[Suche] Empfehlung für Router mit Kabel Deutschland unter openWRT

ATD · October 26, 2015 at 10:11 PM

Klaus, noch ein versuch, wenn Du magst.

/etc/ipsec.conf

Code

# ipsec.conf - strongSwan IPsec configuration file


# basic configuration


config setup
        # strictcrlpolicy=yes
        # uniqueids = no


# Add connections here.


conn tunnel
        left=%any
        leftid=@cougar.tvdr.de
        leftsubnet=192.168.1.0/24
        leftfirewall=yes
        right=88.xx.xx.220
        rightid=@racoon.tvdr.de
        authby=secret
        auto=start

Display More

Nachdem die neue ipsec.conf aktiviert wurde, versuche bitte in der /etc/config/firewall, in der zone 'lan' option masq '1' zu option masq '0' zu setzen. Ich glaube, das interne Netz sollte nicht maskiert werden.

Poste dann die Ausgabe von iptables -L.

Was mir noch einfällt, mit 'ipsec statusall' vorher und nachher überprüfen auf welche IPs er mit left=%any bzw. left=%defaultroute lauscht.

Ist die Adresse 188.xx.xx.113 auch statisch?

Albert

kls · October 27, 2015 at 9:20 AM

iptables -L -n

Code

root@OpenWrt:/etc/config# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
delegate_input  all  --  0.0.0.0/0            0.0.0.0/0           


Chain FORWARD (policy DROP)
target     prot opt source               destination         
delegate_forward  all  --  0.0.0.0/0            0.0.0.0/0           


Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
delegate_output  all  --  0.0.0.0/0            0.0.0.0/0           


Chain delegate_forward (1 references)
target     prot opt source               destination         
forwarding_rule  all  --  0.0.0.0/0            0.0.0.0/0            /* user chain for forwarding */
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
zone_lan_forward  all  --  0.0.0.0/0            0.0.0.0/0           
zone_wan_forward  all  --  0.0.0.0/0            0.0.0.0/0           
reject     all  --  0.0.0.0/0            0.0.0.0/0           


Chain delegate_input (1 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
input_rule  all  --  0.0.0.0/0            0.0.0.0/0            /* user chain for input */
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
syn_flood  tcp  --  0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x02
zone_lan_input  all  --  0.0.0.0/0            0.0.0.0/0           
zone_wan_input  all  --  0.0.0.0/0            0.0.0.0/0           


Chain delegate_output (1 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
output_rule  all  --  0.0.0.0/0            0.0.0.0/0            /* user chain for output */
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
zone_lan_output  all  --  0.0.0.0/0            0.0.0.0/0           
zone_wan_output  all  --  0.0.0.0/0            0.0.0.0/0           


Chain forwarding_lan_rule (1 references)
target     prot opt source               destination         


Chain forwarding_rule (1 references)
target     prot opt source               destination         


Chain forwarding_wan_rule (1 references)
target     prot opt source               destination         


Chain input_lan_rule (1 references)
target     prot opt source               destination         


Chain input_rule (1 references)
target     prot opt source               destination         


Chain input_wan_rule (1 references)
target     prot opt source               destination         


Chain output_lan_rule (1 references)
target     prot opt source               destination         


Chain output_rule (1 references)
target     prot opt source               destination         


Chain output_wan_rule (1 references)
target     prot opt source               destination         


Chain reject (3 references)
target     prot opt source               destination         
REJECT     tcp  --  0.0.0.0/0            0.0.0.0/0            reject-with tcp-reset
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable


Chain syn_flood (1 references)
target     prot opt source               destination         
RETURN     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x02 limit: avg 25/sec burst 50
DROP       all  --  0.0.0.0/0            0.0.0.0/0           


Chain zone_lan_dest_ACCEPT (4 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           


Chain zone_lan_forward (1 references)
target     prot opt source               destination         
forwarding_lan_rule  all  --  0.0.0.0/0            0.0.0.0/0            /* user chain for forwarding */
zone_wan_dest_ACCEPT  all  --  0.0.0.0/0            0.0.0.0/0            /* forwarding lan -> wan */
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate DNAT /* Accept port forwards */
zone_lan_dest_ACCEPT  all  --  0.0.0.0/0            0.0.0.0/0           


Chain zone_lan_input (1 references)
target     prot opt source               destination         
input_lan_rule  all  --  0.0.0.0/0            0.0.0.0/0            /* user chain for input */
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate DNAT /* Accept port redirections */
zone_lan_src_ACCEPT  all  --  0.0.0.0/0            0.0.0.0/0           


Chain zone_lan_output (1 references)
target     prot opt source               destination         
output_lan_rule  all  --  0.0.0.0/0            0.0.0.0/0            /* user chain for output */
zone_lan_dest_ACCEPT  all  --  0.0.0.0/0            0.0.0.0/0           


Chain zone_lan_src_ACCEPT (1 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           


Chain zone_wan_dest_ACCEPT (2 references)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           


Chain zone_wan_dest_REJECT (1 references)
target     prot opt source               destination         
reject     all  --  0.0.0.0/0            0.0.0.0/0           


Chain zone_wan_forward (1 references)
target     prot opt source               destination         
forwarding_wan_rule  all  --  0.0.0.0/0            0.0.0.0/0            /* user chain for forwarding */
zone_lan_dest_ACCEPT  esp  --  88.xx.xx.220        0.0.0.0/0            /* @rule[8] */
zone_lan_dest_ACCEPT  udp  --  88.xx.xx.220        0.0.0.0/0            udp dpt:500 /* @rule[9] */
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate DNAT /* Accept port forwards */
zone_wan_dest_REJECT  all  --  0.0.0.0/0            0.0.0.0/0           


Chain zone_wan_input (1 references)
target     prot opt source               destination         
input_wan_rule  all  --  0.0.0.0/0            0.0.0.0/0            /* user chain for input */
ACCEPT     tcp  --  88.xx.xx.220        0.0.0.0/0            tcp dpt:22 /* Allow-SSH-from-racoon */
ACCEPT     udp  --  88.xx.xx.220        0.0.0.0/0            udp dpt:22 /* Allow-SSH-from-racoon */
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:68 /* Allow-DHCP-Renew */
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8 /* Allow-Ping */
ACCEPT     2    --  0.0.0.0/0            0.0.0.0/0            /* Allow-IGMP */
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate DNAT /* Accept port redirections */
zone_wan_src_REJECT  all  --  0.0.0.0/0            0.0.0.0/0           


Chain zone_wan_output (1 references)
target     prot opt source               destination         
output_wan_rule  all  --  0.0.0.0/0            0.0.0.0/0            /* user chain for output */
zone_wan_dest_ACCEPT  all  --  0.0.0.0/0            0.0.0.0/0           


Chain zone_wan_src_REJECT (1 references)
target     prot opt source               destination         
reject     all  --  0.0.0.0/0            0.0.0.0/0

Display More

Am Verhalten hat sich dadurch leider nichts geändert.

ipsec statusall mit left=%any

Code

no files found matching '/etc/strongswan.d/*.conf'
Status of IKE charon daemon (strongSwan 5.3.3, Linux 3.18.20, mips):
  uptime: 7 minutes, since Oct 27 09:06:05 2015
  malloc: sbrk 258048, mmap 0, used 234584, free 23464
  worker threads: 9 of 16 idle, 7/0/0/0 working, job queue: 0/0/0/0, scheduled: 3
  loaded plugins: charon test-vectors ldap pkcs11 aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp agent xcbc cmac hmac ctr ccm gcm curl mysql sqlite attr kernel-netlink resolve socket-default farp stroke smp updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic xauth-eap dhcp whitelist led duplicheck uci addrblock unity
Listening IP addresses:
  188.xx.xx.113
  192.168.1.1
  fd4c:dd00:f364::1
Connections:
      tunnel:  %any...88.xx.xx.220  IKEv1/2
      tunnel:   local:  [cougar.tvdr.de] uses pre-shared key authentication
      tunnel:   remote: [racoon.tvdr.de] uses pre-shared key authentication
      tunnel:   child:  192.168.1.0/24 === dynamic TUNNEL
Security Associations (1 up, 0 connecting):
      tunnel[1]: ESTABLISHED 7 minutes ago, 188.xx.xx.113[cougar.tvdr.de]...88.xx.xx.220[racoon.tvdr.de]
      tunnel[1]: IKEv2 SPIs: d964ccd12b4310aa_i* ee494154c2db9ebf_r, pre-shared key reauthentication in 2 hours
      tunnel[1]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
      tunnel{1}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: c3122863_i c5326b01_o
      tunnel{1}:  AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 0 bytes_o, rekeying in 38 minutes
      tunnel{1}:   192.168.1.0/24 === 88.xx.xx.220/32

Display More

ipsec statusall mit left=%defaultroute

Code

no files found matching '/etc/strongswan.d/*.conf'
Status of IKE charon daemon (strongSwan 5.3.3, Linux 3.18.20, mips):
  uptime: 9 seconds, since Oct 27 09:16:19 2015
  malloc: sbrk 258048, mmap 0, used 234544, free 23504
  worker threads: 9 of 16 idle, 7/0/0/0 working, job queue: 0/0/0/0, scheduled: 3
  loaded plugins: charon test-vectors ldap pkcs11 aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp agent xcbc cmac hmac ctr ccm gcm curl mysql sqlite attr kernel-netlink resolve socket-default farp stroke smp updown eap-identity eap-md5 eap-mschapv2 eap-radius eap-tls xauth-generic xauth-eap dhcp whitelist led duplicheck uci addrblock unity
Listening IP addresses:
  188.xx.xx.113
  192.168.1.1
  fd4c:dd00:f364::1
Connections:
      tunnel:  %any...88.xx.xx.220  IKEv1/2
      tunnel:   local:  [cougar.tvdr.de] uses pre-shared key authentication
      tunnel:   remote: [racoon.tvdr.de] uses pre-shared key authentication
      tunnel:   child:  192.168.1.0/24 === dynamic TUNNEL
Security Associations (1 up, 0 connecting):
      tunnel[1]: ESTABLISHED 8 seconds ago, 188.xx.xx.113[cougar.tvdr.de]...88.xx.xx.220[racoon.tvdr.de]
      tunnel[1]: IKEv2 SPIs: 16a174f5697a5d99_i* 5b200d31046607a9_r, pre-shared key reauthentication in 2 hours
      tunnel[1]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
      tunnel{1}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: c2433234_i c8889566_o
      tunnel{1}:  AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 0 bytes_o, rekeying in 42 minutes
      tunnel{1}:   192.168.1.0/24 === 88.xx.xx.220/32

Display More

Die Adresse 188.xx.xx.113 ist nicht statisch. Allerdings macht Kabel-Deutschland keine "Zwangstrennung", so daß man die IP anscheinend bis zum nächsten Reboot des Routers behält.

Klaus

kls · October 27, 2015 at 10:00 AM

Ich lese seit einiger Zeit immer wieder diese Seite hier:

http://wiki.openwrt.org/doc/howto/vpn.ipsec.firewall

Zunächst meint man ja, hier wäre alles beschrieben, was man braucht. Aber wenn man dann genauer hinschaut erkennt man, daß der Autor zwar vermutlich eine Menge von der Materie versteht, aber überhaupt nicht in der Lage ist, sein Wissen in nachvollziehbarer Weise zu vermitteln. Nichts von dem, was da steht, ist für mich nachvollzieh- bzw. anwendbar.

Das Script am Ende hatte einige Hoffnungen bei mir erweckt, aber es scheiterte schon zu Beginn daran, daß es bei mir kein /etc/functions.sh gibt. Gut, das habe ich dann in /lib/functions.sh gefunden und das Script entsprechend geändert. Die Zone 'vpn' habe ich mittels LuCI auch noch anlegen können. Aber dann setzt es aus. Das Script bringt nur lauter Fehlermeldungen, und der Wiki-Text listet zwar jede Menge Firewall-Regeln auf, erwähnt aber mit keinem Wort, wie man diese erzeugen soll.

Es wäre ja auch zu einfach gewesen, wenn der Autor ein *komplettes* und *funktionsfähiges* Script veröffentlicht hätte... :-(.

Klaus

ATD · October 27, 2015 at 9:53 PM

Quote from kls

Nichts von dem, was da steht, ist für mich nachvollzieh- bzw. anwendbar.

Die passende Anleitung ist es definitiv nicht. Er redet von der LuCI Automatik, was mit den Script endet.

"Finally we have a look at the script. It injects all the additionally required settings according to /etc/config/ipsec into the OpenWrt firewall."

Aber eine /etc/config/ipsec ist bei Dir nicht vorhanden.

Darüber hinaus enthält Deine iptables -L -n Ausgabe den esp Protokoll und udp 500 lediglich in der zone_wan_forward, wo sie nichts zu verlieren haben. In der zone_wan_input und zone_wan_output fehlen sie dagegen. Den udp 4500 vermisse ich gänzlich.

Ein halbwegs vernünftiger iptables -L Ausgabe dürfte ungefähr so (bzw. analog dazu) aussehen.

iptables -L

Code

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    2   304 ACCEPT     esp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     ah   --  eth0   *       0.0.0.0/0            0.0.0.0/0           
    2  2280 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp spt:500 dpt:500
    2  3608 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp spt:4500 dpt:4500
  119 25060 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22


Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    1    84 ACCEPT     all  --  eth0   *       88.xx.xx.220         192.168.1.0/24      policy match dir in pol ipsec reqid 1 proto 50
    1    84 ACCEPT     all  --  *      eth0    192.168.1.0/24       88.xx.xx.220        policy match dir out pol ipsec reqid 1 proto 50


Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    2   304 ACCEPT     esp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     ah   --  *      eth0    0.0.0.0/0            0.0.0.0/0           
    2  1018 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp spt:500 dpt:500
    2  3288 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp spt:4500 dpt:4500
  152 58504 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:22

Display More

So forschen wir also weiter.

Albert

kls · October 29, 2015 at 5:22 PM

Kannst du mir vielleicht eine /etc/config/firewall geben, die diese iptable-Einstellungen bewirkt?
Oder auch einfach eine Liste von entsprechenden iptables-Befehlen.
Dann würde ich damit mal testen.

Klaus

ATD · October 29, 2015 at 11:24 PM

Quote from kls

Kannst du mir vielleicht eine /etc/config/firewall geben, die diese iptable-Einstellungen bewirkt?

Nur mit Vorbehalt zurzeit. Warum Vorbehalt: die Doku erwähnt, dass die Zone VPN mit LuCI angelegt werden sollte und hat keinen physikalischen Interface.
Soweit warst Du schon, "Die Zone 'vpn' habe ich mittels LuCI auch noch anlegen können.". Meine Vermutung ist, dass wenn Du VPN mit LuCI anlegst, dann entsteht doch die /etc/config/ipsec und hat einen Inhalt.
Wenn es so ist, dann würde es mich sehr interessieren, was dort drin steht! Wenn nicht, dann hätte ich noch eine Idee.

Noch etwas: The iptables rules generated for this section rely on the state match which needs connection tracking to work. At least one of the src or dest zones needs to have connection tracking enabled through either the masq or the conntrack option. Das habe ich jetzt entsprechend geändert.

/etc/ipsec.conf

Code

# ipsec.conf - strongSwan IPsec configuration file


# basic configuration


config setup
        # strictcrlpolicy=yes
        # uniqueids = no


# Add connections here.


conn vpn
        left=%any
        leftid=@cougar.tvdr.de
        leftsubnet=192.168.1.0/24
        leftfirewall=no
        right=88.xx.xx.220
        rightid=@racoon.tvdr.de
        authby=secret
        auto=start

Display More

/etc/config/firewall

Code

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'


config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'


config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'


config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fe80::/10'
        option src_port '547'
        option dest_ip 'fe80::/10'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'


config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'


config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'


config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'


config rule
        option src 'wan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option src 'wan'
        option proto 'udp'
        option dest_port '500'
        option target 'ACCEPT'

config rule
        option src 'wan'
        option proto 'udp'
        option dest_port '4500'
        option target 'ACCEPT'

config rule
        option src 'wan'
        option proto 'ah'
        option target 'ACCEPT'


config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'


config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option masq '1'


config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'


config zone
	option name 'vpn'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
	option conntrack '1'


config forwarding
        option src 'vpn'
        option dest 'lan'
 
config forwarding
        option src 'lan'
        option dest 'vpn'


config forwarding
        option src 'vpn'
        option dest 'wan'


config forwarding
        option src 'lan'
        option dest 'wan'


config include
        option path '/etc/firewall.user'

Display More

/etc/firewall.user

Code

iptables -I INPUT  -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD  -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD  -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I OUTPUT   -m policy --dir out --pol ipsec --proto esp -j ACCEPT

Albert

kls · October 30, 2015 at 9:27 AM

Eine /etc/config/ipsec ist bei mir nicht automatisch entstanden.

Deine drei Dateien habe ich eingespielt und

/etc/init.d/firewall restart
/etc/init.d/ipsec restart

gemacht. Leider ist das Verhalten immer noch unverändert...

Klaus

M-Reimer · October 30, 2015 at 10:24 AM

Kann es sein, dass man das ganze, wenn man OpenVPN nutzt, via Webinterface (LUCI) machen kann? Sieht hier auf dem ersten Blick so aus:
http://wiki.openwrt.org/doc/howto/vpn.client.openvpn.tun

kls · October 30, 2015 at 10:36 AM

Leider ist OpenVPN unter OpenWRT 15.05 ("Chaos Calmer") nicht verfügbar. Über 'opkg' kann man da nur StrongSWAN installieren.

Klaus

kls · October 30, 2015 at 10:43 AM

Hoppala! Jetzt habe ich das hier gefunden:

https://www.portunity.de/access/wiki/Ei…,_IPv4_und_IPv6

Das sieht auf den ersten Blick nicht schlecht aus.
Ich spiele das jetzt mal durch...

Klaus

kls · October 30, 2015 at 11:13 AM

Hmm, kann es sein, daß man OpenVPN und StrongSWAN nicht "mischen" kann? Also StrongSWAN auf dem Server und OpenVPN auf dem Client?
Wenn nicht, dann ist OpenVPN für mich obsolet, denn auf dem Server läuft auf jeden Fall StrongSWAN.

Bliebe nur noch die Möglichkeit, OpenSWAN auf dem neuen Router zu installieren, denn unter der älteren Version von OpenWRT klappt das ja. Nur leider finde ich keine Möglichkeit, OpenSWAN unter OpenWRT 15.05 zu installieren...

Klaus

_Martin_ · October 30, 2015 at 12:55 PM

naja meines Wissen ist strongswan halt ipsec und openvpn halt openvpn das sind zwei komplett unterschiedliche Sachen.

Hast du dir das schon mal durchgelesen?
http://wiki.openwrt.org/doc/howto/vpn.ipsec.basics

ka ob das hilft war nur der erste Treffer in google

Grüße
Martin

ATD · October 30, 2015 at 9:34 PM

Quote from kls

Hmm, kann es sein, daß man OpenVPN und StrongSWAN nicht "mischen" kann?

OpenVPN und strongSwan auf demselben Server mit dem gleichen Protokoll kann es nicht gehen. Sind die Protokolle unterschiedlich, z.B. IPSec und PPTP, dann kann es schon funktionieren, aber wofür die Mühe? An Deiner Stelle würde ich strongSwan doch noch eine Chance geben. OpenVPN soll um Einiges behäbiger sein, was die Benchmarks betrifft. Wie auch immer, auf dem Server stehst Du in beiden Fällen vor dasselbe Problem: Firewall Konfiguration.

Quote from kls

Also StrongSWAN auf dem Server und OpenVPN auf dem Client?

Was läuft auf dem Client? OpneVPN?

Wenn Du die Lust noch nicht verloren hast, gehen wir die Sache Schritt für Schritt durch:

1. Zeige bitte die Ausgabe von ifconfig. Deine /etc/config/network kenne ich schon, aber wer weiß.

2. Lege die Zone nach birnenschnitzels Anleitung an:

(LuCI -> Network -> Firewall -> Zones -> Add
Name: vpn
Input: reject
Output: accept
Forward: reject
Allow forward from source zones: Haken.
Alles Andere nicht definieren, kein Haken!)

und zeige bitte den Screenshot mit der VPN Zone ab Zone ==> Forwardings.

Ich hoffe vpn: (empty) wird dann angezeigt.

Albert

kls · October 30, 2015 at 10:31 PM

Quote from ATD

An Deiner Stelle würde ich strongSwan doch noch eine Chance geben.

Gerne! Wäre mir auch lieber, nur *eine* Variante zu haben ;-).

Quote

...auf dem Server stehst Du in beiden Fällen vor dasselbe Problem: Firewall Konfiguration.

Nur damit da kein Mißverständnis besteht: das Problem ist der Client! Der Server (openSUSE 13.2 mit StrongSWAN) funktioniert wunderbar mit einem anderen Client (OpenWRT 10.03.1 "Backfire" mit openSWAN).

Quote

Was läuft auf dem Client? OpneVPN?

Auf dem "Problem-Client" läuft openWRT 15.05 mit StrongSWAN 5.3.3-1.

Quote

Wenn Du die Lust noch nicht verloren hast,...

Keinesfalls - ich brauch unbedingt eine Lösung!
Danke, daß du so viel Geduld hast ;-).

Quote

1. Zeige bitte die Ausgabe von ifconfig. Deine /etc/config/network kenne ich schon, aber wer weiß.

ifconfig

Code

br-lan    Link encap:Ethernet  HWaddr 14:CC:20:E5:92:DE  
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fd4c:dd00:f364::1/60 Scope:Global
          inet6 addr: fe80::16cc:20ff:fee5:92de/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6886439 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13248463 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:490190249 (467.4 MiB)  TX bytes:18405557546 (17.1 GiB)


eth0      Link encap:Ethernet  HWaddr 14:CC:20:E5:92:DF  
          inet addr:188.xx.xx.113  Bcast:188.xx.xx.255  Mask:255.255.255.0
          inet6 addr: fe80::xxx:xxx:fee5:92df/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:33663964 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6561557 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:2510037854 (2.3 GiB)  TX bytes:552669295 (527.0 MiB)
          Interrupt:4 


eth1      Link encap:Ethernet  HWaddr 14:CC:20:E5:92:DE  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4396131 errors:0 dropped:16 overruns:0 frame:0
          TX packets:9537097 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:323931898 (308.9 MiB)  TX bytes:1186394650 (1.1 GiB)
          Interrupt:5 


lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:4393 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4393 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:563784 (550.5 KiB)  TX bytes:563784 (550.5 KiB)


wlan0     Link encap:Ethernet  HWaddr 14:CC:20:E5:92:DC  
          inet6 addr: fe80::16cc:20ff:fee5:92dc/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:83078 errors:0 dropped:0 overruns:0 frame:0
          TX packets:250386 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:10954840 (10.4 MiB)  TX bytes:232725844 (221.9 MiB)


wlan1     Link encap:Ethernet  HWaddr 14:CC:20:E5:92:DD  
          inet6 addr: fe80::16cc:20ff:fee5:92dd/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2591867 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3815120 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:291812968 (278.2 MiB)  TX bytes:4253201533 (3.9 GiB)

Display More

Quote

2. Lege die Zone nach birnenschnitzels Anleitung an:
...
und zeige bitte den Screenshot mit der VPN Zone ab Zone ==> Forwardings.

Ich hoffe vpn: (empty) wird dann angezeigt.

Siehe Anhang.

Klaus

ATD · October 30, 2015 at 11:51 PM

OK, das sind weitere verwertbare Informationen.

Der Client ist OpenWRT mit einem public IP und mit einem Subnet. Du hast aber auch einen Server.

Quote from kls

88.xx.xx.220[racoon.tvdr.de] hat keine lokale IP

Wieso hat er keinen Subnet, nur public IP? Ich spreche es deswegen an, weil dass die Sache enorm vereinfachter würde, wenn er auch einen Subnet hätte. Du willst doch nicht auf einem public IP, sondern auf die Adresse(n) dahinter landen. Oder?

Auf dem Screenschot wird die These von birnenschnitzel deutlich bestätigt, warum die Tunnel nicht greift. Auf dem Bild als forward liegt wan vor vpn! Genau darin liegt unser (lösbares) Problem, bzw. es gibt bereits forwards, aber verquer.

Morgen, nicht gleich früh, kommt von mir mehr.

Albert

kls · October 31, 2015 at 2:53 PM

Quote from ATD

Wieso hat er keinen Subnet, nur public IP?

Der Server ist nur ein einzelner Rechner, der beim Provider steht und eine feste IP hat. Es gibt keine Rechner "dahinter".
Über das VPN habe ich meinen OpenWRT-Router zuhause (und dessen lokales Netz) an den Server angebunden, so daß dieser z.B. Emails in mein lokales Netz zustellen kann, obwohl mein Router alle 24 Stunden eine neue IP von der Telekom bekommt. OK, letzteres Problem wäre bei Kabel-Deutschland nicht mehr so dramatisch, weil da die IP konstant bleibt, so lange der KD-Router (ich betreibe ihn im Bridge-Mode) nicht neu gebootet wird. Aber grundsätzlich muß ich auch hier damit zurecht kommen, daß die IP nicht fest ist.

Klaus

sparkie · October 31, 2015 at 7:57 PM

warum eigentlich nicht VPN ueber ssh (Option -w) nutzen? Die dazu noetigen ssh Features sollten ja immerhin sogar auf so einem verkorksten Router-System wie z.B. OpenWRT laufen:-)

ATD · October 31, 2015 at 8:24 PM

Klaus, ich habe mir das Basic angesehen. Dort steht:

"We cannot provide a graphical user interface at the moment but at least it is a solid alternative to commercial IPsec appliances."

"The major challenge is handling all of those files automatically with a clean integration into the OpenWrt configuration concept."

Außerdem ist es so, dass Du die /etc/config/ipsec manuell anlegen musst. Dort wird alles definiert, was gebraucht wird. Anschließend musst Du das Script ausführen, welche alles nötige für Charon automatisch generiert. Wenn Du das Script anschaust, dann wird ersichtlich, dass z.B. ipsec.conf, aber auch strongswan.conf gelöscht und anschließend verlinkt werden.

Ich habe jetzt die /etc/config/ipsec für Dich erstellt. Das Script wurde für eine net2net Szenario geschrieben. Ich bin mir nicht sicher, was ich bei remote_subnet einzutragen habe, denn den haben wir nicht. Mache also erstmal einen dry run und prüfe mit LuCI ob ipsec startet. Wenn ja, dann müssen wir die neu erstellte ipsec.conf noch einmal betrachten.

/etc/config/ipsec

Code

config 'ipsec'
  option 'zone' 'vpn'


config 'remote' 'racoon'
  option 'enabled' '1'
  option 'gateway' '88.xx.xx.220'
  option 'local_identifier' '@cougar.tvdr.de'
  option 'remote_identifier' '@racoon.tvdr.de'
  option 'authentication_method' 'psk'
  option 'pre_shared_key' 'dein_psk_hier_eintragen'
  list   'p1_proposal' 'pre_g2_aes_sha1'
  list   'sainfo' 'racoon_tvdr'


config 'p1_proposal' 'pre_g2_aes_sha1'
  option 'encryption_algorithm' 'aes128'
  option 'hash_algorithm' 'sha1'
  option 'dh_group' 'modp2048'


config 'tunnel' 'racoon_tvdr'
  option 'local_subnet' '192.168.1.0/24'
  option 'remote_subnet' '88.xx.xx.220/32'
  option 'p2_proposal' 'g2_aes_sha1'


config 'p2_proposal' 'g2_aes_sha1'
  option 'pfs_group' 'modp2048'
  option 'encryption_algorithm' 'aes 128'
  option 'authentication_algorithm' 'sha1'

Display More

Vergiss nicht in der /etc/config/ipsec die richtige IP und das PSK einzutragen!

"Before you start Charon with the web interface you should make a dry run from command line. This will show you if there are any errors in your generated configuration file /etc/ipsec.conf. Afterwards you can control startup behaviour with LuCI."

Die FW Zone hast Du gestern anlegen können, das hier also ist die nächste Hürde.

Albert

kls · October 31, 2015 at 11:00 PM

Ich habe die /etc/config/ipsec nach deinen Vorgaben angelegt und das Script von http://wiki.openwrt.org/doc/howto/vpn.ipsec.basics ausgeführt mit dem Parameter "start". Das sagt mir dann

Starting strongSwan 5.3.3 IPsec [starter]...
!! Your strongswan.conf contains manual plugin load options for charon.
!! This is recommended for experts only, see
!! http://wiki.strongswan.org/projects/stron…wiki/PluginLoad

und die erzeugte ipsec.conf besteht nur aus der Zeile

version 2

Klaus

ATD · November 1, 2015 at 12:01 AM

Quote from kls

und die erzeugte ipsec.conf besteht nur aus der Zeile

version 2

Upps. Was und wie hast Du ursprünglich konfiguriert, bevor Du den Thread gestartet hast?

Albert

[Suche] Empfehlung für Router mit Kabel Deutschland unter openWRT

Participate now!

Users Viewing This Thread