[Berlin-wireless] vpn geht nicht mehr
Florian Beckmann
florianbeckmann
Mo Aug 31 21:19:39 CEST 2015
On Monday 31 August 2015 18:46:56 Bastian wrote:
> Hallo,
>
> kannst du es mal mit vpn03.berlin.freifunk.net als DNS entry anstatt
> der hardcoded IP probieren?
> Oder noch 77.87.49.66 und 77.87.49.68 zusaetzlich angeben...
Also, falls Du traceroute meintest, das klappt nur zu
vpn03.berlin.freifunk.net nicht zu den beiden ips :
root at FUNKENPUMPE:/etc/openvpn# traceroute -i tunfreifunkvpn
vpn03.berlin.freifunk.net
traceroute to vpn03.berlin.freifunk.net (77.87.48.10), 30 hops max, 38 byte
packets
1 vpn03.berlin.freifunk.net (77.87.48.10) 11.555 ms 20.306 ms 14.126 ms
root at FUNKENPUMPE:/etc/openvpn# traceroute -i tunfreifunkvpn 77.87.49.66
traceroute to 77.87.49.66 (77.87.49.66), 30 hops max, 38 byte packets
1 172.31.239.1 (172.31.239.1) 10.360 ms 13.045 ms 11.053 ms
2 * * *
root at FUNKENPUMPE:/etc/openvpn# traceroute -i tunfreifunkvpn 77.87.49.68
traceroute to 77.87.49.68 (77.87.49.68), 30 hops max, 38 byte packets
1 172.31.239.1 (172.31.239.1) 16.955 ms 13.272 ms 10.543 ms
2 * * *
Muss ich das Routing irgendwie anpassen?
Ich hatte "damals" ein eigenes up/down script für openvpn gebaut damit das aus
dem lokalen freifunk wlan richtig geroutet wird - ich benutze route-nopull(!)
weil das mit den routing sonst nicht klappte:
hier mal meine config files:
---
/etc/config/opevpn:
config openvpn 'Funkenpumpe_Suedstern'
option enabled '1'
option config '/etc/openvpn/funkenpumpe-suedstern-tcp.conf'
---
/etc/openvpn/funkenpumpe-suedstern-tcp.conf:
# Freifunk Berlin VPN, TCP, Encrypted, OpenVPN 2.1+
#client
tls-client
proto tcp-client
dev tunfreifunkvpn
remote vpn03.berlin.freifunk.net 443 # Standard Server
remote vpn03-backup.berlin.freifunk.net 443 # Backup Server
# remote vpn03.berlin.freifunk.net 80 tcp # Alternativer Port: 80
# remote vpn03.berlin.freifunk.net 443 tcp6 # Alternative: IPv6 Transport
nobind
persist-key
ca /etc/openvpn/funkenpumpe-suedstern/freifunk-ca.crt
cert /etc/openvpn/funkenpumpe-suedstern/funkenpumpe-suedstern.crt
key /etc/openvpn/funkenpumpe-suedstern/funkenpumpe-suedstern.key
ns-cert-type server
comp-lzo yes # Bessere Datenleitungs-
Nutzung
cipher AES-256-CBC # Ist kompatibel zu
OpenVPN+PolarSSL
pull
dhcp-option DNS vpn03.berlin.freifunk.net 77.87.49.66 77.87.49.68
# Ignore the redirect-gateway so 'lan' works, and do policy-based routing
"manually" in the script
allow-pull-fqdn
route-nopull
script-security 2
up /etc/openvpn/funkenpumpe-suedstern-updown.sh
down /etc/openvpn/funkenpumpe-suedstern-updown.sh
log-append /var/log/openvpn/openvpn.log
---
/etc/openvpn/funkenpumpe-suedstern-updown.sh
#!/bin/sh
table=100
echo "guest-up.sh: script_type: $script_type, openvpn env vars: dev $dev :
ifconfig_local: $ifconfig_local -> ifconfig_remote: $ifconfig_remote,
route_vpn_gateway: $route_vpn_gateway, rout
e_net_gateway: $route_net_gateway"
logger "guest-up.sh: script_type: $script_type, opnvpn env vars: dev $dev :
ifconfig_local: $ifconfig_local -> ifconfig_remote: $ifconfig_remote,
route_vpn_gateway: $route_vpn_gateway"
case $script_type in up)
# log commands for debugging with logread:
logger "ip route add default via $ifconfig_local dev $dev table $table"
logger "ip rule add from 6.0.82.0/24 table $table"
echo "ip route add default via $ifconfig_local dev $dev table $table"
echo " ip rule add from 6.0.82.0/24 table $table"
ip route add 6.0.82.0/24 dev wlan0-1 table $table
ip route add default via $ifconfig_local dev $dev table $table
ip rule add from 6.0.82.0/24 table $table
echo "route/rules added."
logger "route/rules added."
#iptable stuff id done in openwrt's firewall custom_rules because each
time firewall restarts ip table's flushed.
#echo "iptables -I FORWARD -o $dev -j ACCEPT"
#echo "iptables -t nat -I POSTROUTING -o $dev -j MASQUERADE"
#logger "iptables -I FORWARD -o $dev -j ACCEPT"
#logger "iptables -t nat -I POSTROUTING -o $dev -j MASQUERADE"
#iptables -I FORWARD -o $dev -j ACCEPT
#iptables -t nat -I POSTROUTING -o $dev --src 6.0.82.0/24 -j
MASQUERADE
#ip tables logging
#iptables -A FORWARD -s 6.0.82.0/24 -j LOG --log-level debug
#iptables -t nat -A POSTROUTING --src 6.0.82.0/24 -p tcp -j LOG --log-
level debug
echo "iptables set up."
logger "iptables set up."
ip route flush cache
echo "ip route cache flushed."
---
> Best,
> Bastian
>
> Am 31.08.2015 18:13, schrieb Florian Beckmann:
> > Hallo Freifunker,
> >
> > seit Freitag oder Samstag geht der Internetzugang über den VPN-Tunnel
> > auf
> > meinem Router (FUNKENPUMPE) nicht mehr.
> >
> > Der Verbindung zum Tunnel steht wohl - ifconfig:
> > tunfreifunkvpn Link encap:UNSPEC HWaddr
> > 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
> >
> > inet addr:172.31.239.2 P-t-P:172.31.239.2
> >
> > Mask:255.255.255.0
> >
> > inet6 addr: fd0a:2a33:d4bb::1/64 Scope:Global
> > inet6 addr: 2002:4d57:300a:fffd::1000/64 Scope:Global
> > UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
> > RX packets:7 errors:0 dropped:0 overruns:0 frame:0
> > TX packets:4650 errors:0 dropped:0 overruns:0 carrier:0
> > collisions:0 txqueuelen:100
> > RX bytes:556 (556.0 B) TX bytes:539891 (527.2 KiB)
> >
> > Müsste aber bei P-t-P nicht die Gegenstelle (172.31.239.1 ?) stehen?
> > 172.31.239.1 lässt sich jedenfalls anpingen:
> > ---
> > root at FUNKENPUMPE:~# ping -I tunfreifunkvpn 172.31.239.1
> > PING 172.31.239.1 (172.31.239.1): 56 data bytes
> > 64 bytes from 172.31.239.1: seq=0 ttl=64 time=12.063 ms
> > 64 bytes from 172.31.239.1: seq=1 ttl=64 time=12.060 ms
> > ---
> >
> > Dazu muss ich noch sagen daß ich weder dass Freifunk Image noch das
> > aus dem
> > Wiki bekannte vpn03 skript zur Einrichtung verwendet habe, sondern
> > alles über
> > OpenWRT-Boardmittel (inkl. dem Freifunk Assistenten) gemacht habe ich
> > fand das
> > "einfacher" und transparenter. Jedenfalls funktionierte es die
> > letzten 2 Jahre
> > wunderbar, jetzt plötzlich nicht mehr.
> > Wurde irgendwas verändert?
> >
> > traceroute -i tunfreifunkvpn www.google.com
> > traceroute to www.google.com (173.194.112.212), 30 hops max, 38 byte
> > packets
> >
> > 1 172.31.239.1 (172.31.239.1) 10.651 ms 12.572 ms 16.675 ms
> > 2 * * *
> >
> > Bis zur 172.31.239.1 scheint's ja zu gehen.
> >
> > Ideen?
> >
> >
> > _______________________________________________
> > Berlin mailing list
> > Berlin at berlin.freifunk.net
> > http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> > Diese Mailingliste besitzt ein öffentlich einsehbares Archiv
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein öffentlich einsehbares Archiv
Mehr Informationen über die Mailingliste Berlin