[Fli4l_dev] openvpn roadwarrior mit fli4l 4.0 testing

Alexander Dahl lespocky at web.de
So Nov 15 12:40:06 CET 2015


Hallo zusammen, 

ich versuche meinem fli4l eine OpenVPN roadwarrior config beizubringen.
Der fli4l arbeitet als Ethernetrouter hinter einem Kabelmodem
(bridge-Modus), d.h. er bekommt auf eth0 über DHCP eine öffentliche
IPv4, die über eine dyndns.org Adresse aufgelöst werden kann.

Wie in der Dokumentation empfohlen hab ich keine besonderen
Paketfilterregeln eingerichtet, sondern teste erstmal nur mit ping.
Raodwarrior selbst ist ein Notebook, das über UMTS im Internet hängt und
Debian Jessie mit KDE4 und NetworkManager Plasma Widget zur
Konfiguration der OpenVPN-Verbindung nutzt. 

Die Erzeugung des PSK war kein Problem, der ist auf dem Notebook auch
hinterlegt. Der UDP-Port im Router scheint laut nmap offen zu sein. Das
Notebook behauptet auch eine Verbindung aufgebaut zu haben, es geht aber
kein Ping an die VPN IP durch und mit netstat sehe ich auf dem Notebook
auch keine passende Verbindung.

Auf dem Router sehe ich jedoch mit netstat -lup folgendes:

udp        0      0 169.254.23.42:14187     0.0.0.0:* 25512/openvpn

Das heißt doch, dass der openvpn hier gar nicht auf eth0 (178.24.xx.xxx)
lauscht?

Config auf dem fli4l sieht so aus:

OPT_OPENVPN='yes'
OPENVPN_EXPERT='no'
OPENVPN_WEBGUI='yes'
OPENVPN_DEFAULT_CIPHER='AES-128-CBC' # alix 2d3
OPENVPN_DEFAULT_DIGEST='SHA256'
OPENVPN_N='1'
OPENVPN_1_NAME='tiffy'                                                     
OPENVPN_1_ACTIV='yes'                                                      
OPENVPN_1_LOCAL_PORT='14187'                                               
OPENVPN_1_LOCAL_VPN_IP='10.131.205.1'                                      
OPENVPN_1_REMOTE_VPN_IP='10.131.205.2'                                     
OPENVPN_1_SECRET='tiffy.secret'                                            
OPENVPN_1_TYPE='tunnel'                                                    

# schon mal vorbereitet für später
OPENVPN_1_PF_FORWARD_N='0'                                                 
OPENVPN_1_PF_FORWARD_1='ACCEPT'                                            
OPENVPN_1_PF_INPUT_N='0'                                                   
OPENVPN_1_PF_INPUT_1='if:VPNDEV:any tmpl:dns ACCEPT'                       

Das entspricht soweit ich das sehen kann dem Beispiel aus der Doku.
Nachdem ich (laut NetworkManager) die Verbindung erfolgreich aufgebaut
hab, kann ich 10.131.205.2 pingen, 10.131.205.1 jedoch nicht. Umgekehrt
auf dem Router geht auch bloß der ping auf die eigene Adresse.

Meine Vermutung ist grad, dass der Router da zu restriktiv lauscht.
Warum tut er das? Denkfehler bei mir? Muss ich da noch was anderes
angeben in der Config? In der Doku finde ich nichts, wo ich ein
listening interface angeben könnte. Laut webgui ist in der config
folgende Zeile drin:

local 169.254.23.42

In der Doku steht zu OPENVPN_x_LOCAL_HOST »Bei Verbindungen über
das Internet sollte dieser Eintrag leer bleiben oder komplett
weggelassen werden.« und genau das hab ich ja gemacht?!

Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: 02C8 A590 7FE5 CA5F 3601  D1D5 8FBA 7744 CC87 10D0


Mehr Informationen über die Mailingliste Fli4l_dev