[Berlin-wireless] vpn03 geht nach einer Weile nicht mehr ...

Philipp Borgers borgers
Sa Okt 12 17:54:10 CEST 2013 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Du bist immerhin nicht alleine ;) Bei mir geht es auch nur so halb...

On 12.10.2013 17:10, Juergen Neumann wrote:
> Hallo Sven-Ola,
> 
> bin mal wieder dabei zu versuchen, meinen 741er ans laufen zu
> kriegen. Habe jetzt einfach noch mal ganz von vorne angefangen und
> einen neuen Router genommen, die letzte Pberg-Firmware vom
> 06.10.2013 drauf geschmissen, alles schön im FF-Assistenten
> eingetragen, vpn03 installiert ... und siehe da, es geht auch
> wieder nicht.

Welche firmware hast du installiert? Link? Patrick hat mir folgende
empfohlen für eine WR842:

http://download.berlin.freifunk.net/attitude_adjustment/12.09/ar71xx/vpn/TLWR842/

Im full image fehlen packages fürs policy routing. Deshalb besser vpn.

Wie hast du vpn03 installiert? So:

opkg update
opkg install kmod-tun
opkg install
http://download.berlin.freifunk.net/sven-ola/vpn03/vpn03-install-to-ramdisk_all.ipk

Scheint mir so. Ich weiß nicht wie das mit Patricks Firmware
harmoniert. Ich würde darauf verzichten! Eigentlich sollte der
Assistent und das VPN-Gui alles einstellen und uci configs schreiben.
Also sollte es auch keine /etc/openvpn/*.conf mehr geben, die du
editieren kannst.

> 
> Nach einem Neustart des Routers bzw. nach einem '/etc/init.d/vpn03 
> restart funktioniert es immer für eine gewisse Weile. Dann ist der 
> Tunnel unterbrochen und es geht nicht mehr ins Internet.
> 
> Im Logfile taucht eine Meldung auf: OpenVPN 2.1 requires 
> '--script-security 2' or higher to call user defined scripts or 
> executables.
> 
> Habe also mal in meiner openvpn-xyz_udp.conf 'script-security 2' 
> ergänzt. Ändert aber auch nichts an dem grundsätzlichen Problem.

Ich glaube das macht nicht wirklich was.

Noch mehr logging gibt es mit option verb '11' in der uci config. Aber
das muss auch erstmal wer entziffern.

In der neuen Firmware gibt es policy-routing. D.h. wir haben
verschiedene Tabellen und Regeln. Fürs debugging ist es ev. nützlich,
wenn du den Inhalt von allen anzeigen lassen kannst:

ip route show table main
ip route show table default
ip route show table olsr
ip route show table olsr-default
ip route show table olsr-tunnel
ip rule list

> Direkt nach dem Neustart des Routers geht wie gesagt alles, z.B.: 
> root at myrouter:~# traceroute -n heise.de traceroute to heise.de
> (193.99.144.80), 30 hops max, 38 byte packets 1  172.31.240.1
> 70.121 ms  61.169 ms  10.943 ms 2  77.87.48.1  11.166 ms  10.463 ms
> 18.433 ms 3  217.197.91.130  15.434 ms  14.685 ms  27.618 ms 4
> 192.109.82.65  16.697 ms  17.145 ms  13.106 ms 5  194.9.117.35
> 15.790 ms  24.590 ms  17.436 ms 6  *  *  *
> 
> Ein paar Minuten später geht es dann schon nicht mehr. Ich kann
> heise.de weder anpingen noch einen traceroute machen. 'ip r' meint
> dazu:
> 
> root at myrouter:~# ip r 0.0.0.0/1 via 172.31.240.1 dev tun0 default
> via 192.168.9.254 dev eth1  proto static # <= Das ist mein 
> korrektes lokales Internet-GW. 104.0.0.0/8 dev wlan0-1  proto
> kernel  scope link  src 104.131.9.30 104.131.9.1 via 104.131.9.7
> dev wlan0-1  metric 2 onlink 104.131.9.7 via 104.131.9.7 dev
> wlan0-1  metric 2 onlink 104.131.9.16 via 104.131.9.16 dev wlan0-1
> metric 2 onlink 104.131.9.160/29 via 104.131.9.16 dev wlan0-1
> metric 2 onlink 104.131.9.161 via 104.131.9.16 dev wlan0-1  metric
> 2 onlink 104.131.9.168/29 via 104.131.9.7 dev wlan0-1  metric 2
> onlink 104.131.9.176/28 via 104.131.9.7 dev wlan0-1  metric 2
> onlink 104.131.9.224/28 dev wlan0  proto kernel  scope link  src
> 104.131.9.225 104.131.9.250 via 104.131.9.7 dev wlan0-1  metric 2
> onlink 104.131.9.253 via 104.131.9.7 dev wlan0-1  metric 2 onlink 
> 104.131.9.254 via 104.131.9.7 dev wlan0-1  metric 2 onlink 
> 128.0.0.0/1 via 172.31.240.1 dev tun0 172.31.240.0/20 dev tun0
> proto kernel  scope link  src 172.31.240.28 192.168.9.0/24 dev eth1
> proto kernel  scope link  src 192.168.9.11 192.168.224.0/24 dev
> br-lan  proto kernel  scope link  src 192.168.224.1
> 
> Ich habe Dir mal logfile in den Anhang gepackt.
> 
> LG
> 
> JuergeN
> 
> 
> 
> 
> _______________________________________________ Berlin mailing
> list Berlin at berlin.freifunk.net 
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> 

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
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=6h4d
-----END PGP SIGNATURE-----

Mehr Informationen über die Mailingliste Berlin