Alle Arbeiten geschehen auf eigene Gefahr. Diese Anleitung erhebt keinen Anspruch auf Richtigkeit oder Vollständigkeit. Für Schäden an Soft- und Hardware sowie für Ausfälle Ihrer Infrastruktur sind Sie selbst verantwortlich. Wir können keine Unterstützung für nicht von uns getestete Szenarien, Hardware, Software und Betriebssysteme anbieten. Alle Anleitungen setzen ein Blanko- bzw. minimal konfiguriertes System voraus. Bitte beachten Sie immer die Sicherheitshinweise in der Bedienungsanleitung des Herstellers. Führen Sie Tests nicht in Produktiv-Umgebungen durch. Testen Sie die Lösung ausgiebig, bevor Sie sie produktiv einsetzen. Kritische IT-Systeme sollten nur von qualifiziertem Personal konfiguriert werden. Verwenden Sie stets sichere Passwörter, ändern Sie Standard-Passwörter umgehend ab. Viele Geräte sind auch von uns vorkonfiguriert lieferbar.
Mittels dieser Anleitung kann der Tunnel-Zugang mit fester IP-Adresse auf einem DD-WRT Betriebssystem eingerichtet werden. Die feste IPv4-Adresse liegt auf dem Gerät an und kann von dort aus mittels Port-Weiterleitungen ("DNAT") in Ihrem LAN weiter transportiert werden.
Die Konfiguration wurde mit einem Linksys E1200 V2 Router mit Broadcom Chipsatz getestet. Andere Geräte verhalten sich möglicherweise anders. Bitte haben Sie Verständnis dafür, dass wir nur Support für exakt dieses Modell leisten können.
Dieser Teil der Anleitung bezieht sich größtenteils auf das exakte Modell "Linksys E1200 V2" mit der FCC ID "Q89-E1200V2" / IC-Nummer "3839A-E1200V2" mit Broadcom BCM5357 Chipsatz, für andere Modelle treffen einige Schritte nicht zu und können im schlimmsten Fall zur Beschädigung des Geräts führen! Diese Anleitung ist eine erweiterte Übersetzung des englischen Originals: http://www.dd-wrt.com/wiki/index.php/Linksys_E1200v2
Warnung: Ändern Sie Standard-Zugangsdaten umgehend ab. Das Gerät steht im öffentlichen Internet und wird damit sehr schnell automatisch Ziel von Angriffen! Im Idealfall deaktivieren Sie den Zugriff auf das Web-Interface / Telnet oder ändern den Port ab.
IP: 192.168.1.10
Subnetzmaske: 255.255.255.0
Standardgateway: 192.168.1.1
DNS-Server: Leer oder 8.8.8.8 für Google DNS Server
4. Installation von DD-WRT (am Beispiel des Routers E1200v2)
Dieser Abschnitt widmet sich der grundlegenden Konfiguration von DD-WRT inklusive einigen sicherheitsrelevanten Einstellungen. Alle Einstellungen sind als Empfehlungen zu verstehen - falls Sie z.B. die WLAN-Funktion benötigen können Sie diese natürlich nutzen. Die genannten IP-Adressen sind als Beispiel zu verstehen - Sie müssen die IP-Adressen an Ihr bestehendes LAN anpassen.
Verwenden Sie am besten die Funktion "Schedule Reboot" mit einem "Interval". Damit wird das Gerät auch regelmäßig neu gestartet wenn keine aktuelle Uhrzeit zur Verfügung steht.
Für eine schnellere Reaktion bei Abbrüchen oder Ausfällen sowie in ruhigen Netzwerken, in denen nur wenige Clients die IP-Verbindung verwenden, aktivieren Sie zusätzlich die Funktion "WDS/Connection Watchdog":
Klicken Sie nun auf "Apply Settings". Jetzt werden die zuvor zwischengespeicherten Einstellungen angewendet und permanent gespeichert.
Das Gerät ist nun unter der IP-Adresse erreichbar, die Sie als "Local IP Address" festgelegt haben.
Verbinden Sie den E1200 mittels eines Netzwerk-Kabels am Port 1 ("Ethernet", blau) mit einem freien Switch-Port Ihres Internet-Routers.
Schalten Sie den E1200 kurz aus und wieder ein.
Stellen Sie die in Schritt 3 umgestellte IP-Konfiguration Ihres Computers wieder auf die zuvor verwendete (i.d.R. "IP-Adresse automatisch beziehen" oder "DHCP") um.
Öffnen Sie das Web-Interface des E1200 unter der IP-Adresse, die Sie unter "Local IP Address" festgelegt haben. Navigieren Sie zu "Services > VPN". Nehmen Sie die folgenden Einstellungen vor:
Inhalt für das Feld "Additional Config":
sndbuf 0
rcvbuf 0
keepalive 20 120
nobind
route-delay 5
verb 4
mute 5
explicit-exit-notify
auth-retry nointeract
resolv-retry infinite
persist-key
persist-tun
reneg-sec 0
reneg-bytes 0
setenv CLIENT_CERT 0
Inhalt für das Feld "CA Cert":
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Klicken Sie anschließend auf "Save" und dann auf "Apply Settings" und schalten Sie den Router aus.
Verbinden Sie nun einen LAN-Port (nicht _Internet_ oder _WAN_!) des DD-WRT-Routers mithilfe eines Ethernet-Kabels mit einem freien LAN-Switch-Port Ihres Internet-Routers und schalten Sie den DD-WRT-Router ein.
Der DD-WRT-Router sollte sich nun mit unserem Einwahlserver verbinden. Sie können die Funktion testen, indem Sie die Ihnen von uns zugeteilte feste, öffentliche IPv4-Adresse z.B. von einem Smartphone aus aufrufen. Es sollte eine Anmeldeaufforderung erscheinen. Sie können sich dann mit den zuvor eingestellten Geräte-Zugangsdaten anmelden.
iptables -t nat -A PREROUTING -i tap1 -p AAA --dport BBBB -j DNAT --to CCC.CCC.CCC.CCC:DDDD
iptables -t nat -A PREROUTING -i tap1 -p tcp --dport 80 -j DNAT --to 192.168.178.50:80
Leitet http://<Ihre feste IP> an das Gerät mit der LAN-IP 192.168.178.50 weiter.
iptables -t nat -A PREROUTING -i tap1 -p tcp --dport 81 -j DNAT --to 192.168.178.51:80
Leitet http://<Ihre feste IP>:81 an das Gerät mit der LAN-IP 192.168.178.51:80 weiter.
iptables -t nat -A PREROUTING -i tap1 -j DNAT --to 192.168.178.54
Leitet den gesamten Traffic inklusive GRE (PPTP), AH, ESP (IPsec), ICMP (Ping) an 192.168.178.54 weiter (auch "Exposed Host" oder "DMZ" genannt)
Nutzen Sie diese Regel zusätzlich zur in 6.) erstellten Port-Weiterleitung um das Web-Interface z.B. einer FRITZ!Box erreichbar zu machen:
iptables -t nat -A PREROUTING -i tap1 -p AAA --dport BBBB -j DNAT --to CCC.CCC.CCC.CCC:DDDD iptables -t nat -A POSTROUTING -d CCC.CCC.CCC.CCC -j SNAT --to ZZZ.ZZZ.ZZZ.ZZZ
VORAUSGESETZT DER E1200 HAT DIE LAN-IP-ADRESSE 192.168.178.254
iptables -t nat -A PREROUTING -i tap1 -p tcp --dport 8080 -j DNAT --to 192.168.178.1:80
iptables -t nat -A POSTROUTING -d 192.168.178.1 -j SNAT --to 192.168.178.254
Damit wird das Webinterface Ihrer Fritz!Box unter
http://<Ihre feste IP>:8080
erreichbar.
Hinweis: Die zusätzliche SNAT-Regel ist nur notwendig, falls Sie Dienste Ihres Standardgateways nutzen möchten wie z.B. das Webinterface der Fritz!Box o.Ä. Falls Sie nur Server / Dienste hinter Ihrem Standardgateway nutzen möchten sind diese Regeln nicht erforderlich!
Beispiel-Aufbau:
Ohne SNAT-Regel:
Mit SNAT-Regel:
Hinweis: Dieser Vorgang hat zur Folge, dass die z.B. Fritz!Box als Absender-IP nicht mehr eine öffentliche IP-Adresse sondern eine LAN-IP-Adresse "sieht". Pakete, die mittels SNAT modifiziert wurden behandelt die Fritz!Box also als LAN-Pakete, nicht als Internet-Pakete. Daher greifen in diesem Fall alle Einstellungen nicht mehr, die sich ausschließlich auf Internet-Pakete beziehen. Eine andere Konfiguration ist an dieser Stelle aber leider nicht möglich, dafür sind die Konfigurationsmöglichkeiten der meisten Provider- bzw. Consumer-Geräte zu begrenzt.
Nach Abschluss der Konfiguration ist der Linksys E1200 weltweit aus dem Internet mittels seiner festen, öffentlichen IPv4-Adresse erreichbar. Sie können den Zugriff auf das Web-Interface und den Telnet-Zugang mithilfe dieser Regeln beschränken:
# Telnet nur von lokal oder IXS Netz erlauben
iptables -I INPUT -i tap1 -p tcp -m tcp --dport 23 -s 10.0.0.0/8 -j ACCEPT
iptables -I INPUT -i tap1 -p tcp -m tcp --dport 23 -s 172.16.0.0/12 -j ACCEPT
iptables -I INPUT -i tap1 -p tcp -m tcp --dport 23 -s 192.168.0.0/16 -j ACCEPT
iptables -I INPUT -i tap1 -p tcp -m tcp --dport 23 -s 212.58.67.1/24 -j ACCEPT
iptables -A INPUT -i tap1 -p tcp -m tcp --dport 23 -j DROP
# Web-Interface nur von lokal oder IXS Netz erlauben
iptables -I INPUT -i tap1 -p tcp -m tcp --dport 80 -s 10.0.0.0/8 -j ACCEPT
iptables -I INPUT -i tap1 -p tcp -m tcp --dport 80 -s 172.16.0.0/12 -j ACCEPT
iptables -I INPUT -i tap1 -p tcp -m tcp --dport 80 -s 192.168.0.0/16 -j ACCEPT
iptables -I INPUT -i tap1 -p tcp -m tcp --dport 80 -s 212.58.67.1/24 -j ACCEPT
iptables -A INPUT -i tap1 -p tcp -m tcp --dport 80 -j DROP
Falls Ihr DD-WRT-Router keine Verbindung zu unserem VPN-Service mit fester, öffentlicher IP-Adresse aufbaut nutzen Sie bitte unsere Tipps zur Fehlerbehebung und Diagnose.
Die Fehlerdiagnose kann nicht über das Webinterface von DD-WRT durchgeführt werden. Bitte verbinden Sie sich mit Telnet oder SSH mit Ihrem DD-WRT-Gerät. Nutzen Sie hierfür eine Software wie Putty unter Windows oder diesen Befehl unter
Linux:
telnet 123.456.789.0
Windows:
123.456.789.0 (LAN-IP des Geräts)
23
Telnet
Wobei 123.456.789.0
der IP-Adresse Ihres DD-WRT Routers entspricht.
Falls Sie Putty nicht kennen oder die Linux-Kommandozeile noch nie verwendet haben, haben wir hier eine Kurzanleitung für Sie bereitgestellt:
Standardzugangsdaten:
Benutzer: root
Passwort: admin
Bevor überhaupt eine VPN-Verbindung hergestellt werden kann muss Ihr DD-WRT-Router auf jeden Fall eine primitive Verbindung mit Internet XS herstellen können bzw. Ihr lokales Netz muss fehlerfrei funktionieren. Zur Diagnose setzen Sie einen Ping-Befehl ab.
ping -c 3 ovpnip2.internet-xs.de
Sie erhalten eine ähnliche Ausgabe wie
[root@ddwrt ~]# ping -c 3 ovpnip2.internet-xs.de
PING ovpnip2.internet-xs.de (212.58.69.1) 56(84) bytes of data.
64 bytes from ovpnip2.internet-xs.de (212.58.69.10): icmp_seq=1 ttl=64 time=2.14 ms
64 bytes from ovpnip2.internet-xs.de (212.58.69.10): icmp_seq=2 ttl=64 time=0.808ms
64 bytes from ovpnip2.internet-xs.de (212.58.69.10): icmp_seq=3 ttl=64 time=1.06 ms
--- ovpnip2.internet-xs.de ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2082ms
rtt min/avg/max/mdev = 0.808/1.336/2.142/0.580 ms
Falls Sie die folgende Meldung erhalten:
[root@ddwrt ~]# ping -c 3 ovpnip2.internet-xs.de
ping: unknown host ovpnip2.internet-xs.de
Funktioniert die DNS-Auflösung in Ihrem lokalen Netzwerk nicht. Bitte prüfen Sie die Konfiguration oder ersetzen Sie die Zeile
remote ovpnip2.internet-xs.de 1194
durch
remote 212.58.69.10 1194
Wichtig: So lange der Ping-Befehl nicht funktioniert bzw. unser VPN-Server für Sie nicht erreichbar ist, wird auch keine VPN-Verbindung herstellt werden können. Bitte prüfen Sie Ihre lokale Netzwerkkonfiguration.
Problem nicht gelöst?
Falls Ihr Problem im Support-Bereich nicht gelöst wurde oder Sie weitere Hilfe benötigen, rufen Sie uns einfach an oder schreiben Sie uns:
0711 / 78 19 41-0
support@internet-xs.de
IP-Adresse: http://www.internet-xs.de/tools/ip