dir in --pol ipsec -m conntrack --ctstate NEW -j ACCEPT


    und /etc/init.d/firewall restart.


    Albert

    root@cougar:/etc# uci show firewall.@zone[0]
    firewall.cfg12dc81=zone
    firewall.cfg12dc81.name='vpn'
    firewall.cfg12dc81.network=' '
    firewall.cfg12dc81.input='ACCEPT'
    firewall.cfg12dc81.output='ACCEPT'
    firewall.cfg12dc81.forward='ACCEPT'
    root@cougar:/etc# uci show firewall.@zone[1]
    firewall.cfg14dc81=zone
    firewall.cfg14dc81.name='lan'
    firewall.cfg14dc81.network='lan'
    firewall.cfg14dc81.input='ACCEPT'
    firewall.cfg14dc81.output='ACCEPT'
    firewall.cfg14dc81.forward='ACCEPT'
    root@cougar:/etc# uci show firewall.@zone[2]
    firewall.cfg16dc81=zone
    firewall.cfg16dc81.name='wan'
    firewall.cfg16dc81.network='wan' 'wan6'
    firewall.cfg16dc81.input='REJECT'
    firewall.cfg16dc81.output='ACCEPT'
    firewall.cfg16dc81.forward='REJECT'
    firewall.cfg16dc81.masq='1'
    firewall.cfg16dc81.mtu_fix='1'
    root@cougar:/etc# uci show firewall.@zone[3]
    uci: Entry not found
    root@cougar:/etc# uci show firewall.@forwarding[0]
    firewall.cfg18ad58=forwarding
    firewall.cfg18ad58.src='vpn'
    firewall.cfg18ad58.dest='lan'
    root@cougar:/etc# uci show firewall.@forwarding[1]
    firewall.cfg1aad58=forwarding
    firewall.cfg1aad58.src='lan'
    firewall.cfg1aad58.dest='vpn'
    root@cougar:/etc# uci show firewall.@forwarding[2]
    firewall.cfg1cad58=forwarding
    firewall.cfg1cad58.src='lan'
    firewall.cfg1cad58.dest='wan'
    root@cougar:/etc# uci show firewall.@forwarding[3]
    uci: Entry not found



    Wobei das ohne die Zeile mit dem subnet ist, weil sonst keine Verbindung zu racoon möglich ist.


    Klaus


    Das ist doch, bis auf das -I statt -A in der letzten Zeile, genau das, was in der /etc/firwall.user steht, oder?
    Hat jedenfalls auch nichts geändert.


    Klaus

    Zitat von kls

    Das ist doch, bis auf das -I statt -A in der letzten Zeile, genau das, was in der /etc/firwall.user steht, oder?


    Sorry, natürlich -A nicht -I.


    Wo wir noch Unterschiede hatten, das war strongswan-mod-kernel-libipsec. Bei mir ist es NICHT installiert.



    Bitte abgleichen.


    Albert

    Gib mir mal eine Komplettausgabe unter Spoiler mit iptables -nvL.


    Albert

    Zitat von ATD


    Sorry, natürlich -A nicht -I.


    Dann ist das ja auf jeden Fall hier in Verwendung.


    Zitat


    Wo wir noch Unterschiede hatten, das war strongswan-mod-kernel-libipsec. Bei mir ist es NICHT installiert.


    Bei mir auch nicht. Ich hatte es zwischenzeitlich mal testweise installiert, aber damit gab es jede Menge Fehlermeldungen. Hab's wieder entfernt.


    Die Liste der strongswan* Pakete sieht bei mir genauso aus wie bei dir.


    Klaus

    Hast Du was auf racoon geändert, bzw. besteht die Möglichkeit racoon neu zu starten? Wer weiß, ob auf der Gegenseite etwas klemmt.


    Albert

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden