Freetz: FB 5140 als OpenVPN Client (swissvpn)

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Hier ist die Log-datei
Thu Nov 11 13:52:46 2010 OpenVPN 2.1.3 mipsel-linux [SSL] [LZO2] [EPOLL] [MH] [PF_INET6] built on Nov 8 2010
Thu Nov 11 13:52:46 2010 WARNING: file '/var/media/ftp/uStor01/vpnuk-password.txt' is group or others accessible
Thu Nov 11 13:52:46 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Nov 11 13:52:46 2010 WARNING: file '/var/media/ftp/uStor01/ta.key' is group or others accessible
Thu Nov 11 13:52:46 2010 Control Channel Authentication: using '/var/media/ftp/uStor01/ta.key' as a OpenVPN static key file
Thu Nov 11 13:52:46 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Nov 11 13:52:46 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Nov 11 13:52:46 2010 LZO compression initialized
Thu Nov 11 13:52:46 2010 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Nov 11 13:52:46 2010 Socket Buffers: R=[108544->131072] S=[108544->131072]
Thu Nov 11 13:52:46 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Nov 11 13:52:46 2010 UDPv4 link local: [undef]
Thu Nov 11 13:52:46 2010 UDPv4 link remote: [AF_INET]213.229.71.81:1194
Thu Nov 11 13:52:46 2010 TLS: Initial packet from [AF_INET]213.229.71.81:1194, sid=f96f6f59 fe79973f
Thu Nov 11 13:52:46 2010 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Nov 11 13:52:46 2010 VERIFY OK: depth=1, /C=GB/ST=GB/L=London/O=VPNUK/CN=VPNUK_CA/[email protected]
Thu Nov 11 13:52:46 2010 VERIFY OK: nsCertType=SERVER
Thu Nov 11 13:52:46 2010 VERIFY OK: depth=0, /C=GB/ST=GB/L=London/O=VPNUK/CN=server/[email protected]
Thu Nov 11 13:52:47 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Nov 11 13:52:47 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Nov 11 13:52:47 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Nov 11 13:52:47 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Nov 11 13:52:47 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Nov 11 13:52:47 2010 [server] Peer Connection Initiated with [AF_INET]213.229.71.81:1194
Thu Nov 11 13:52:49 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Thu Nov 11 13:52:49 2010 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option NTP 10.10.11.1,dhcp-option DNS 10.10.11.1,ping-timer-rem,route 10.10.11.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.10.11.30 10.10.11.29'
Thu Nov 11 13:52:49 2010 OPTIONS IMPORT: timers and/or timeouts modified
Thu Nov 11 13:52:49 2010 OPTIONS IMPORT: --ifconfig/up options modified
Thu Nov 11 13:52:49 2010 OPTIONS IMPORT: route options modified
Thu Nov 11 13:52:49 2010 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu Nov 11 13:52:49 2010 TUN/TAP device tun0 opened
Thu Nov 11 13:52:49 2010 TUN/TAP TX queue length set to 100
Thu Nov 11 13:52:49 2010 /sbin/ifconfig tun0 10.10.11.30 pointopoint 10.10.11.29 mtu 1500
Thu Nov 11 13:52:51 2010 NOTE: unable to redirect default gateway -- Cannot read current default gateway from system
Thu Nov 11 13:52:51 2010 /sbin/route add -net 10.10.11.0 netmask 255.255.255.0 gw 10.10.11.29
Thu Nov 11 13:52:51 2010 Initialization Sequence Completed
Zum Vergrößern anklicken....

auffälig ist "unable to redirect default gateway -- Cannot read current default gateway from system" , aber wenn ich den default mannuel auf 10.10.11.29 setze müsste es doch gehen .!?Oder sehe ich das falsch ?
 
Zuletzt bearbeitet:
Es wäre sinnvoll, herauszufinden, warum er nicht das aktuelle Gateway auslesen kann.
Wenn Du es von Hand ändern willst, ist es sinnvoll, zuerst eine Route auf den VPN-Server anzulegen, bevor Du die Default-Route entfernst.
 
Route anlegen auf den vpn als default ?
Und dann versuchen ob ich www. anpingen kann ?
 
Du mußt sicherstellen, daß Du den VPN-Server nach dem Ändern der Default-Route noch erreichen kannst.
Code: 
ip ro add 213.229.71.81 dev dsl
ip ro del default
ip ro add default via 10.10.11.29
 
Ja das klappt :) und jetzt ?
Die ip mit der ich unterwegs bin ist 213.229.6x.xxx also über vpnuk.
Wie muss ich jetzt weiter vorgehen ?
 
Jetzt solltest Du von der Box aus über VPN auf Seiten im Internet zugreifen können. Schau mal aus, ob es tatsächlich funktioniert.

Wenn ja, brauchst Du als nächstes iptables, die Regel aus [POST=1637536]#18[/POST]. Damit sollte auch ein Zugriff vom PC aus funktionieren.
 
Danke erstmal !!!

Okay , das klappt alles ich kann auch vom pc aus auf inet zugreifen. Wie und (wo)soll ich die drei befehle
ip ro add 213.229.71.81 dev dsl
ip ro del default
ip ro add default via 10.10.11.29
Zum Vergrößern anklicken....
dauerhaft ausführbar machen.
Was war die ursache das es nicht klappte , war das die fehlende route 213.229.71.81 dev dsl ?
 
RalfFriedl schrieb:
Es wäre sinnvoll, herauszufinden, warum er nicht das aktuelle Gateway auslesen kann.
Zum Vergrößern anklicken....
Das dürfte vermutlich ein bekannter "Fehler" von AVM sein. Eine mögliche Änderung/Korrektur findest du im Ticket 783. Die sollte bei dir möglich sein, denn der Nebeneffekt, dass das AVM-VPN damit nicht mehr geht, sollte auf der 5140 ja egal sein...


Jörg
 
Okay , ich werden den o.g Patch aufspielen .
Vieeeeelen dank für eure sehr kompetente Hilfe.
Danke !:)
 
Patch aufgespielt , fehlerhaftes setzen vom def. gw bleibt bestehen.Liegt es an der Firmware1.1.3, dass der Patch keine wirkung zeigt ??:(
 
Zuletzt bearbeitet:
Ist denn die Datei "/etc/onlinechanged/dsld_default_route" jetzt vorhanden? Wie sieht die Routingtabelle denn jetzt bei dir aus? Hat die sich verändert?


Jörg
 
Nein die Datei /etc/onlinechanged/dsld_default_route ist nicht vorhanden.

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.180.1 * 255.255.255.255 UH 2 0 0 dsl
91.xx.134.xx * 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 * 255.255.255.255 UH 2 0 0 dsl
192.168.200.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.178.0 * 255.255.255.0 U 0 0 0 lan
192.168.179.0 * 255.255.255.0 U 0 0 0 guest
169.254.0.0 * 255.255.0.0 U 0 0 0 lan
default * 0.0.0.0 U 2 0 0 dsl
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Scheint genau das Problem zu sein: Das DG ist nicht über eine IP sondern über 0.0.0.0 erreichbar. Damit funktioniert "redirect-gateway" leider nicht.

Entweder bekommst du es hin, dass das DG "Linuxkonform" eingetragen wird, oder musst das weiterhin von Hand eintragen...
Da die Version die du nutzt vermutlich kein "onlinechanged-cgi" kennt hilft der Patch so nicht. Hat die Box überhaupt ein "onlinechanged" ?!?
Du musst dann vermutlich "von Hand" den Inhalt der Datei "/make/onlinechanged-cgi/files/root/etc/onlinechanged/dsld_default_route" in "/var/tmp/onlinechanged" integrieren (sofern schon was drinsteht) oder reinkopieren (könntest du vielleicht über rc.custom machen?!?).


Jörg
 
Die version was ich benutze hat den "onlinechanged-cgi".Das kuriose dabei , direkt nach dem patchen , aber noch bevor ich das Image erstelle, befindet sich die Datei "dsld_default_route" in /make/onlinechanged-cgi/files/root/etc/onlinechanged/. Nach dem das Image erstellt wurde, ist zwar das Verzeichnis

/etc/onlinechanged vorhanden , aber nur mit folgende dateien
1.vebdav_net
2. chrony
3.reload_vsftpd
Im tmp/flash/ befindet sich "onlinechanged" Datei , aber ohne Inhalt.
Die Version was ich benutze ist der neuste trunk Firmware-Version 74.04.86freetz-devel-6155.
 
Zuletzt bearbeitet:
Lösche mal in "packages" den "onlinechanged-cgi" Ordner und die .onlinechanged-cgi Datei. Dann nochmal bauen. Du solltest die Datei dann im "passenden" Ordner unter "packages" und vor allem unter "build/modified/filesystem/" zu finden sein...

Jörg
 
Der Ordner "onlinechanged-cgi" in "packages" ist nicht vorhanden , analog auch die Datei onlinechanged-cgi nicht , genauso die Datei "dsld..........." unter "build/modified/filesystem/" ist nicht vorhanden.
Ich habe den Script "dsld_default_route", über rc.custom starten lassen.Das scheint zu funktionieren .
Nur komischerweise taucht jetz als default gw die IP vom ISP , und nicht vom VPN Server.:(
 
Zuletzt bearbeitet:
Wie sieht denn jetzt die Routingtabelle aus (ohne/mit VPN) und wie das log?

Jörg
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 510 (Mitglieder: 6, Gäste: 504)

Neueste Beiträge

Statistik des Forums

Themen
246,195
Beiträge
2,247,819
Mitglieder
373,748
Neuestes Mitglied
fanti88
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück