[Berlin-wireless] Probleme VPN03 Setup

nordkartell at gmx.de nordkartell
Mo Feb 24 08:58:33 CET 2014


Hallo zusammen!

Ich habe OpenWrt Barrier Breaker berlin-33 / LuCI Trunk (svn-r9953) auf dem Router installiert.

tracert auf dem Laptop bringt keine Ergebnisse. Offline.

traceroute auf dem Router:

root at nordkartell:~# traceroute freifunk.net
traceroute to freifunk.net (217.197.80.240), 30 hops max, 38 byte packets
 1  192.168.1.1 (192.168.1.1)  0.363 ms  0.556 ms  0.536 ms
 2  82.82.6.199 (82.82.6.199)  618.908 ms  145.254.10.118 (145.254.10.118)  768.430 ms  829.450 ms
 3  145.254.10.113 (145.254.10.113)  517.354 ms  758.222 ms  790.218 ms
 4  92.79.213.122 (92.79.213.122)  538.266 ms  763.416 ms  815.851 ms
 5  80.150.168.29 (80.150.168.29)  493.145 ms  732.759 ms  828.902 ms
 6  194.25.6.30 (194.25.6.30)  490.223 ms  755.934 ms  826.168 ms
 7  xe-3-0-1.atuin.as6724.net (62.157.249.198)  447.785 ms  725.199 ms  850.332 ms
 8  ae0.0.morla.as6724.net (81.169.144.33)  466.308 ms  738.176 ms  854.071 ms
 9  xe-0-0-1.core-b30.as6724.net (85.214.0.64)  507.242 ms  751.879 ms  856.281 ms
10  vl490.octalus.in-berlin.de (85.214.1.141)  501.003 ms  751.070 ms  822.786 ms
11  freifunk.net (217.197.80.240)  503.710 ms  777.291 ms  812.659 ms

ip rule list:

root at nordkartell:/etc/config# ip rule list
0:      from all lookup local
100:    from all to 192.88.99.1 goto 32766
100:    from all to 77.87.48.10 goto 32766
100:    from all to 78.41.116.65 goto 32766
100:    from all to 83.125.8.0/22 goto 32766
100:    from all to 46.182.250.0/25 goto 32766
100:    from all to 178.238.128.0/20 goto 32766
100:    from all to 77.72.174.0/24 goto 32766
100:    from all to 217.10.64.0/20 goto 32766
1000:   from all lookup olsr
2000:   from all lookup localnets
20000:  from all iif br-lan lookup olsr-default
20001:  from all iif br-lan unreachable
32766:  from all lookup main
32767:  from all lookup default
100000: from all lookup olsr-default

Die Firewall sieht so aus:

root at nordkartell:/etc/config# cat /etc/config/firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option disable_ipv6 '1'

config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config zone
        option name 'freifunk'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'mesh0 mesh1 vpn03'

config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'

config forwarding
        option src 'lan'
        option dest 'wan'

config forwarding
        option src 'freifunk'
        option dest 'wan'

Die Datei /etc/config/freifunk_policyrouting ist leer. Auch mit vi. Obwohl es im WebIf aktiviert ist und außer bei LAN alle Haken drin sind.

ip rout show table all:

root at nordkartell:/etc/config# ip route show table all
104.0.0.0/8 dev wlan0  table localnets  scope link
192.168.1.0/24 dev eth1  table localnets  scope link
192.168.3.0/24 dev br-lan  table localnets  scope link
104.0.0.0/8 dev wlan0  table olsr  scope link
192.168.1.0/24 dev eth1  table olsr  scope link
192.168.3.0/24 dev br-lan  table olsr  scope link
default via 192.168.1.1 dev eth1  proto static
77.87.48.7 via 192.168.1.1 dev eth1  metric 1
77.87.48.10 via 192.168.1.1 dev eth1  metric 1
78.41.116.65 via 192.168.1.1 dev eth1  metric 1
104.0.0.0/8 dev wlan1  proto kernel  scope link  src 104.27.0.10
104.0.0.0/8 dev wlan0  proto kernel  scope link  src 104.27.0.9
192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.112
192.168.3.0/24 dev br-lan  proto kernel  scope link  src 192.168.3.1
broadcast 104.0.0.0 dev wlan1  table local  proto kernel  scope link  src 104.27.0.10
broadcast 104.0.0.0 dev wlan0  table local  proto kernel  scope link  src 104.27.0.9
local 104.27.0.9 dev wlan0  table local  proto kernel  scope host  src 104.27.0.9
local 104.27.0.10 dev wlan1  table local  proto kernel  scope host  src 104.27.0.10
broadcast 104.255.255.255 dev wlan1  table local  proto kernel  scope link  src 104.27.0.10
broadcast 104.255.255.255 dev wlan0  table local  proto kernel  scope link  src 104.27.0.9
broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1
local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1
local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1
broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1
broadcast 192.168.1.0 dev eth1  table local  proto kernel  scope link  src 192.168.1.112
local 192.168.1.112 dev eth1  table local  proto kernel  scope host  src 192.168.1.112
broadcast 192.168.1.255 dev eth1  table local  proto kernel  scope link  src 192.168.1.112
broadcast 192.168.3.0 dev br-lan  table local  proto kernel  scope link  src 192.168.3.1
local 192.168.3.1 dev br-lan  table local  proto kernel  scope host  src 192.168.3.1
broadcast 192.168.3.255 dev br-lan  table local  proto kernel  scope link  src 192.168.3.1
fd92:8df7:4451::/64 dev br-lan  proto kernel  metric 256
unreachable fd92:8df7:4451::/48 dev lo  proto static  metric 2147483647  error -128
fe80::/64 dev eth1  proto kernel  metric 256
fe80::/64 dev br-lan  proto kernel  metric 256
fe80::/64 dev wlan0  proto kernel  metric 256
fe80::/64 dev wlan1  proto kernel  metric 256
unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -128
local ::1 dev lo  table local  proto none  metric 0
local fd92:8df7:4451:: dev lo  table local  proto none  metric 0
local fd92:8df7:4451::1 dev lo  table local  proto none  metric 0
local fe80:: dev lo  table local  proto none  metric 0
local fe80:: dev lo  table local  proto none  metric 0
local fe80:: dev lo  table local  proto none  metric 0
local fe80:: dev lo  table local  proto none  metric 0
local fe80::6670:2ff:fe44:4f6b dev lo  table local  proto none  metric 0
local fe80::6670:2ff:fe44:4f6c dev lo  table local  proto none  metric 0
local fe80::6670:2ff:fe44:4f6d dev lo  table local  proto none  metric 0
local fe80::6670:2ff:fe44:4f6e dev lo  table local  proto none  metric 0
ff00::/8 dev br-lan  table local  metric 256
ff00::/8 dev eth1  table local  metric 256
ff00::/8 dev wlan0  table local  metric 256
ff00::/8 dev wlan1  table local  metric 256
unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -128

192.168.3.1 ist der Router, der Laptop hat die 192.168.3.154 und die 192.168.1.112 hat der Router ab blauen WAN-Port von meiner Fritzbox bekommen.

Das ist jetzt ne lange Mail, sorry. Ich hoffe, Ihr könnt mir helfen.

Einen guten Start in die neue Woche wünscht

Gregor aka nordkartell
 
 

Gesendet: Freitag, 21. Februar 2014 um 15:56 Uhr
Von: "Philipp Borgers" <borgers at mi.fu-berlin.de>
An: berlin at berlin.freifunk.net
Betreff: Re: [Berlin-wireless] Probleme VPN03 Setup
Wir können dir nur helfen, wenn wir genau Angaben von dir bekommen.
"Aktuelle stable" sagt recht wenig aus. Es wäre gut, wenn du die unten
genannten Fragen beantworten könntest.

Kennst du dich mit der shell aus? Kannst du dich per ssh mit dem Router
verbinden? Falls dem so ist wäre es cool, wenn du mal folgende Befehle
ausführen könntest um ein komplettes Bild der Situation zu erzeugen:

Auf dem client/laptop:

Die Wege und Hops anzeigen, die Daten vom Client zu einem Server im
Internet nehmen. Z.B. mit

mtr freifunk.net
traceroute freifunk.net

Wenn hier steht, "destination network unreachable", dann ist
höchstwahrscheinlich deine Firewall falsch konfiguriert.

Auf dem Router:

ip rule list

Zeigt alle policy-routing Regel des Routers an. Wenn es keine, wenig
gibt, dann ist Policy-Routing nicht aktiviert oder deinem Image fehlt
das Package.

cat /etc/config/firewall

Zeigt uns deine Firewall-Konfiguration.

cat /etc/config/freifunk_policyrouting (so oder so ähnlich)

Zeigt uns die Konfiguration vom policyrouting.

Der Inhalt der Routing-Tabellen ist ev. auch interessant:

ip route show table all

Lösung deiner Probleme ist wahrscheinlich die Aktivierung des
policy-routings und/oder die richtige Konfiguration der Firewall.

On 21.02.2014 11:35, nordkartell at gmx.de wrote:
> Hallo!
>
> Ich habe die aktuelle stable auf dem Router. Ich hatte im c-base ein wenig Hilfe mit der manuellen Config. Der Router funktionierte mit WAN zu meiner Fritzbox.
> Dann wollte ich nach Anleitung den VPN03 aufsetzen. Wenn ich OpenVPN starte, läuft das Traceroute im Router auch über die IP vom Verein freier Netze.
> Ich bekomme nur mit keinem Gerät über WiFi eine Splash-Page, kann nur direkt auf das WebIf zugreifen und vermute, dass dadurch, dass ich die Spalsh Page nicht sehe und akzeptieren kann, ich nicht ins Netz gelassen werde. Kann das sein? Wo kann ich die Splash-Page aktivieren oder forcieren?
>
> Danke für Eure Hilfe.
>
> Gregor aka nordkartell
>
> Gesendet: Donnerstag, 20. Februar 2014 um 21:57 Uhr
> Von: "Philipp Borgers" <borgers at mi.fu-berlin.de>
> An: berlin at berlin.freifunk.net
> Betreff: Re: [Berlin-wireless] Probleme VPN03 Setup
> Wie hast du den Router konfiguriert? Welche Firmware hast du geflasht?
>
> Hast du im Assistenten dein Internet freigegeben und ausgewählt, dass du
> das Freifunk-VPN nutzen willst?
>
> On 20.02.2014 14:04, nordkartell at gmx.de wrote:
>> Wenn ich die sh "ffvpn-up.sh" in /etc/openvpn ausführe, bekomme ich im Log folgende Meldung:
>>
>> Thu Feb 20 13:56:27 2014 user.debug up-down-ffvpn: no route_net_gateway env var from openvpn!
>> Thu Feb 20 13:56:27 2014 user.notice up-down-ffvpn: no policy routing freifunk-policyrouting.pr.enable=0
>
> Das policyrouting ist wahrscheinlich deaktiviert. Wer weiß warum.
> Konfiguration dazu findest du ev. unter /etc/config/freifunk_policyrouting.
>
> Du kannst auch mal gucken was "ip rule list" sagt. Wahrscheinlich fehlen
> dort auch einige Regel.
>
>>
>> Vielleicht sagt das jemandem was? Ich kann es leider nicht interpretieren.
>>
>> //LG Gregor
>>
>>
>> Gesendet: Donnerstag, 20. Februar 2014 um 12:56 Uhr
>> Von: nordkartell at gmx.de
>> An: berlin at berlin.freifunk.net
>> Betreff: [Berlin-wireless] Probleme VPN03 Setup
>> Hallo zusammen und danke für die Hilfe mit dem Router-Setup gestern in der c-base an "Bluse".
>>
>> Ich habe heute versucht, das VPN03 aufzusetzen. Die Dateien liegen alle brav in /etc/openvpn.
>> Leider habe ich Probleme, bei denen ich Eure Hilfe benötige.
>>
>> Openvpn scheint nicht automatisch zu starten. Wenn der Router neu gestartet ist, verläuft ein traceroute über den normalen Provider meiner Fritzbox.
>>
>> Wenn ich Openvon manuell mit "/etc/init.d/vpn03 debug" aus http://wiki.freifunk.net/Vpn03#Troubleshooting[https://3c.gmx.net/mail/client/dereferrer?redirectUrl=http%3A%2F%2Fwiki.freifunk.net%2FVpn03%23Troubleshooting[https://3c.gmx.net/mail/client/dereferrer?redirectUrl=http%3A%2F%2Fwiki.freifunk.net%2FVpn03%23Troubleshooting][https://3c.gmx.net/mail/client/dereferrer?redirectUrl=http%3A%2F%2Fwiki.freifunk.net%2FVpn03%23Troubleshooting[https://3c.gmx.net/mail/client/dereferrer?redirectUrl=http%3A%2F%2Fwiki.freifunk.net%2FVpn03%23Troubleshooting]][https://3c.gmx.net/mail/client/dereferrer?redirectUrl=http%3A%2F%2Fwiki.freifunk.net%2FVpn03%23Troubleshooting[https://3c.gmx.net/mail/client/dereferrer?redirectUrl=http%3A%2F%2Fwiki.freifunk.net%2FVpn03%23Troubleshooting][https://3c.gmx.net/mail/client/dereferrer?redirectUrl=http%3A%2F%2Fwiki.freifunk.net%2FVpn03%23Troubleshooting[https://3c.gmx.net/mail/client/dereferrer?redirectUrl=http%3A%2F%2Fwiki.freifunk.net%2FVpn03%23Troubleshooting]]]] starte, bekomme ich keine der dort angegebenen Fehlermeldungen. Sogar die Route in traceroute auf dem Router zeigt dann statt einer Provider-IP im 2. Hop die IP des Freie Netze e.V. an, aber ich komme danach leider nicht mehr per Browser ins Netz.
>>
>> Woran kann das liegen. Bin leider, was OpenWRT angeht, ziemlich unbeleckt und weiß nicht, wo ich suchen soll.
>>
>> Danke im Voraus für Eure Hilfe.
>>
>> LG Gregor aka nordkartell
>>
>>
>> Thu Feb 20 12:41:01 2014 cron.info crond[1519]: crond: USER root pid 2432 cmd /usr/sbin/ff_olsr_test_gw.sh
>> Thu Feb 20 12:41:01 2014 cron.info crond[1519]: crond: USER root pid 2433 cmd /usr/sbin/ffwatchd running || /etc/init.d/freifunk-watchdog restart
>> Thu Feb 20 12:41:01 2014 user.info gw-check: dyngw disable or no RtTable 254
>> Thu Feb 20 12:41:23 2014 daemon.notice openvpn[2502]: OpenVPN 2.3.0 mips-openwrt-linux-gnu [SSL (PolarSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May 7 2013
>> Thu Feb 20 12:41:23 2014 daemon.warn openvpn[2502]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
>> Thu Feb 20 12:41:23 2014 daemon.warn openvpn[2502]: ******* WARNING *******: null cipher specified, no encryption will be used
>> Thu Feb 20 12:41:23 2014 daemon.notice openvpn[2503]: UDPv4 link local: [undef]
>> Thu Feb 20 12:41:23 2014 daemon.notice openvpn[2503]: UDPv4 link remote: [AF_INET]77.87.48.10:1194
>> Thu Feb 20 12:41:24 2014 daemon.info dnsmasq[1873]: exiting on receipt of SIGTERM
>> Thu Feb 20 12:41:27 2014 daemon.info dnsmasq[2547]: started, version 2.66 cachesize 150
>> Thu Feb 20 12:41:27 2014 daemon.info dnsmasq[2547]: compile time options: IPv6 GNU-getopt no-DBus no-i18n no-IDN DHCP no-DHCPv6 no-Lua TFTP no-conntrack no-ipset no-auth
>> Thu Feb 20 12:41:27 2014 daemon.info dnsmasq-dhcp[2547]: DHCP, IP range 192.168.3.100 -- 192.168.3.249, lease time 12h
>> Thu Feb 20 12:41:27 2014 daemon.info dnsmasq[2547]: using local addresses only for domain olsr
>> Thu Feb 20 12:41:27 2014 daemon.info dnsmasq[2547]: reading /tmp/resolv.conf.auto
>> Thu Feb 20 12:41:27 2014 daemon.info dnsmasq[2547]: using nameserver 192.168.1.1#53
>> Thu Feb 20 12:41:27 2014 daemon.info dnsmasq[2547]: using local addresses only for domain olsr
>> Thu Feb 20 12:41:27 2014 daemon.info dnsmasq[2547]: read /etc/hosts - 6 addresses
>> Thu Feb 20 12:41:27 2014 daemon.info dnsmasq[2547]: read /tmp/hosts/6relayd - 0 addresses
>> Thu Feb 20 12:41:27 2014 daemon.info dnsmasq-dhcp[2547]: read /etc/ethers - 0 addresses
>> Thu Feb 20 12:41:35 2014 daemon.notice openvpn[2503]: [77.87.48.10] Peer Connection Initiated with [AF_INET]77.87.48.10:1194
>> Thu Feb 20 12:41:38 2014 daemon.notice openvpn[2503]: TUN/TAP device vpn03 opened
>> Thu Feb 20 12:41:38 2014 daemon.notice openvpn[2503]: do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=1
>> Thu Feb 20 12:41:38 2014 daemon.notice openvpn[2503]: /usr/sbin/ip link set dev vpn03 up mtu 1500
>> Thu Feb 20 12:41:38 2014 daemon.notice openvpn[2503]: /usr/sbin/ip addr add dev vpn03 172.31.240.58/20 broadcast 172.31.255.255
>> Thu Feb 20 12:41:38 2014 daemon.notice openvpn[2503]: /usr/sbin/ip -6 addr add 2002:4d57:300a:fffe::1038/64 dev vpn03
>> Thu Feb 20 12:41:38 2014 daemon.notice openvpn[2503]: vpn03-updown vpn03 1500 1526 172.31.240.58 255.255.240.0 init
>> Thu Feb 20 12:41:38 2014 daemon.notice netifd: Interface 'vpn03' is now up
>> Thu Feb 20 12:41:38 2014 daemon.notice openvpn[2503]: add_route_ipv6(2000::/3 -> 2002:4d57:300a:fffe::1 metric -1) dev vpn03
>> Thu Feb 20 12:41:38 2014 daemon.notice openvpn[2503]: Initialization Sequence Completed
>> Thu Feb 20 12:41:38 2014 user.notice firewall: Reloading firewall due to ifup of vpn03 (vpn03)
>> Thu Feb 20 12:41:44 2014 daemon.info olsrd_hotplug: [OK] ifup: 'vpn03' => 'vpn03'
>> Thu Feb 20 12:41:44 2014 daemon.debug olsrd_hotplug: [OK] interface 'vpn03' => 'vpn03' not used for olsrd
>>
>>
>> _______________________________________________
>> Berlin mailing list
>> Berlin at berlin.freifunk.net
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin[http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin][http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin[http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin]][http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin[http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin][http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin[http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin]]]
>>
>> _______________________________________________
>> Berlin mailing list
>> Berlin at berlin.freifunk.net
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin[http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin][http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin[http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin]]
>>
>
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin[http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin][http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin[http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin]]
>
>
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin[http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin]
>


_______________________________________________
Berlin mailing list
Berlin at berlin.freifunk.net
http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin[http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin]





Mehr Informationen über die Mailingliste Berlin