VPN-Einrichten

[kwm]

Hallo,

das sieht schon gut aus, kann ich aber erst am Wochenemde durchexerzieren.

Danke, war auch ein stück Arbeit.

Punkt 7 ist m.E. jedoch überarbeitungsbedürftig. Da suchte ich bisher vergeblich eine Änderungsmöglichkeit.

Öffne mit einem Webbrowser die Startseite Deines Freifunkrouters. Gehe auf Verwalten und melde Dich als root an. Dann gehe auf LAN. In der Maske die Du jetzt siehst, gibt es ein Feld statische Routen. In dieses müssen die statischen Routen eingetragen werden.

Wir sehen uns Montag zum Stammtisch? Im Spielehaus in den Frankischen Stiftungen.

Gruß Klaus

[Klops]

So, habe jetzt die Punkte gewiisenhaft abgearbeitet.

...Geht nicht.

Ich bin der Meinung, dass openvpn nicht startet.
Und ja, ich habe den Punkt 1 wie beschrieben absolviert.

Hier mal das Log-file. Datum und Uhrzeit habe ich später manuell korrigiert. hat aber auch nichts gebracht.
Übrigens heißt mein Gateway nicht 192.168.1.x.




Jan 1 01:00:06 (none) syslog.info syslogd started: BusyBox v1.01 (2007.11.22-07:17+0000)
Jan 1 01:00:06 (none) kern.info kernel: Software Watchdog Timer: 0.05, timer margin: 180 sec
Jan 1 01:00:07 (none) kern.info kernel: IPv4 over IPv4 tunneling driver
Jan 1 01:00:07 (none) kern.info kernel: Universal TUN/TAP device driver 1.5 (C)1999-2002 Maxim Krasnyansky
Mar 4 00:00:12 (none) user.notice SSH-Remoteadmin: erlaubt.
Mar 4 00:00:12 (none) user.notice sshkeys: kopiert.
Mar 4 00:00:14 (none) kern.warn dropbear[1007]: Failed reading '/etc/dropbear/dropbear_rsa_host_key', disabling RSA
Mar 4 00:00:14 (none) kern.info dropbear[1012]: Running in background
Mar 4 00:00:18 (none) kern.err olsrd[1229]: Could not read APM info - setting default willingness(3)
Mar 4 00:00:18 (none) kern.info olsrd[1229]: Writing "0" to /proc/sys/net/ipv4/conf/eth1/rp_filter
Mar 4 00:00:18 (none) kern.info olsrd[1229]: Writing "0" to /proc/sys/net/ipv4/conf/eth1/send_redirects
Mar 4 00:00:18 (none) kern.info olsrd[1229]: Adding interface eth1
Mar 4 00:00:18 (none) kern.info olsrd[1229]: New main address: 104.62.10.10
Mar 4 00:00:19 (none) kern.info olsrd[1235]: olsr.org - 0.5.5 successfully started
Mar 4 00:00:21 (none) daemon.info dnsmasq[1412]: started, version 2.40 cachesize 150
Mar 4 00:00:21 (none) daemon.info dnsmasq[1412]: compile time options: IPv6 GNU-getopt ISC-leasefile no-DBus no-I18N TFTP
Mar 4 00:00:21 (none) daemon.info dnsmasq[1412]: DHCP, IP range 10.62.10.88 -- 10.62.10.91, lease time 30m
Mar 4 00:00:21 (none) daemon.info dnsmasq[1412]: DHCP, IP range 192.168.1.10 -- 192.168.1.49, lease time 12h
Mar 4 00:00:21 (none) daemon.warn dnsmasq[1412]: running as root
Mar 4 00:00:21 (none) daemon.info dnsmasq[1412]: using nameserver 208.67.222.222#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: using nameserver 208.67.220.220#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: using nameserver 212.204.49.83#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: using nameserver 141.54.1.1#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: using nameserver 88.198.178.18#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: using nameserver 8.8.4.4#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: using nameserver 8.8.8.8#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: using nameserver 178.254.31.83#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: using nameserver 81.10.154.38#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: using nameserver 85.214.81.232#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: using nameserver 104.62.16.37#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: using nameserver 104.62.16.1#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: using nameserver 104.62.2.131#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: using nameserver 104.62.28.35#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: using nameserver 104.62.28.36#53
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: read /etc/hosts - 2 addresses
Mar 4 00:00:22 (none) daemon.info dnsmasq[1412]: read /etc/local.hosts - 6 addresses
Mar 4 00:00:22 (none) daemon.err dnsmasq[1412]: failed to read /etc/ethers:No such file or directory
Mar 4 00:00:23 (none) user.notice S67bmxd: Starting BatMan-eXp 0.3-alpha rv982 (compatibility version 10)
Mar 4 00:00:23 (none) user.notice S67bmxd: open interfaces & rules
Mar 4 00:00:23 (none) user.notice S67bmxd: set iptables-rule 'INPUT -d 106.0.0.0/8 -j ACCEPT'
Mar 4 00:00:23 (none) user.notice S67bmxd: set iptables-rule 'OUTPUT -s 106.0.0.0/8 -j ACCEPT'
Mar 4 00:00:23 (none) user.notice S67bmxd: set iptables-rule 'FORWARD -d 106.0.0.0/8 -j ACCEPT'
Mar 4 00:00:23 (none) user.notice S67bmxd: set iptables-rule 'FORWARD -s 106.0.0.0/8 -j ACCEPT'
Mar 4 00:00:24 (none) user.notice S67bmxd: add interface '106.62.10.10/8 broadcast 106.255.255.255 label eth1:bmx dev eth1'
Mar 4 00:00:24 (none) user.notice S67bmxd: set iptables-rule 'INPUT -p udp --sport 4308:4311 --dport 4308:4311 -j ACCEPT -i eth1'
Mar 4 00:00:24 (none) user.notice S67bmxd: set iptables-rule 'INPUT -p tcp --sport 4308 --dport 4308 -j ACCEPT -i eth1'
Mar 4 00:00:24 (none) user.notice S67bmxd: set iptables-rule 'OUTPUT -p udp --sport 4308:4311 --dport 4308:4311 -j ACCEPT -o eth1'
Mar 4 00:00:24 (none) user.notice S67bmxd: set iptables-rule 'OUTPUT -p tcp --sport 4308 --dport 4308 -j ACCEPT -o eth1'
Mar 4 00:00:25 (none) user.notice S67bmxd: bmxd --base-port 4308 --rt-table-offset 76 --prio-rules-offset 7600 --one-way-tunnel 3 --two-way-tunnel 0 --no-prio-rules --gw-tunnel-network 169.254.100.0/24 -s 104.62.1.129 eth1:bmx
Mar 4 00:00:25 (none) user.notice S67bmxd: set ip-rule 'lookup 76 prio 7600'
Mar 4 00:00:25 (none) kern.err bmxd[1591]: Startup parameters: bmxd --base-port 4308 --rt-table-offset 76 --prio-rules-offset 7600 --one-way-tunnel 3 --two-way-tunnel 0 --no-prio-rules --gw-tunnel-network 169.254.100.0/24 -s 104.62.1.129 eth1:bmx
Mar 4 00:00:25 (none) user.notice S67bmxd: set ip-rule 'lookup 77 prio 7700'
Mar 4 00:00:25 (none) user.notice S67bmxd: set ip-rule 'lookup 78 prio 7800'
Mar 4 00:00:25 (none) user.notice S67bmxd: crontab added: watchout4bmxd
Mar 4 00:00:26 (none) kern.notice xrelayd[1668]: xrelayd.c:820 Listening for ssl connections on server port 443
Mar 4 00:00:28 (none) user.notice secureadmin:: started.
Mar 4 00:00:29 (none) daemon.info dnsmasq[1412]: read /etc/hosts - 2 addresses
Mar 4 00:00:29 (none) daemon.info dnsmasq[1412]: read /etc/local.hosts - 6 addresses
Mar 4 00:00:29 (none) daemon.err dnsmasq[1412]: failed to read /etc/ethers:No such file or directory
Mar 4 00:00:32 (none) user.notice S80updateagent: crontab added: update-agent
Mar 4 00:00:32 (none) user.notice updatecheck: started.
Mar 4 00:00:35 (none) user.notice S91gwtun: WARNING! can't start Gateway-Tunnel - it's switched off!
Mar 4 00:00:46 (none) user.notice dhcpsplash: started.
Mar 4 00:01:07 (none) kern.info rrdcollect[3451]: We just started
Mar 4 00:01:07 (none) kern.info rrdcollect[3451]: Update method: rrdlib

[kwm]

Jetzt bin ich etwas ratlos.

Also Montag mit dem Router 19 Uhr im Spielkehaus. OK?

Welche IP hat Dein DSL-Router an den Lan-Ports? Welchen Router Typ hast Du als DSL-Router? Welches Netz hast Du im LAN Deines DSL-Routers?

Bring am besten außer dem Freifunk-Router auch Deinen DSL-Router mit.

Gruß Klaus

[3dfxatwork]

Ja wenn die Zeit nicht stimmt, dann kann er keine beziehen und das deutet darauf hin, dass die IP Adressen oder auch nur die Gateway IP falsch sind, siehe dazu die Fragen von kwm.

[Klops]

Ja wenn die Zeit nicht stimmt, dann kann er keine beziehen ....

...kann er was nicht beziehen?

Und die Zeit stimmt nicht, weil natürlich der mit Punkt 4 vorgesehene NTP-Server nicht erreichbar ist.

Mein "DSL-Router" ist keiner, wegen Muth-LAN-Anschluss. Ist also ein WHR-HP54 mit DD-WRT.
LAN-seitig 192.168.3.0
WAN-Abdresse am FF-Router als 192.168.3.97

I-net-Zugang funktioniert ja auch, sofern als Default-Route 192.168.3.1 eingetragen ist.
Nehme ich den Eintrag raus, ists aus die Maus.

Habe jetzt nochmal Firmware neu geladen und alles nochmal gemäß Anleitung durchexerziert.
...Jetzt habe ich die Faxen dicke.

Montag habe ich Familienparty. Da kann ich nicht kommen.
Muss jetzt weg.
Bis dann.

[kwm]

Hallo Klops,

erstmal Danke für Deine Geduld. Wir schaffen das bestimmt noch.

Das bei den Punkten 2, 3 und 4 der gesammte Inhalt der jeweiligen Datei zu ändern ist, ist klar? Die Punkte 1 bis 5 betrachte ich damit als erledigt.
Daher gehe ich jetzt nochmal auf Punkt 6 und 7 ein. Zu Punkt 8 kann ich Dir nur dann etwas schreiben, wenn Du mir Deine Node-IP schreibst.

zu 6.) Verwaltung: WAN

WAN-Protokoll: 192.168.3.97
WAN-Netzmaske: 255.255.255.0
WAN-Default-Route:

zu 7.) Verwaltung: LAN statische Routen

Code: Alles auswählen

85.214.81.232:255.255.255.255:192.168.3.1:0:vlan1
 178.254.31.83:255.255.255.255:192.168.3.1:0:vlan1
 192.53.103.108:255.255.255.255:192.168.3.1:0:vlan1
 192.53.103.104:255.255.255.255:192.168.3.1:0:vlan1
 128.138.140.44:255.255.255.255:192.168.3.1:0:vlan1
 8.8.8.8:255.255.255.255:192.168.3.1:0:vlan1 

Gruß und schönes Wochenende,
Klaus

PS.: Sommerfest am 27.07.2013 spätestens da sollten wir es schaffen.

[Klops]

Das ist alles so eingerichtet.
IP ist die 142.62.10.10, habe ich auch bei Punkt 8 so geändert.

Ich denke, es ist ein grundsätzliches Problem mit openvpn, denn "ifconfig tap0" wirft einen Fehler aus.

[kwm]

Die Dateien die Du von 3dfx für openvpn bekommen hast, kannst Du mir die mal in einem zip als PM senden. Vielleicht ist 3dfx beim erstellen ein Fehler unterlaufen.
Gruß Klaus

[Klops]

Hallo,

hab's hingekriegt, allerdings mit einem anderen (jungfräulichen) WRT54GL.
Woran das bei dem anderen liegt, finde ich auch noch raus.

Die Anleitung im Wiki ist jetzt Spitze!

Grüße

Karsten

[kwm]

... hab's hingekriegt, allerdings mit einem anderen (jungfräulichen) WRT54GL.

Nicht ganz, bei Dir fehlt der zweite Gatwayserver in der Nodeliste. (104.62.4.129)

Die Anleitung im Wiki ist jetzt Spitze!

Danke!

Gruß Klaus

[Klops]

Hallo,

104.62.4.129 steht doch drin !?
Jedenfalls heute.

Zur Problemlösung:

Gaaaaaanz wichtig ist offenbar ein ordentlicher Reset (30s-Methode) vor Abarbeitung der Anleitung.
D.h. 30s Resetknopf drücken - Resetknopf weiter halten und Hilfsspannung für 30s weg - Versorgungsspannung dran und Resetknopf weitere 30s halten.

Offenbar stand da noch irgendwas im NVRAM.

Grüße

K.

[kwm]

http://104.62.10.10/cgi-bin-nodes.html ich sehe nur einen Gateway und zwar 1-129

[Klops]

Du hast auch immer was zu meckern.

Zumindest steht das ding in der Tunnel-Liste.

Tunnel.PNG (21.6 KiB) 12681 mal betrachtet

[kwm]

In der Tunnelliste steht jeder Knoten, der über VPN erreichbar ist. Das sagt aber noch nichts über den Weg zum Knoten aus.

[3dfxatwork]

Falls ich mal zeit finde, gucke ich auf dem Server mal nach woran es liegt, aber vor Samstag wird das wohl nichts

[Klops]

Habe jetzt mal alle Zertifikate gelöscht und die von kwm gelieferten genommen.
Bei 3dfx stand ja für den zweiten Tunnel nicht freifunk-kanal13 in der conf, sondern irgendwas mit ff2.3dfx...

tap0 und tap1 kamen dann sofort nach dem Neustart, jedoch funktionierte das Routing über 104.62.4.129 nicht bzw. nur bis zum Server.

Musste dann aber weg und konnte nicht weiter probieren.

[kwm]

Ja, jetzt ist alles richtig. Noch eine Kleinigkeit wäre zu tun. Änder mal noch die OLSR-Linkqualität von 0.8 auf 0.6. Dann sollte die Standartroute wieder über 1-129 laufen.
Im Wiki habe ich das jetzt auch von 0.8 auf 0.6 geändert.

hier

/etc/local.olsrd.conf

das ändern

# Add your addons (e.g. plugins) to olsrd.conf here,
# addons for interfaces in /etc/local.olsrd.conf-eth1

Interface "tap0" "tap1"
{
HelloInterval 5.0
HelloValidityTime 90.0
TcInterval 2.0
TcValidityTime 270.0
MidInterval 15.0
MidValidityTime 90.0
HnaInterval 15.0
HnaValidityTime 90.0
LinkQualityMult 104.62.1.129 1.0
LinkQualityMult 104.62.4.129 0.6
}