[Suche] Empfehlung für Router mit Kabel Deutschland unter openWRT

sparkie · October 18, 2015 at 1:57 PM

was sagen die tcpdumps auf den verschiedenen Interfaces (local und remote)?

kls · October 19, 2015 at 8:27 AM

Quote from ATD

Schau Dir mal das hier an, ob Deine Konfiguration an die Logik von dort angelehnt ist. Die FW Sektion kann interessant werden.

Das dürfte wohl daran scheitern, daß es auf meinem StrongSwan-Client gar keine ´tun´ Interfaces gibt. Es gibt überhaupt keine Interfaces, die irgendwie nach VPN oder IPSEC aussehen. Es gibt nur br-lan, eth[01], lo und wlan[01].

Klaus

kls · October 19, 2015 at 9:46 AM

Quote from sparkie

was sagen die tcpdumps auf den verschiedenen Interfaces (local und remote)?

Wenn ich tcpdump auf das eth0-Interface des Routers mache, dann ergibt ein Ping von einem Laptop im lokalen Netz zum remote Server

09:31:22.988490 IP 188.xx.xx.113 > 88.xx.xx.220: ICMP echo request, id 3102, seq 1, length 64
09:31:23.008705 IP 88.xx.xx.220 > 188.xx.xx.113: ICMP echo reply, id 3102, seq 1, length 64

Ein tcpdump auf das br-lan-Interface des Routers liefert genau den gleichen Output.

Ein traceroute von einem lokalen Laptop zum Server liefert

Code

traceroute to racoon (88.xx.xx.220), 30 hops max, 60 byte packets
 1  192.168.1.1 (192.168.1.1)  1.113 ms  1.367 ms  2.338 ms
 2  * * *
 3  ip5886dffe.dynamic.kabel-deutschland.de (88.134.223.254)  17.431 ms  17.417 ms  17.479 ms
 4  ip5886c215.dynamic.kabel-deutschland.de (88.134.194.21)  17.673 ms  18.156 ms  18.359 ms
 5  ip5886c217.dynamic.kabel-deutschland.de (88.134.194.23)  18.696 ms  18.483 ms  18.790 ms
 6  ip5886ca68.dynamic.kabel-deutschland.de (88.134.202.104)  22.647 ms  17.220 ms  25.206 ms
 7  ip5886ca25.dynamic.kabel-deutschland.de (88.134.202.37)  24.732 ms  23.670 ms  24.373 ms
 8  et-0-0-0-1.fra20.core-backbone.com (80.81.192.187)  46.658 ms  46.451 ms  46.851 ms
 9  core-backbone-100g-fra.hetzner.de (80.255.15.122)  23.849 ms  22.447 ms *
10  core4.hetzner.de (213.239.245.2)  23.058 ms  21.398 ms  16.845 ms
11  core22.hetzner.de (213.239.245.17)  21.567 ms  26.906 ms  26.728 ms
12  juniper2.rz16.hetzner.de (213.239.245.134)  26.643 ms  25.157 ms juniper1.rz16.hetzner.de (213.239.245.94)  28.796 ms
13  hos-tr2.ex3k5.rz16.hetzner.de (213.239.222.102)  31.736 ms hos-tr3.ex3k5.rz16.hetzner.de (213.239.223.198)  31.057 ms hos-tr1.ex3k5.rz16.hetzner.de (213.239.222.70)  21.648 ms
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

Display More

Von meinem anderen Netzwerk mit OpenWRT-Router aus, wo das VPN funktioniert, sieht sowas dagegen so aus:

Code

traceroute to racoon (88.xx.xx.220), 30 hops max, 40 byte packets using UDP
 1  panther.lan (192.168.100.1)  0.790 ms   0.826 ms   1.046 ms
 2  racoon.tvdr.de (88.xx.xx.220)  23.905 ms   27.037 ms   26.687 ms

Hier laufen also die Pakete direkt durch den Tunnel zum Server, alle "Zwischenstationen" sind quasi unsichtbar.

Klaus

M-Reimer · October 19, 2015 at 9:54 AM

Quote from kls

Das dürfte wohl daran scheitern, daß es auf meinem StrongSwan-Client gar keine ´tun´ Interfaces gibt. Es gibt überhaupt keine Interfaces, die irgendwie nach VPN oder IPSEC aussehen. Es gibt nur br-lan, eth[01], lo und wlan[01].

Bedeutet das nicht, dass schon mit dem Verbindungsaufbau, bzw. beim Start des VPN-Client ein Fehler auftritt?

sparkie · October 19, 2015 at 10:07 AM

die Routingeintraege oben sind ja vom Gutfall. Was sagt 'netstat -rn' im Schlechtfall? Zudem waere vielleicht interessant, wie die das Forwarding ueber iptables eigentlich realisiert haben. Vielleicht hilft der anonymisierte Output von 'iptables -nvL' schon mal weiter.

kls · October 19, 2015 at 10:55 AM

Quote from M-Reimer

Bedeutet das nicht, dass schon mit dem Verbindungsaufbau, bzw. beim Start des VPN-Client ein Fehler auftritt?

Das glaube ich eigentlich nicht, denn auf dem Server, wo auch StrongSwan läuft, habe ich auch keine solchen Interfaces. Dort gibt es nur eth0 und lo.
Und von dem Server habe ich eine funktionierende VPN-Verbindung zu einem anderen OpenWRT-Router mit OpenSwan.

Klaus

kls · October 19, 2015 at 11:16 AM

Quote from sparkie

Was sagt 'netstat -rn' im Schlechtfall?

Code

root@OpenWrt:~# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         188.192.81.254  0.0.0.0         UG        0 0          0 eth0
188.192.81.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
188.192.81.254  0.0.0.0         255.255.255.255 UH        0 0          0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 br-lan

Quote

Zudem waere vielleicht interessant, wie die das Forwarding ueber iptables eigentlich realisiert haben. Vielleicht hilft der anonymisierte Output von 'iptables -nvL' schon mal weiter.

Hier der Output vom Server:

Code

Chain INPUT (policy DROP 0 packets, 0 bytes)                                                                                                                                                                                          
 pkts bytes target     prot opt in     out     source               destination                                                                                                                                                       
18350  738K LOGDROP    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 state NEW recent: UPDATE seconds: 60 hit_count: 4 name: DEFAULT side: source mask: 255.255.255.255                                
 2497  131K            tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 state NEW recent: SET name: DEFAULT side: source mask: 255.255.255.255                                                            
 2650  236K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0                                                                                                                                                         
1501K  416M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate ESTABLISHED                                                                                                                          
18708 1424K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED                                                                                                                              
86931 4666K input_ext  all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                                                                         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 LOG flags 6 level 4 prefix "SFW2-IN-ILL-TARGET "                                                                    
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                                                                         

Chain FORWARD (policy DROP 0 packets, 0 bytes)                                                                                                                                                                                        
 pkts bytes target     prot opt in     out     source               destination                                                                                                                                                       
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 LOG flags 6 level 4 prefix "SFW2-FWD-ILL-ROUTING "                                                                  

Chain OUTPUT (policy ACCEPT 1444 packets, 1221K bytes)                                                                                                                                                                                
 pkts bytes target     prot opt in     out     source               destination                                                                                                                                                       
 2650  236K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0                                                                                                                                                         

Chain LOGDROP (1 references)                                                                                                                                                                                                          
 pkts bytes target     prot opt in     out     source               destination                                                                                                                                                       
18350  738K LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4 prefix "SSHD-BRUTE-FORCE-PROTECT "                                                                                       
18350  738K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                                                                         

Chain forward_ext (0 references)                                                                                                                                                                                                      
 pkts bytes target     prot opt in     out     source               destination                                                                                                                                                       

Chain input_ext (1 references)                                                                                                                                                                                                        
 pkts bytes target     prot opt in     out     source               destination                                                                                                                                                       
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            PKTTYPE = broadcast                                                                                                                          
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 4                                                                                                                                   
 8133  693K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8                                                                                                                                   
  936 53960 LOG        all  --  *      *       192.168.100.0/24     0.0.0.0/0            limit: avg 3/min burst 5 ctstate NEW LOG flags 6 level 4 prefix "SFW2-INext-ACC-TRUST "                                                      
 1591 87500 ACCEPT     all  --  *      *       192.168.100.0/24     0.0.0.0/0            ctstate NEW,RELATED,ESTABLISHED                                                                                                              
    0     0 LOG        all  --  *      *       192.168.1.0/24       0.0.0.0/0            limit: avg 3/min burst 5 ctstate NEW LOG flags 6 level 4 prefix "SFW2-INext-ACC-TRUST "                                                      
    0     0 ACCEPT     all  --  *      *       192.168.1.0/24       0.0.0.0/0            ctstate NEW,RELATED,ESTABLISHED                                                                                                              
   56  3428 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 tcp dpt:993 flags:0x17/0x02 LOG flags 6 level 4 prefix "SFW2-INext-ACC-TCP "                                        
  134 10250 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:993                                                                                                                                  
 5775  333K LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 tcp dpt:80 flags:0x17/0x02 LOG flags 6 level 4 prefix "SFW2-INext-ACC-TCP "                                         
17940 1003K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80                                                                                                                                   
  668 36256 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 tcp dpt:25 flags:0x17/0x02 LOG flags 6 level 4 prefix "SFW2-INext-ACC-TCP "                                         
 1938  101K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25                                                                                                                                   
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 tcp dpt:587 flags:0x17/0x02 LOG flags 6 level 4 prefix "SFW2-INext-ACC-TCP "                                        
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:587                                                                                                                                  
 1259 72720 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 tcp dpt:22 flags:0x17/0x02 LOG flags 6 level 4 prefix "SFW2-INext-ACC-TCP "                                         
 2414  126K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22                                                                                                                                   
 2990  143K LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 tcp dpt:21 flags:0x17/0x02 LOG flags 6 level 4 prefix "SFW2-INext-ACC-TCP "                                         
22581  973K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21
 1491 88548 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 tcp dpts:30000:30100 flags:0x17/0x02 LOG flags 6 level 4 prefix "SFW2-INext-ACC-TCP "
 3770  222K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:30000:30100
  219  116K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:500
  248 21527 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:4500
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            PKTTYPE = multicast
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            PKTTYPE = broadcast
 5524  242K LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix "SFW2-INext-DROP-DEFLT "
  239 21465 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 LOG flags 6 level 4 prefix "SFW2-INext-DROP-DEFLT "
  727  100K LOG        udp  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 ctstate NEW LOG flags 6 level 4 prefix "SFW2-INext-DROP-DEFLT "
27963 1313K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain reject_func (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with tcp-reset
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-proto-unreachable

Display More

Und hier vom StrongSwan OpenWRT-Router:

Code

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
40048 6710K delegate_input  all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
4431K 4511M delegate_forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
29019 5539K delegate_output  all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain delegate_forward (1 references)
 pkts bytes target     prot opt in     out     source               destination         
4431K 4511M forwarding_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for forwarding */
4417K 4510M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
14230  943K zone_lan_forward  all  --  br-lan *       0.0.0.0/0            0.0.0.0/0           
    0     0 zone_wan_forward  all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain delegate_input (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  327 40521 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
39721 6669K input_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for input */
22794 2611K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
  715 34272 syn_flood  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x02
 4954  304K zone_lan_input  all  --  br-lan *       0.0.0.0/0            0.0.0.0/0           
11973 3754K zone_wan_input  all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           


Chain delegate_output (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  327 40521 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
28692 5498K output_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for output */
25128 5228K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
   37 11036 zone_lan_output  all  --  *      br-lan  0.0.0.0/0            0.0.0.0/0           
 3527  259K zone_wan_output  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           


Chain forwarding_lan_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain forwarding_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain forwarding_wan_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain input_lan_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain input_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain input_wan_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain output_lan_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain output_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain output_wan_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain reject (3 references)
 pkts bytes target     prot opt in     out     source               destination         
  826 38892 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with tcp-reset
  325 55886 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable


Chain syn_flood (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  715 34272 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x02 limit: avg 25/sec burst 50
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain zone_lan_dest_ACCEPT (4 references)
 pkts bytes target     prot opt in     out     source               destination         
   37 11036 ACCEPT     all  --  *      br-lan  0.0.0.0/0            0.0.0.0/0           


Chain zone_lan_forward (1 references)
 pkts bytes target     prot opt in     out     source               destination         
14230  943K forwarding_lan_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for forwarding */
14230  943K zone_wan_dest_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* forwarding lan -> wan */
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT /* Accept port forwards */
    0     0 zone_lan_dest_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain zone_lan_input (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 4954  304K input_lan_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for input */
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT /* Accept port redirections */
 4954  304K zone_lan_src_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain zone_lan_output (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   37 11036 output_lan_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for output */
   37 11036 zone_lan_dest_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain zone_lan_src_ACCEPT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 4954  304K ACCEPT     all  --  br-lan *       0.0.0.0/0            0.0.0.0/0           


Chain zone_wan_dest_ACCEPT (2 references)
 pkts bytes target     prot opt in     out     source               destination         
17757 1202K ACCEPT     all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           


Chain zone_wan_dest_REJECT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 reject     all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           


Chain zone_wan_forward (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 forwarding_wan_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for forwarding */
    0     0 zone_lan_dest_ACCEPT  esp  --  *      *       0.0.0.0/0            0.0.0.0/0            /* @rule[8] */
    0     0 zone_lan_dest_ACCEPT  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:500 /* @rule[9] */
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT /* Accept port forwards */
    0     0 zone_wan_dest_REJECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain zone_wan_input (1 references)
 pkts bytes target     prot opt in     out     source               destination         
11973 3754K input_wan_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for input */
10800 3658K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:68 /* Allow-DHCP-Renew */
   21   780 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8 /* Allow-Ping */
    0     0 ACCEPT     2    --  *      *       0.0.0.0/0            0.0.0.0/0            /* Allow-IGMP */
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT /* Accept port redirections */
 1151 94778 zone_wan_src_REJECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain zone_wan_output (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 3527  259K output_wan_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for output */
 3527  259K zone_wan_dest_ACCEPT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain zone_wan_src_REJECT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 1151 94778 reject     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0

Display More

Klaus

kls · October 19, 2015 at 11:27 AM

Müsste sich da nicht eher was in der ´nat´ Table auf dem Client abspielen?
Die sieht hier so aus:

Code

root@OpenWrt:~# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 18256 packets, 2227K bytes)
 pkts bytes target     prot opt in     out     source               destination         
18256 2227K delegate_prerouting  all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain INPUT (policy ACCEPT 3245 packets, 313K bytes)
 pkts bytes target     prot opt in     out     source               destination         


Chain OUTPUT (policy ACCEPT 3624 packets, 275K bytes)
 pkts bytes target     prot opt in     out     source               destination         


Chain POSTROUTING (policy ACCEPT 122 packets, 11817 bytes)
 pkts bytes target     prot opt in     out     source               destination         
14840  989K delegate_postrouting  all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain delegate_postrouting (1 references)
 pkts bytes target     prot opt in     out     source               destination         
14840  989K postrouting_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for postrouting */
   26  7418 zone_lan_postrouting  all  --  *      br-lan  0.0.0.0/0            0.0.0.0/0           
14692  970K zone_wan_postrouting  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0           


Chain delegate_prerouting (1 references)
 pkts bytes target     prot opt in     out     source               destination         
18256 2227K prerouting_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for prerouting */
16926 2040K zone_lan_prerouting  all  --  br-lan *       0.0.0.0/0            0.0.0.0/0           
 1330  187K zone_wan_prerouting  all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           


Chain postrouting_lan_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain postrouting_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain postrouting_wan_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain prerouting_lan_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain prerouting_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain prerouting_wan_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination         


Chain zone_lan_postrouting (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   26  7418 postrouting_lan_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for postrouting */
   26  7418 MASQUERADE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain zone_lan_prerouting (1 references)
 pkts bytes target     prot opt in     out     source               destination         
16926 2040K prerouting_lan_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for prerouting */


Chain zone_wan_postrouting (1 references)
 pkts bytes target     prot opt in     out     source               destination         
14692  970K postrouting_wan_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for postrouting */
14692  970K MASQUERADE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           


Chain zone_wan_prerouting (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 1330  187K prerouting_wan_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for prerouting */

Display More

Klaus

ATD · October 19, 2015 at 11:18 PM

Klaus, bist Du schon weiter? Ich glaube das Wesen von StrongSwan verstanden zu haben.

Hier ist die Passende Literatur dazu, basics and firewall gehören mit zu der Partie

Wenn Du dennoch nicht weiter kommst, poste mal die /etc/config/ipsec, /var/ipsec.conf und
/var/strongswan.conf. Ich würde mich dann daran versuchen, heute aber nicht mehr.

Frage, damit wir nicht aneinander vorbei reden:

- Du hast einen Archer C7 mit OpenWRT, local 192.168.1.0/24, extern 188.xx.xx.113[cougar.tvdr.de].
- Du willst einen Tunnel zwischen Archer C7 und 88.xx.xx.220[racoon.tvdr.de].
- 88.xx.xx.220[racoon.tvdr.de] hat auch eine local IP oder Subnet. was trifft zu, local oder subnet?

Albert

kls · October 20, 2015 at 9:07 AM

Leider bin ich noch nicht weitergekommen. Der Tunnel selber steht zwar, aber es wird einfach kein Traffic durchgeroutet.

Danke für die Links. Ich bin zwar der Meinung, das alles schon mal gelesen zu haben, werde es aber gerne nochmal durchgehen. Vielleicht habe ich ja eine wichtige Kleinigkeit übersehen...

Die von dir genannten Config-Dateien gibt es so nicht. Was es gibt sind

/etc/strongswan.conf

Code

# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files


charon {
        load_modular = yes
        plugins {
                include strongswan.d/charon/*.conf
        }
}

Display More

wobei die Dateien in /etc/strongswan.d/charon unverändert so sind, wie sie installiert wurden.

/etc/ipsec.conf

Code

# ipsec.conf - strongSwan IPsec configuration file


# basic configuration


config setup
        # strictcrlpolicy=yes
        # uniqueids = no


# Add connections here.


conn cougar
        leftid=@cougar.tvdr.de
        left=%defaultroute
        leftfirewall=yes


conn racoon-cougarnet
        also=racoon
        also=cougar
        leftsubnet=192.168.1.0/24
        authby=secret
        auto=start


conn racoon
        rightid=@racoon.tvdr.de
        right=88.xx.xx.220

Display More

Zu deinen Fragen:
- ja
- ja
- 88.xx.xx.220[racoon.tvdr.de] hat keine lokale IP, es soll direkt mit seiner externen IP verbunden werden (so funktioniert das mit meinem anderen OpenWRT-Router mit OpenSwan auch).

Danke für deine Hilfe!

Klaus

ATD · October 20, 2015 at 9:54 PM

Klaus, versuche es mal damit, nachdem Du Deine ipsec.conf gesichert hast! Vergiss nicht die 88.xx.xx.220/32 zu ersetzen.

/etc/ipsec.conf

Code

# ipsec.conf - strongSwan IPsec configuration file


# basic configuration


config setup
        # strictcrlpolicy=yes
        # uniqueids = no


# Add connections here.


conn tunnel
        left=%any
	leftsubnet=192.168.1.0/24
        leftid=@cougar.tvdr.de
        leftfirewall=yes
        right=88.xx.xx.220
        rightid=@racoon.tvdr.de
        authby=secret
        auto=add

Display More

Möglich, dass ich leftid und rightid gecrosst habe, dann kehre sie um.

STOP, noch nicht benutzen!

Freigabe ohne Gewehr ab jetzt.

Albert

kls · October 22, 2015 at 10:57 AM

Ich hab das jetzt mal ausprobiert. Statt "auto=add" musste ich allerdings "auto=start" eintragen, weil sonst der Tunnel nicht aufgebaut wurde.

Das Ergebnis ist aber das Gleiche wie vorher. Der Tunnel wird erzeugt, aber es geht kein Traffic durch ihn.

Wenn ich das richtig sehe, dann hast du doch nichts anderes gemacht, als die "also=..." Zeilen zu vermeiden, oder?

Klaus

ATD · October 22, 2015 at 9:02 PM

Quote from kls

Wenn ich das richtig sehe, dann hast du doch nichts anderes gemacht, als die "also=..." Zeilen zu vermeiden, oder?

Nicht nur.

Zu Einem wollte ich eine einzige Connection im IPSec Bereich haben.
Zu Anderem habe ich auf left=%any gehofft. Die FW Regeln sollten laut Beschreibung von der StrongSwan Seite mit leftfirewall=yes automatisch angelegt werden.

Die StrongSwan Seite hat sehr viele Beispielkonfigurationen. Eins haben sie alle gemeinsam. Der Initiator ist immer der externe Tunnelende (88.xx.xx.220).

Dazu kommt noch erschwerend, dass OpenWRT StrongSwan mit gewissen Modifikationen implementiert hat.

Ich übergebe Dir den Link von der StrongSwan Seite, vielleicht findest Du im Dschungel den Weg eher. Das heißt nicht, dass ich schon aufgegeben habe.

Halbwegs passen sollte aus der Sektion ikev1 der dynamic-responder, mit der Annahme, dass Dein OpenWRT eine dynamische externe IP besitzt.
"The peers carol and moon both have dynamic IP addresses, so that the remote end is defined symbolically by right=<hostname>."

Albert

kls · October 23, 2015 at 9:18 AM

Was mir inzwischen aufgefallen ist: in den Beispielen wird immer mit IKE_V1 gearbeitet. Damit habe ich es aber von Anfang an nicht zum Laufen gebracht, weshalb ich relativ früh IKE_V2 probiert habe. Damit kam zumindest der Tunnel zustande.

Ich habe es heute nochmal mit explizit "keyexchange=ikev1" auf beiden Seiten probiert, aber damit kommt nicht einmal der Tunnel hoch.

Hier die Logs:

server

Oct 23 09:00:13 racoon charon: 15[NET] received packet: from 188.xx.xx.113[500] to 88.xx.xx.220[500] (248 bytes)
Oct 23 09:00:13 racoon charon: 15[ENC] parsed ID_PROT request 0 [ SA V V V V ]
Oct 23 09:00:13 racoon charon: 15[IKE] received XAuth vendor ID
Oct 23 09:00:13 racoon charon: 15[IKE] received DPD vendor ID
Oct 23 09:00:13 racoon charon: 15[IKE] received NAT-T (RFC 3947) vendor ID
Oct 23 09:00:13 racoon charon: 15[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Oct 23 09:00:13 racoon charon: 15[IKE] 188.xx.xx.113 is initiating a Main Mode IKE_SA
Oct 23 09:00:13 racoon charon: 15[IKE] 188.xx.xx.113 is initiating a Main Mode IKE_SA
Oct 23 09:00:13 racoon charon: 15[ENC] generating ID_PROT response 0 [ SA V V V ]
Oct 23 09:00:13 racoon charon: 15[NET] sending packet: from 88.xx.xx.220[500] to 188.xx.xx.113[500] (136 bytes)
Oct 23 09:00:14 racoon charon: 05[NET] received packet: from 188.xx.xx.113[500] to 88.xx.xx.220[500] (372 bytes)
Oct 23 09:00:14 racoon charon: 05[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Oct 23 09:00:14 racoon charon: 05[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Oct 23 09:00:14 racoon charon: 05[NET] sending packet: from 88.xx.xx.220[500] to 188.xx.xx.113[500] (372 bytes)
Oct 23 09:00:14 racoon charon: 02[NET] received packet: from 188.xx.xx.113[500] to 88.xx.xx.220[500] (108 bytes)
Oct 23 09:00:14 racoon charon: 02[ENC] invalid ID_V1 payload length, decryption failed?
Oct 23 09:00:14 racoon charon: 02[ENC] could not decrypt payloads
Oct 23 09:00:14 racoon charon: 02[IKE] message parsing failed
Oct 23 09:00:14 racoon charon: 02[ENC] generating INFORMATIONAL_V1 request 875346445 [ HASH N(PLD_MAL) ]
Oct 23 09:00:14 racoon charon: 02[NET] sending packet: from 88.xx.xx.220[500] to 188.xx.xx.113[500] (76 bytes)
Oct 23 09:00:14 racoon charon: 02[IKE] ID_PROT request with message ID 0 processing failed
Oct 23 09:00:18 racoon charon: 09[NET] received packet: from 188.xx.xx.113[500] to 88.xx.xx.220[500] (108 bytes)
Oct 23 09:00:18 racoon charon: 09[ENC] invalid ID_V1 payload length, decryption failed?
Oct 23 09:00:18 racoon charon: 09[ENC] could not decrypt payloads
Oct 23 09:00:18 racoon charon: 09[IKE] message parsing failed
Oct 23 09:00:18 racoon charon: 09[ENC] generating INFORMATIONAL_V1 request 1670221955 [ HASH N(PLD_MAL) ]
Oct 23 09:00:18 racoon charon: 09[NET] sending packet: from 88.xx.xx.220[500] to 188.xx.xx.113[500] (76 bytes)
Oct 23 09:00:18 racoon charon: 09[IKE] ID_PROT request with message ID 0 processing failed
Oct 23 09:00:25 racoon charon: 10[NET] received packet: from 188.xx.xx.113[500] to 88.xx.xx.220[500] (108 bytes)
Oct 23 09:00:25 racoon charon: 10[ENC] invalid ID_V1 payload length, decryption failed?
Oct 23 09:00:25 racoon charon: 10[ENC] could not decrypt payloads
Oct 23 09:00:25 racoon charon: 10[IKE] message parsing failed
Oct 23 09:00:25 racoon charon: 10[ENC] generating INFORMATIONAL_V1 request 942827231 [ HASH N(PLD_MAL) ]
Oct 23 09:00:25 racoon charon: 10[NET] sending packet: from 88.xx.xx.220[500] to 188.xx.xx.113[500] (76 bytes)
Oct 23 09:00:25 racoon charon: 10[IKE] ID_PROT request with message ID 0 processing failed
Oct 23 09:00:38 racoon charon: 12[NET] received packet: from 188.xx.xx.113[500] to 88.xx.xx.220[500] (108 bytes)
Oct 23 09:00:38 racoon charon: 12[ENC] invalid ID_V1 payload length, decryption failed?
Oct 23 09:00:38 racoon charon: 12[ENC] could not decrypt payloads
Oct 23 09:00:38 racoon charon: 12[IKE] message parsing failed
Oct 23 09:00:38 racoon charon: 12[ENC] generating INFORMATIONAL_V1 request 53155560 [ HASH N(PLD_MAL) ]
Oct 23 09:00:38 racoon charon: 12[NET] sending packet: from 88.xx.xx.220[500] to 188.xx.xx.113[500] (76 bytes)
Oct 23 09:00:38 racoon charon: 12[IKE] ID_PROT request with message ID 0 processing failed
Oct 23 09:00:43 racoon charon: 13[JOB] deleting half open IKE_SA after timeout

client

Fri Oct 23 09:00:13 2015 daemon.info syslog: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Fri Oct 23 09:00:13 2015 daemon.info syslog: 00[CFG] loaded IKE secret for @cougar.tvdr.de @racoon.tvdr.de
Fri Oct 23 09:00:13 2015 daemon.info syslog: 00[CFG] sql plugin: database URI not set
Fri Oct 23 09:00:13 2015 daemon.info syslog: 00[CFG] loaded 0 RADIUS server configurations
Fri Oct 23 09:00:13 2015 daemon.info syslog: 00[CFG] HA config misses local/remote address
Fri Oct 23 09:00:13 2015 daemon.info syslog: 00[CFG] coupling file path unspecified
Fri Oct 23 09:00:13 2015 daemon.info syslog: 00[LIB] loaded plugins: charon test-vectors ldap pkcs11 aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp agent xcbc cmac hmac ctr ccm gcm curl mysql sqlite attr kernel-netlink resolve socket-default farp stroke smp updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic xauth-eap dhcp whitelist led duplicheck uci addrblock uniFri Oct 23 09:00:13 2015 daemon.info syslog: 00[JOB] spawning 16 worker threads
Fri Oct 23 09:00:13 2015 authpriv.info ipsec_starter[20096]: charon (20097) started after 300 ms
Fri Oct 23 09:00:13 2015 daemon.info syslog: 07[CFG] received stroke: add connection 'racoon-cougarnet'
Fri Oct 23 09:00:13 2015 daemon.info syslog: 07[CFG] added configuration 'racoon-cougarnet'
Fri Oct 23 09:00:13 2015 daemon.info syslog: 09[CFG] received stroke: initiate 'racoon-cougarnet'
Fri Oct 23 09:00:13 2015 daemon.info syslog: 09[IKE] initiating Main Mode IKE_SA racoon-cougarnet[1] to 88.xx.xx.220
Fri Oct 23 09:00:13 2015 authpriv.info syslog: 09[IKE] initiating Main Mode IKE_SA racoon-cougarnet[1] to 88.xx.xx.220
Fri Oct 23 09:00:13 2015 daemon.info syslog: 09[ENC] generating ID_PROT request 0 [ SA V V V V ]
Fri Oct 23 09:00:13 2015 daemon.info syslog: 09[NET] sending packet: from 188.xx.xx.113[500] to 88.xx.xx.220[500] (248 bytes)
Fri Oct 23 09:00:13 2015 daemon.info syslog: 13[NET] received packet: from 88.xx.xx.220[500] to 188.xx.xx.113[500] (136 bytes)
Fri Oct 23 09:00:13 2015 daemon.info syslog: 13[ENC] parsed ID_PROT response 0 [ SA V V V ]
Fri Oct 23 09:00:13 2015 daemon.info syslog: 13[IKE] received XAuth vendor ID
Fri Oct 23 09:00:13 2015 daemon.info syslog: 13[IKE] received DPD vendor ID
Fri Oct 23 09:00:13 2015 daemon.info syslog: 13[IKE] received NAT-T (RFC 3947) vendor ID
Fri Oct 23 09:00:14 2015 daemon.info syslog: 13[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
Fri Oct 23 09:00:14 2015 daemon.info syslog: 13[NET] sending packet: from 188.xx.xx.113[500] to 88.xx.xx.220[500] (372 bytes)
Fri Oct 23 09:00:14 2015 daemon.info syslog: 11[NET] received packet: from 88.xx.xx.220[500] to 188.xx.xx.113[500] (372 bytes)
Fri Oct 23 09:00:14 2015 daemon.info syslog: 11[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
Fri Oct 23 09:00:14 2015 daemon.info syslog: 11[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Fri Oct 23 09:00:14 2015 daemon.info syslog: 11[NET] sending packet: from 188.xx.xx.113[500] to 88.xx.xx.220[500] (108 bytes)
Fri Oct 23 09:00:14 2015 daemon.info syslog: 08[NET] received packet: from 88.xx.xx.220[500] to 188.xx.xx.113[500] (76 bytes)
Fri Oct 23 09:00:14 2015 daemon.info syslog: 08[ENC] invalid HASH_V1 payload length, decryption failed?
Fri Oct 23 09:00:14 2015 daemon.info syslog: 08[ENC] could not decrypt payloads
Fri Oct 23 09:00:14 2015 daemon.info syslog: 08[IKE] message parsing failed
Fri Oct 23 09:00:14 2015 daemon.info syslog: 08[IKE] ignore malformed INFORMATIONAL request
Fri Oct 23 09:00:14 2015 daemon.info syslog: 08[IKE] INFORMATIONAL_V1 request with message ID 875346445 processing failed
Fri Oct 23 09:00:18 2015 daemon.info syslog: 16[IKE] sending retransmit 1 of request message ID 0, seq 3
Fri Oct 23 09:00:18 2015 daemon.info syslog: 16[NET] sending packet: from 188.xx.xx.113[500] to 88.xx.xx.220[500] (108 bytes)
Fri Oct 23 09:00:18 2015 daemon.info syslog: 11[NET] received packet: from 88.xx.xx.220[500] to 188.xx.xx.113[500] (76 bytes)
Fri Oct 23 09:00:18 2015 daemon.info syslog: 11[ENC] invalid HASH_V1 payload length, decryption failed?
Fri Oct 23 09:00:18 2015 daemon.info syslog: 11[ENC] could not decrypt payloads
Fri Oct 23 09:00:18 2015 daemon.info syslog: 11[IKE] message parsing failed
Fri Oct 23 09:00:18 2015 daemon.info syslog: 11[IKE] ignore malformed INFORMATIONAL request
Fri Oct 23 09:00:18 2015 daemon.info syslog: 11[IKE] INFORMATIONAL_V1 request with message ID 1670221955 processing failed
Fri Oct 23 09:00:25 2015 daemon.info syslog: 16[IKE] sending retransmit 2 of request message ID 0, seq 3
Fri Oct 23 09:00:25 2015 daemon.info syslog: 16[NET] sending packet: from 188.xx.xx.113[500] to 88.xx.xx.220[500] (108 bytes)
Fri Oct 23 09:00:25 2015 daemon.info syslog: 08[NET] received packet: from 88.xx.xx.220[500] to 188.xx.xx.113[500] (76 bytes)
Fri Oct 23 09:00:25 2015 daemon.info syslog: 08[ENC] invalid HASH_V1 payload length, decryption failed?
Fri Oct 23 09:00:25 2015 daemon.info syslog:08[ENC] could not decrypt payloads
Fri Oct 23 09:00:25 2015 daemon.info syslog: 08[IKE] message parsing failed
Fri Oct 23 09:00:25 2015 daemon.info syslog: 08[IKE] ignore malformed INFORMATIONAL request
Fri Oct 23 09:00:25 2015 daemon.info syslog: 08[IKE] INFORMATIONAL_V1 request with message ID 942827231 processing failed
Fri Oct 23 09:00:38 2015 daemon.info syslog: 09[IKE] sending retransmit 3 of request message ID 0, seq 3
Fri Oct 23 09:00:38 2015 daemon.info syslog: 09[NET] sending packet: from 188.xx.xx.113[500] to 88.xx.xx.220[500] (108 bytes)
Fri Oct 23 09:00:38 2015 daemon.info syslog: 13[NET] received packet: from 88.xx.xx.220[500] to 188.xx.xx.113[500] (76 bytes)
Fri Oct 23 09:00:38 2015 daemon.info syslog: 13[ENC] invalid HASH_V1 payload length, decryption failed?
Fri Oct 23 09:00:38 2015 daemon.info syslog: 13[ENC] could not decrypt payloads
Fri Oct 23 09:00:38 2015 daemon.info syslog: 13[IKE] message parsing failed
Fri Oct 23 09:00:38 2015 daemon.info syslog: 13[IKE] ignore malformed INFORMATIONAL request
Fri Oct 23 09:00:38 2015 daemon.info syslog: 13[IKE] INFORMATIONAL_V1 request with message ID 53155560 processing failed

Klaus

ATD · October 23, 2015 at 7:40 PM

Quote from kls

Was mir inzwischen aufgefallen ist: in den Beispielen wird immer mit IKE_V1 gearbeitet.

Das stimmt nicht ganz. Ein schritt zurück in dem Link behandelt ziemlich alles.

Schau Dir darunter swanctl / rw-psk-ipv4 an. Dort wird aber in die strongswan.conf und swanctl.conf eingegriffen. Letzteres hast Du aber nicht oder doch?

Mich wundert es sehr, dass ein OpenWRT den integrierten strongSwan nicht alleine handelt. Wenn man strongSwan ganz normal loadet und installiert, dann erledigt ein leftfirewall=yes alle FW Regeln.

Hast Du für die Konfiguration einen WFE oder geht alles mit SSH oder gar Telnet?

Albert

ATD · October 23, 2015 at 8:44 PM

Klaus, was eigentlich spricht dagegen, wenn Du auf OpenVPN setzt? Dazu gibt es sehr handfeste Anleitungen und auch ein Tunnel-Interface. Auch ohne Oberfläche.

Albert

magicteddy · October 24, 2015 at 1:03 AM

Moin, etwas spät,

Quote from sparkie

Welche WLAN Ansprueche sollen sich mit dem APU.1D4 nicht umsetzen lassen?

Soweit ich weiß kein 802.11AC und zickiges 802.11n

-teddy

sparkie · October 24, 2015 at 6:16 PM

Quote from magicteddy

weit ich weiß kein 802.11AC und zickiges 802.11n

kann ich nicht bestaetigen. Ich bin mittlerweile Fan vom APU 1d4.. Damit habe ich inzwischen etliche Dual-Band Accesspoints/Router gebaut. An wireless miniPCIe Boards gibt es speziell von Mikrotik alles was man braucht:

R11e-2HnD
R11e-2HPnD
R11e-5HnD
R11e-5HacD

einfach auf http://routerboard.com danach suchen. In 'hostapd' ist der 802.11ac mode per default deaktiviert. Kann aber eingeschaltet werden per Compiletime-Option. Habe ich aber noch nicht getestet, da ich diesen Mode fuer voellig ueberfluessig halte.

ATD · October 24, 2015 at 8:00 PM

Klaus, je mehr ich lese, desto mehr glaube ich, dass wir den Fehler an der falschen Stelle suchen. StrongSwan ist lediglich eine vollständige IPSec-Umsetzung und primär für IKEv2. Da der Tunnel aufgebaut wurde, hat es seine Arbeit verrichtet.

Jetzt suchen wir nach dem Grund an eine andere Stelle, warum die Pakete nicht über den Tunnel gehen. Das wird in einem anderen Teil in OpenWRT versteckt sein. Wenn OpenWRT routet, dann sieht es tatsächlich so aus, dass der FW die Rolle übernimmt, denn per Default bridget er!

Hast Du für mich eine /etc/config/firewall und wenn Du einmal dabei bist die /etc/config/network auch.

Albert

kls · October 24, 2015 at 11:39 PM

/etc/config/firewall

Code

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'


config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'


config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'


config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fe80::/10'
        option src_port '547'
        option dest_ip 'fe80::/10'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'


config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'


config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'


config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'


config rule
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'
        option src_ip '88.xx.xx.220'


config rule
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'
        option src_ip '88.xx.xx.220'


config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'


config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option masq '1'


config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'


config forwarding
        option src 'lan'
        option dest 'wan'


config include
        option path '/etc/firewall.user'

Display More

Die /etc/firewall.user ist leer.

/etc/config/network

Code

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'


config globals 'globals'
        option ula_prefix 'fd4c:dd00:f364::/48'


config interface 'lan'
        option ifname 'eth1'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '60'


config interface 'wan'
        option ifname 'eth0'
        option proto 'dhcp'


config interface 'wan6'
        option ifname 'eth0'
        option proto 'dhcpv6'
        option auto '0'
        option delegate '0'
        option reqaddress 'try'
        option reqprefix 'auto'
        option defaultroute '0'
        option peerdns '0'


config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'


config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 2 3 4 5'


config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '1 6'

Display More

[Suche] Empfehlung für Router mit Kabel Deutschland unter openWRT

Participate now!

Users Viewing This Thread