Hallo zusammen,
ich habe mir nach dieser Anleitung VPN mit Strongswan auf meinem Netgear
Router eingerichtet.
https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior
Die VPN-Verbindung mit Zertifikaten und so weiter funktioniert auch
soweit. Allerdings komme ich bei bestehender VPN-Verbindung nur auf das
Webinterface des Routers. Andere Geräte im Netzwerk sind nicht
erreichbar. Laut der Anleitung sollte das aber gehen.
Auf dem Router läuft OpenWrt Chaos Calmer 15.05.
Welche Infos werden noch benötigt?
Vielen Dank für eure Hilfe.
Viele Grüße,
Robert
Robert K. schrieb:> Hallo zusammen,>> ich habe mir nach dieser Anleitung VPN mit Strongswan auf meinem Netgear> Router eingerichtet.> https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior>> Die VPN-Verbindung mit Zertifikaten und so weiter funktioniert auch> soweit. Allerdings komme ich bei bestehender VPN-Verbindung nur auf das> Webinterface des Routers. Andere Geräte im Netzwerk sind nicht> erreichbar. Laut der Anleitung sollte das aber gehen.
Ja, aber nur wenn die Firewall weiß, dass sie Pakete ins LAN durchlassen
soll. Hast Du der VPN-Verbindung eine eigene Zone bzw. eine
Forwarding-rule ins LAN in »/etc/config/firewall« spendiert?
ein G.a.s.t., wer sonst ;-) schrieb:> Ja, aber nur wenn die Firewall weiß, dass sie Pakete ins LAN durchlassen> soll. Hast Du der VPN-Verbindung eine eigene Zone bzw. eine> Forwarding-rule ins LAN in »/etc/config/firewall« spendiert?
Nein, bisher nicht. Ich hatte die Anleitung so verstanden, dass das
nicht nötig ist.
> You can also create a custom zone called “VPN” if you want to get fancy.
Die iptables configs für die firewall.user sollten das doch erledigen.
Oder nicht?
Hatte mal Forwarding von WAN nach LAN zugelassen. Das hatte aber auch
nicht geholfen.
Kannst du mir sagen was ich genau einstellen muss? Ich beschäftige mich
schon seit Wochen immer mal wieder damit, komme aber einfach nicht
dahinter, wo genau das Problem ist.
Robert K. schrieb:> ein G.a.s.t., wer sonst ;-) schrieb:>> Ja, aber nur wenn die Firewall weiß, dass sie Pakete ins LAN durchlassen>> soll. Hast Du der VPN-Verbindung eine eigene Zone bzw. eine>> Forwarding-rule ins LAN in »/etc/config/firewall« spendiert?>> Nein, bisher nicht. Ich hatte die Anleitung so verstanden, dass das> nicht nötig ist.>> You can also create a custom zone called “VPN” if you want to get fancy.>> Die iptables configs für die firewall.user sollten das doch erledigen.> Oder nicht?
Nein, die lassen nur IPsec-Pakete durch.
> Hatte mal Forwarding von WAN nach LAN zugelassen. Das hatte aber auch> nicht geholfen.
Nein, dass kann nicht sinnvoll funktionieren.
> Kannst du mir sagen was ich genau einstellen muss? Ich beschäftige mich> schon seit Wochen immer mal wieder damit, komme aber einfach nicht> dahinter, wo genau das Problem ist.
Einfach der »/etc/config/firewall« eine Zone und ein Forwarding
hinzufügen. Wobei hier ohne Einschränkungen zwischen LAN und VPN
ausgetauscht werden (ggf. anpassen, wenn es restriktiver gewünscht ist).
1
...
2
# add new zone for virtual VPN interface vpn01
3
config zone
4
option input 'REJECT'
5
option output 'ACCEPT'
6
option forward 'REJECT'
7
option name 'ipsecvpn'
8
option network 'vpn01'
9
10
# allow traffic from LAN to VPN
11
config forwarding
12
option src 'lan'
13
option dest 'ipsecvpn'
14
15
# allow traffic from VPN to LAN
16
config forwarding
17
option src 'ipsecvpn'
18
option dest 'lan'
19
...
Ggf. musst Du noch ein virtuelles Interface für das VPN-Device XXXX
(»ifconfig« oder »ip addr show« ist Dein Freund) der
»/etc/config/network« hinzufügen.
Nunja es steht ja nur der Tunnel. Die PC müssen dann noch wissen wie sie
in das andere Segment kommen (ich hoffe es gibt ein 2. Segment). Beide
Netze müssen verschieden sein. Also Route prüfen. Forwardings
dergleichen werden nicht gemacht und nicht benötigt. Wenn die Verbindung
steht muss ein Ping gehen. Bitte die IP pingen, DNS geht nicht mit jedem
VPN. Wenn DNS unterstützt wird ist gut, sonst muss noch die lmhost
angepasst werden, wenn das nicht der DNS Server macht.
Stephan schrieb:> Nunja es steht ja nur der Tunnel. Die PC müssen dann noch wissen wie sie> in das andere Segment kommen (ich hoffe es gibt ein 2. Segment).
Ja, in der Tat ist dies hilfreich, dass der Client weiss, wie er das
entfernte Netz erreichen kann. Das wird Robert ja beachtet haben.
> Beide Netze müssen verschieden sein. Also Route prüfen.
Jawohl.
> Forwardings dergleichen werden nicht gemacht und nicht benötigt.
Wieso werden diese nicht benötigt? Die Interfaces des Routers stehen ja
hoffentlich nicht »nackt« herum.
> Wenn die Verbindung steht muss ein Ping gehen.
Ja, die Frage ist welche IP meinst Du?
> Bitte die IP pingen, DNS geht nicht mit jedem VPN. Wenn DNS unterstützt wird ist
gut, sonst muss noch die lmhost angepasst werden, wenn das nicht der DNS Server
macht.
Warum sollte DNS nicht funktionieren? Wieso muss man lmhost anpassen?
tmomas schrieb:> Frag doch einfach im OpenWrt Forum nach, da wird dir geholfen.>> https://forum.openwrt.org/
Das ist sicher der einfachste und bequemste Weg, aber eigentlich nicht
mehr notwendig, da Robert schon fast am Ziel ist.
Vielen Dank für die ausführlichen Antworten!
Allerdings verstehe ich das irgendwie noch nicht.
Ich habe zwei Zonen. Die Pakete kommen über die Zone WAN in den Router.
Dafür sind ja diese Portfreigaben:
Mein Handy bekommt per DHCP eine IP aus meinem LAN zugewiesen, aus dem
selben Adressbereich wie alle lokalen Geräte.
Nach meiner Vorstellung fehlt jetzt das Forwarding aus der Zone WAN in
die Zone LAN. Wofür brauche ich denn jetzt noch ein Zone VPN?
Sorry, aber irgendwie habe ich dieses Firewallkonzept von OpenWRT wohl
noch nicht ganz verstanden.
Robert K. schrieb:> Mein Handy bekommt per DHCP eine IP aus meinem LAN zugewiesen, aus dem> selben Adressbereich wie alle lokalen Geräte.>> Nach meiner Vorstellung fehlt jetzt das Forwarding aus der Zone WAN in> die Zone LAN.> Wofür brauche ich denn jetzt noch ein Zone VPN?> Sorry, aber irgendwie habe ich dieses Firewallkonzept von OpenWRT wohl> noch nicht ganz verstanden.
Poste mal (anonymisiert) die Ausgabe von »ifconfig« und »route -n«.
ein G.a.s.t., wer sonst ;-) schrieb:> Du verwendest das für LAN und VPN den gleichen IP-Adressbereich, diese> sollten jedoch verschiedene IP-Adressbereiche verwenden.
Oh man, das wars schon. Ich dachte immer, da es mit dem Webinterface des
Routers funktioniert, ist es ein Firewallproblem. Deshalb habe ich es
auch nicht mit einem anderen Adressbereich versucht.
Vielen, vielen Dank für deine Hilfe!
Bin so froh, dass es endlich funktioniert :-)
Jetzt ist mir auch der Satz
> You may want to assign IPs from a subnet which doesn't overlap neither your >
home nor your guest's LAN.
aufgefallen.
Manchmal sieht man halt den Wald vor lauter Bäumen nicht...
Bißchen peinlich eigentlich ;-)