Site-to-Site-VPN mit DD-WRT

[RockNLol]

hi,
ich versuche gerade zwischen zwei Wohnsitzen ein Site-to-Site-VPN aufzubauen. In meiner Wohnung steht ein Netgear Nighthawk R7000, im Nebenwohnsitz ein Linksys Cisco E4200, beide mit DD-WRT installiert. Ich bin dieser Anleitung hier gefolgt: http://wadihzaatar.com/?p=11

Nighthawk R7000:
Serverrolle
192.168.1.x
Startupskript:

# Move to writable directory and create scripts
cd /tmp
ln -s /usr/sbin/openvpn /tmp/myvpn

# Config for Site-to-Site SiteA-SiteB
echo "
proto udp          
port 1194
dev tun0
secret /tmp/static.key
verb 3
comp-lzo
keepalive 15 60
daemon
" > SiteA-SiteB.conf

# Config for Static Key
echo "
-----BEGIN OpenVPN Static key V1-----
hier steht der Key
-----END OpenVPN Static key V1-----
" > static.key

# Create interfaces
/tmp/myvpn --mktun --dev tun0
ifconfig tun0 10.0.0.1 netmask 255.255.255.0 promisc up

# Create routes
route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.0.2

# Initiate the tunnel
sleep 5
/tmp/myvpn --config SiteA-SiteB.conf

Firewall:

# Open firewall holes
iptables -I INPUT 2 -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

Cisco E4200:
Clientrolle
192.168.2.x
Startupskript:

# Move to writable directory and create scripts
cd /tmp
ln -s /usr/sbin/openvpn /tmp/myvpn

# Config for Site-to-Site SiteA-SiteB
echo "
remote <hier steht die öffentliche IP des Servers>
proto udp          
port 1194
dev tun0
secret /tmp/static.key
verb 3
comp-lzo
keepalive 15 60
daemon
" > SiteA-SiteB.conf

# Config for Static Key
echo "
-----BEGIN OpenVPN Static key V1-----
hier steht der selbe key
-----END OpenVPN Static key V1-----
" > static.key

# Create interfaces
/tmp/myvpn --mktun --dev tun0
ifconfig tun0 10.0.0.2 netmask 255.255.255.0 promisc up

# Create routes
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.1

# Initiate the tunnel
sleep 5
/tmp/myvpn --config SiteA-SiteB.conf

Firewall:

# Open firewall holes
iptables -I INPUT 2 -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT

Auch nach Neustart beider Router funktioniert der Tunnel aber nicht. Weder die gegenseitigen Router (Nachtrag: über die interne IP, öffentliche ist pingbar) noch dahinterstehende Rechner sind anpingbar.

Was kann ich testen?

 

[Lawnmower]

Wird der Tunnel überhaupt aufgebaut?
Wiso ist das Skript vom Netgear nicht gleich wie beim Cisco (abgesehen von den IP Änderungen)?
Was sagen die Logs?

 

[RockNLol]

Ich glaube nicht, dass der tunnel aufgebaut wird. Wo kann ich bei DD-WRT das Log einschalten? Ich sehe außer IP-Änderungen keinen Unterschied?

*edit: OK, hab ein Log:

01-11-2016	23:27:30	Daemon.Notice	192.168.2.200	Jan 11 23:24:41 openvpn[1464]: UDPv4 link remote: [AF_INET]<SERVERIP>:1194
01-11-2016	23:27:30	Daemon.Notice	192.168.2.200	Jan 11 23:24:41 openvpn[1464]: UDPv4 link local (bound): [undef]
01-11-2016	23:27:30	Daemon.Notice	192.168.2.200	Jan 11 23:24:41 openvpn[1464]: TUN/TAP TX queue length set to 100
01-11-2016	23:27:30	Daemon.Notice	192.168.2.200	Jan 11 23:24:41 openvpn[1464]: TUN/TAP device tun0 opened
01-11-2016	23:27:30	Daemon.Notice	192.168.2.200	Jan 11 23:24:41 openvpn[1464]: Socket Buffers: R=[114688->131072] S=[114688->131072]
01-11-2016	23:27:30	Daemon.Notice	192.168.2.200	Jan 11 23:24:41 openvpn[1464]: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
01-11-2016	23:27:30	Daemon.Notice	192.168.2.200	Jan 11 23:24:41 openvpn[1464]: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
01-11-2016	23:27:30	Daemon.Notice	192.168.2.200	Jan 11 23:24:41 openvpn[1464]: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
01-11-2016	23:27:30	Daemon.Notice	192.168.2.200	Jan 11 23:24:41 openvpn[1464]: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
01-11-2016	23:27:30	Daemon.Warning	192.168.2.200	Jan 11 23:24:41 openvpn[1464]: WARNING: file '/tmp/static.key' is group or others accessible
01-11-2016	23:27:30	Daemon.Warning	192.168.2.200	Jan 11 23:24:41 openvpn[1464]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
01-11-2016	23:27:28	Daemon.Notice	192.168.2.200	Jan 11 23:24:39 openvpn[1464]: Restart pause, 2 second(s)
01-11-2016	23:27:28	Daemon.Notice	192.168.2.200	Jan 11 23:24:39 openvpn[1464]: SIGUSR1[soft,ping-restart] received, process restarting
01-11-2016	23:27:28	Daemon.Notice	192.168.2.200	Jan 11 23:24:39 openvpn[1464]: Closing TUN/TAP interface
01-11-2016	23:27:28	Daemon.Notice	192.168.2.200	Jan 11 23:24:39 openvpn[1464]: Inactivity timeout (--ping-restart), restarting

Das hier läuft in dauerschleife am Cisco, das Serverlog vom Netgear kann ich erst morgen schauen.... Scheint so als ob eher der Nighthawk/OpenVPN Server Probleme hätte, das log hier ist unauffällig soweit ich das beurteilen kann.

*edit: Nun auch ein Log vom Nighthawk:

01-12-2016	22:37:48	Daemon.Notice	192.168.1.201	Jan 12 21:35:13 openvpn[1348]: UDPv4 link remote: [undef]
01-12-2016	22:37:48	Daemon.Notice	192.168.1.201	Jan 12 21:35:13 openvpn[1348]: UDPv4 link local (bound): [undef]
01-12-2016	22:37:48	Daemon.Notice	192.168.1.201	Jan 12 21:35:13 openvpn[1348]: TUN/TAP TX queue length set to 100
01-12-2016	22:37:48	Daemon.Notice	192.168.1.201	Jan 12 21:35:13 openvpn[1348]: TUN/TAP device tun0 opened
01-12-2016	22:37:48	Daemon.Notice	192.168.1.201	Jan 12 21:35:13 openvpn[1348]: Socket Buffers: R=[180224->131072] S=[180224->131072]
01-12-2016	22:37:48	Daemon.Notice	192.168.1.201	Jan 12 21:35:13 openvpn[1348]: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
01-12-2016	22:37:48	Daemon.Notice	192.168.1.201	Jan 12 21:35:13 openvpn[1348]: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
01-12-2016	22:37:48	Daemon.Notice	192.168.1.201	Jan 12 21:35:13 openvpn[1348]: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
01-12-2016	22:37:48	Daemon.Notice	192.168.1.201	Jan 12 21:35:13 openvpn[1348]: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
01-12-2016	22:37:48	Daemon.Warning	192.168.1.201	Jan 12 21:35:13 openvpn[1348]: WARNING: file '/tmp/static.key' is group or others accessible
01-12-2016	22:37:46	Daemon.Notice	192.168.1.201	Jan 12 21:35:11 openvpn[1348]: Restart pause, 2 second(s)
01-12-2016	22:37:46	Daemon.Notice	192.168.1.201	Jan 12 21:35:11 openvpn[1348]: SIGUSR1[soft,ping-restart] received, process restarting
01-12-2016	22:37:46	Daemon.Notice	192.168.1.201	Jan 12 21:35:11 openvpn[1348]: Closing TUN/TAP interface
01-12-2016	22:37:46	Daemon.Notice	192.168.1.201	Jan 12 21:35:11 openvpn[1348]: Inactivity timeout (--ping-restart), restarting

Die Zeile

openvpn[1464]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

taucht im Nighthawklog nicht auf. Evtl liegts daran. vllt versuche ich mal eine andere Firmware am Cisco mit einer anderen OpenVPN-Version?

kann ich mich mit dieser Konfiguration irgendwie mit einem PC am Nighthawk einloggen?