[SOLVED] OpenVPN lukt maar niet

Schuppenzot · 06 okt 2013, 22:33

Ik heb een Telenet modem/router met daarachter een TP-LINK WR1043 router (met DD-WRT). De TP-LINK is via statisch IP verbonden met de TELENET-modem en staat in DMZ.

Nu wilde ik om verschillende redenen een VPN-verbinding kunnen maken via met iPhone met het thuisnetwerk. De PPTP-vpn ingebouwd in iOS werkt perfect, maar is omwille van gekende redenen niet veilig genoeg. (ben wel wat paranöide) Nu wilde ik OpenVPN gebruiken maar het lukt me maar niet om het ding werkend te krijgen.

Wie kan me hierbij helpen?

jeffke · 06 okt 2013, 22:43

Makkelijkste is om met een static key te werken.

http://www.dd-wrt.com/wiki/index.php/OpenVPN

Je router ondersteunt ook SSH,je kan op die manier ook SSH tunnel opzetten en via die weg pptp connecteren.

http://www.alfredtong.com/linux/ssh-tunnel-ipad/

Schuppenzot · 07 okt 2013, 09:44

Ik gebruik inderdaad static keys.

Setup is als volgt:
TLN-modem
IP: 192.168.0.1
NM: 255.255.255.0

TP-LINK
WAN: static IP in DMZ
LAN IP: 192.168.1.1
LAN NM: 255.255.255.0
DHCP ingeschakeld van 192.168.1.10 tot 19

OpenVPN enabled, start WAN up, server-mode, TUN

keys heb ik aangemaakt via easy-rsa, zowel voor server als voor clients. (geïmporteerd in iOS via iTunes)

De firewall heb ik voorlopig uit gezet om daar al geen problemen mee te hebben.

Tot slot: ik maak verbinding via ddns van Afraid.org

Maar als ik met de OpenVPN app verbinding probeer te maken krijg ik zelfs geen antwoord van de server... Het lijkt alsof de OpenVPN-service helemaal niet actief is.

Schuppenzot · 07 okt 2013, 17:14

Als ik met TAP werk, start de service wel. Maar dat ondersteunt de iPhone weer niet.

Het is dus iets in mijn configuratie dat niet goed zit waardoor de server niet opstar

honda4life · 07 okt 2013, 18:02

Eerst lokaal testen of je verbinding kan maken, voor je extern wil testen.
Wel niet via DNS-naam maar via IP adres testen in dit geval.
Misschien is dit trouwens ook een probleem, dat je intern probeert te verbinden (=wifi) maar een "extern" adres > Via mobiel internet testen.

En eehm... Zeker dat je DNS-naam correct wordt omgezet en dat het IP wel dergelijk je externe adres is.
Dit kan je controleren door je externe adres: http://whatismyipaddress.com/
te vergelijken met bijvoorbeeld het adres gevonden door ping of tracert <<mijndnsnaam>> uit te voeren.

Synman · 07 okt 2013, 19:34

Opgelet. Telenet blokkeert alle poorten beneden 1023.

honda4life · 07 okt 2013, 20:16

Standaard 1194 dus ik vermoed niet dat dit een probleem is.

Schuppenzot · 07 okt 2013, 21:06

Update:

ik ben thuis aan het testen maar heb inderdaad wifi uitgezet waardoor ik extern werk via 3G. De DNS werkt nu wel, wat vanmiddag wel een probleem was. Maar toen kreeg ik wel een duidelijke foutmelding "error resolving DNS address" of zoiets.

MAAR, de VPN-verbinding lukt ondertussen. Ik kan ook LAN apparaten zien (ping + functioneel toegang). Da's dus in orde. Waar ik nu nog tegen loop is Internet-toegng via VPN.

Nog eventjes zoeken, maar tips zijn welkom!

honda4life · 07 okt 2013, 22:15

Linux?

zoek even de parameters "redirect gateway" en "push dns" op.
Redirect gateway routeert het internetverkeer, en push dns, stuurt een DNS server door.
Je kan misschien lokaal een DNS forwarder draaien of een externe DNS doorsturen (al weet ik niet of deze dan door de tunnel gaan).

Ook niet vergeten iptables voor dit.

Schuppenzot · 07 okt 2013, 22:23

Mja, probleem is dat de VPN-client niet uit het LAN-netwerk geraakt.
Lokaal kan ik de telenet-modem pingen maar via VPN lukt het niet.

Vergeef me dat mijn kennis over netwerken zéér ver weg zit. (laatste keer dat ik hierover les heb gehad is +7jaar geleden en sindsdien niet gebruikt) Hoe ik bovenstaande dus moet realiseren is me een raadsel.

honda4life · 07 okt 2013, 22:35

Geef je morgen wat meer uitleg, morgen te vroeg opstaan helaas

Schuppenzot · 09 okt 2013, 22:29

voor de geïnteresseerden, opgelost door subnet aan te passen:

LAN-setup:
IP: 192.168.1.1
SN: 255.255.255.0 --> 255.255.0.0

VPN-server:
IP: 192.168.2.0
SN: 255.255.255.0

Mocht dit geen goede oplossing zijn: ik sta open voor feedback!

honda4life · 09 okt 2013, 22:47

Als dat je ingestelde subnet is dat ingesteld is in je bbox wel ja, maar ik vermoed van niet.
Waarschijnlijk doe je iets heel anders dan dat het hoort op deze manier.

Schuppenzot · 09 okt 2013, 23:14

Waarschijnlijk is het niet de juiste manier. Het subnet op de telenet-moden is 255.255.255.0.

De bedoeling is dat lan en vpn op een verschillend subnet zitten. Bovendien lijkt mijn vpn-server enkel te werken als ik hem een netwerk xxx.xxx.xxx.0 toeken...

De dd-wrt beheert nu ahw het supernet 192.168.x.x. Trafiek dat niet voor buiten het lan bedoeld is houdt voorlopig de telenet-modem nog wel tegen.

[ Afbeelding

Post made via mobile device ]

honda4life · 10 okt 2013, 18:08

Weet niet hoe het bij dd-wrt werkt... maar moet je geen firewall rules toekennen voor te forwarden.
Vermits je nu je adressen in dezelfde subnet vallen, "omzeil" je dit probleem op de ene of de andere manier.

Schuppenzot · 10 okt 2013, 20:44

Firewall wordt "automatisch" ingesteld. Bovendien werkte het ook niet met firewall uitgeschakeld.

Maar van forward regels heb ik geen verstand.

honda4life · 10 okt 2013, 21:41

Staat in deze wiki niet alles dat je nodig hebt?
Waarschijnlijk nog genoeg andere informatie te vinden ook.

http://www.dd-wrt.com/wiki/index.php/OpenVPN

Schuppenzot · 10 okt 2013, 23:59

Ik heb ondertussen een betere oplossing:

LAN IP: 192.168.129.0
SN: 255.255.255.0

VPN IP: 192.168.129.128
SN: 255.255.255.128