Einrichtung feste, öffentliche IPv4-Adresse mit DD-WRT

PDF-Download

Ausgangssituation:

  1. Sie haben ein bestehendes, konfiguriertes lokales Netzwerk (LAN) mit einem All-in-one-Router wie z.B. einer FRITZ!Box, einem Speedlink-Gerät oder einem vergleichbaren Router.
  2. Sie möchten einen VPN Zugang mit fester, öffentlicher IPv4-Adresse auf einem DD-WRT-fähigen Router einrichten.
  3. Der DD-WRT-fähige Router ist noch nicht mit einer DD-WRT-Firmware bespielt
  4. Die Konfiguration wurde mit einem cisco Linksys E1200 V2 Router mit Broadcom Chipsatz getestet. Andere Geräte verhalten sich möglicherweise anders.

 

1.) Installation von DD-WRT auf dem DD-WRT-Router (z.B. cisco Linksys E1200v2)

Dieser Teil der Anleitung bezieht sich größtenteils auf das exakte Modell "cisco Linksys E1200 v2 (Model No. E1200-EW auf der Verpackung)" mit Broadcom BCM5357 Chipsatz, für andere Modelle treffen einige Schritte nicht zu und können im schlimmsten Fall zur Beschädigung des Geräts führen! Diese Anleitung ist eine erweiterte Übersetzung des englischen Originals: http://www.dd-wrt.com/wiki/index.php/Linksys_E1200v2

Achtung: Führen Sie die angegebenen Schritte bitte genau so aus wie beschrieben. Die vielen Resets und Wartezeiten sind tatsächlich notwendig.

Warnung: Ändern Sie Standard-Zugangsdaten umgehend ab. Das Gerät steht im öffentlichen Internet und wird damit sehr schnell automatisch Ziel von Angriffen! Im Idealfall deaktivieren Sie den Zugriff auf das Web-Interface / Telnet oder ändern den Port ab.

  1. Rufen Sie die Webseite http://www.dd-wrt.com/site/support/router-database auf und suchen Sie nach "E1200". Wählen Sie die korrekte Revision (Sie finden die Revisionsnummer auf der Rückseite des Geräts), z.B. "V2".
  2. Laden Sie die Datei "mega" herunter (bei anderen Modellen ggf. andere Bezeichnungen).
  3. Nur cisco Linksys E1200 v2: Laden Sie zusätzlich diese "mini"-Firmware Datei herunter: ftp://ftp.dd-wrt.com/betas/2013/05-27-2013-r21676/broadcom_K26/dd-wrt.v24-21676_NEWD-2_K2.6_mini-e1200v2.bin.
    Verwenden Sie für Linksys E1200v2 nicht die "mini"-Version aus der Router-Datenbank sondern die hier bzw. auf der oben verlinkten "Wiki"-Seite verlinkte Version.
  4. Nur cisco Linksys E1200 v2: Führen Sie einen 30/30/30 Reset durch.
  5. Trennen Sie alle Netzwerkverbindungen am Konfigurations-Client (z.B. Windows PC oder Notebook), auch WLAN.
  6. Ändern Sie die IP-Konfiguration (Windows: Systemsteuerung -> Netzwerk und Internet -> Netzwerk- und Freigabecenter -> Adaptereinstellungen ändern -> Rechtsklick auf Ihre Netzwerkkarte (z.B. Ethernet oder LAN-Verbindung) -> Eigenschaften -> Internetprotokoll Version 4 -> Eigenschaften):

    IP: 192.168.1.10
    Subnetzmaske:
    255.255.255.0
    Standardgateway:
    192.168.1.1
    DNS-Server:
    Leer oder 8.8.8.8 für Google DNS Server

  7. Rufen Sie im Browser (z.B. Firefox) die Seite "http://192.168.1.1" auf und melden Sie sich an. Standardbenutzerdaten für E1200: Benutzer "admin", Passwort "admin".
  8. Navigieren Sie zur Firmware-Update Seite (ziehen Sie ggf. das Handbuch des Routers zu Rate).
  9. Laden Sie die "mini"-Version (z.B. dd-wrt.v24-21676_NEWD-2_K2.6_mini-e1200v2.bin) hoch und starten Sie das Update (warten, bis das Update vollständig durchgeführt ist und das Gerät sich neu gestartet hat und auf keinen Fall Strom abtrennen).
  10. Warten Sie 5 Minuten, um die Integrität des Flash-Speichers sicherzustellen.
  11. Trennen Sie das Gerät für 5 Sekunden vom Strom (Stecker "12VDC Power" trennen)
  12. Verbinden Sie das Gerät wieder mit dem Strom (Stecker "12VDC Power einstecken) und warten Sie ca. 2 Minuten.
  13. Testen Sie kurz, ob das Webinterface unter http://192.168.1.1 erreichbar ist. Nehmen Sie keine Einstellungen vor.
  14. Nur cisco Linksys E1200 v2: Führen Sie danach einen 30/30/30 Reset durch.
  15. Warten Sie ca. 3 Minuten, bis Sie sich im Webinterface einloggen.
  16. DD-WRT sollte nun installiert sein. Das Webinterface ist nach wie vor unter http://192.168.1.1 erreichbar.
  17. Trennen Sie das Gerät für 5 Sekunden vom Strom (Stecker "12VDC Power" trennen)
  18. Verbinden Sie das Gerät wieder mit dem Strom (Stecker "12VDC Power einstecken) und warten Sie ca. 2 Minuten.
  19. Melden Sie sich am DD-WRT Webinterface an. Benutzer: "root", Passwort: "admin".
  20. Navigieren Sie zur Firmware-Upgrade-Seite von DD-WRT (Administration -> Firmware Upgrade).
  21. Laden Sie nun die "mega"-Version (z.B. dd-wrt.v24-21061_NEWD-2_K2.6_mega-nv64k.bin) hoch und starten Sie das Update (warten, bis das Update vollständig durchgeführt ist und das Gerät sich neu gestartet hat und auf keinen Fall Strom abtrennen).
  22. Warten Sie 5 Minuten, um die Integrität des Flash-Speichers sicherzustellen.
  23. Trennen Sie das Gerät für 5 Sekunden vom Strom (Stecker "12VDC Power" trennen)
  24. Verbinden Sie das Gerät wieder mit dem Strom (Stecker "12VDC Power einstecken) und warten Sie ca. 2 Minuten.
  25. Nur cisco Linksys E1200 v2: Führen Sie danach einen 30/30/30 Reset durch.
  26. Warten Sie 5 Minuten, um die Integrität des Flash-Speichers sicherzustellen.
  27. Trennen Sie das Gerät für 5 Sekunden vom Strom (Stecker "12VDC Power" trennen)
  28. Verbinden Sie das Gerät wieder mit dem Strom (Stecker "12VDC Power einstecken) und warten Sie ca. 2 Minuten.
  29. Warten Sie ca. 3 Minuten, bis Sie sich im Webinterface einloggen. DD-WRT inkl. OpenVPN-Client sollte nun installiert sein.

2.) Netzwerkkonfiguration

Sie müssen die Netzwerkkonfiguration an Ihr bestehendes Netzwerk anpassen. Der DD-WRT-Router agiert als Client in Ihrem bestehenden Netz, daher muss er eine freie IP aus dem bestehenden Netz erhalten.

  1. Navigieren Sie zu Setup -> Basic Setup
  2. Wählen Sie: WAN Setup : WAN Connection Type : Connection Type : Disabled
  3. Wählen Sie: Network Setup : Router IP : Local IP Address : Eine freie IP aus Ihrem LAN (z.B. 192.168.178.254)
  4. Subnet Mask : Zutreffende Subnetzmaske (meist 255.255.255.0)
  5. Gateway : IP Ihres "Haupt-Routers" wie z.B. einer Fritz!Box, Speedport... (z.B. 192.168.178.1)
  6. Local DNS : Ein DNS Server in Ihrem LAN, meist von einem Router wie Fritz!Box, Speedort... gestellt, z.B. 192.168.178.1
  7. Wählen Sie: Network Address Server Settings (DHCP) : DHCP Type : DHCP Forwarder
  8. DHCP Server : Ein DHCP Server in Ihrem LAN, meist von einem Router wie Fritz!Box, Speedport... gestellt, z.B. 192.168.178.1
  9. Speichern mit "Apply Settings" und "Save"
  10. Durch die änderung der lokalen IP-Adresse ("Local IP Address") ist der DD-WRT-Router jetzt nicht mehr erreichbar.
  11. Der DD-WRT Router ist nun in Ihrem bestehenden LAN erreichbar.
  12. Ändern Sie die IP-Konfiguration Ihres Clients wieder auf Ihre Standardeinstellungen zurück (z.B. IP- und DNS-Einstellungen automatisch beziehen).
  13. Verbinden Sie Ihren Konfigurations-Client mit dem Switch Ihres Internet-Routers (Fritz!Box, Speedport...)
  14. Öffnen Sie das DD-WRT Web-Interface unter der zuvor vergebenen lokalen IP-Adresse, in diesem Beispiel 192.168.178.254 ("Local IP Address").

3.) Einrichten von OpenVPN / Startup-Konfiguration

  1. Navigieren Sie zu Administration -> Commands
  2. Fügen Sie die Konfiguration ein (WICHTIG: ixs4XXX mit dem zugewiesenem Benutzernamen ersetzen, YYYYYY mit dem zugewiesenem Passwort):

    Achtung: Falls Ihr Benutzername nicht mit "ixs4..." oder "ixs5..." beginnt, wenden Sie sich bitte an unseren Support.

    echo "ixs4XXX
    YYYYYY" > /tmp/ovpnip1.internet-xs.de.user
    echo "client
    dev tap
    proto tcp
    remote 212.58.69.2 443
    tun-mtu 1454
    nobind
    redirect-gateway
    persist-key
    persist-tun
    auth none
    cipher none
    ca /tmp/ovpnip1.internet-xs.de.crt
    comp-lzo
    verb 3
    mute 20
    auth-user-pass
    reneg-sec 0
    inactive 86400
    pull
    route-metric 10
    setenv CLIENT_CERT 0" > /tmp/ovpnip1.internet-xs.de.ovpn
    echo "-----BEGIN CERTIFICATE-----
    MIIGGzCCBAOgAwIBAgIJALeK3rTgLjw5MA0GCSqGSIb3DQEBCwUAMIGjMQswCQYD
    VQQGEwJERTEQMA4GA1UECBMHR2VybWFueTESMBAGA1UEBxMJU3R1dHRnYXJ0MSEw
    HwYDVQQKExhJbnRlcm5ldCBYUyBTZXJ2aWNlIEdtYkgxKDAmBgNVBAMTH0ludGVy
    bmV0IFhTIFNlcnZpY2UgR21iSCBTSEEyNTYxITAfBgkqhkiG9w0BCQEWEnNzbEBp
    bnRlcm5ldC14cy5kZTAeFw0xNDExMTIxNDI5NDJaFw0yNDExMDkxNDI5NDJaMIGj
    MQswCQYDVQQGEwJERTEQMA4GA1UECBMHR2VybWFueTESMBAGA1UEBxMJU3R1dHRn
    YXJ0MSEwHwYDVQQKExhJbnRlcm5ldCBYUyBTZXJ2aWNlIEdtYkgxKDAmBgNVBAMT
    H0ludGVybmV0IFhTIFNlcnZpY2UgR21iSCBTSEEyNTYxITAfBgkqhkiG9w0BCQEW
    EnNzbEBpbnRlcm5ldC14cy5kZTCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
    ggIBAN4voLiHRD58gFbkG9GSJAoE7yTY5oNgSpn9LQuOYdI0cMIsX54QfBS3sqE5
    jIaYxevwTSxN0U4mWf8prbioo/DasD+MY/3O1HPwLp+6b0KjULmh47S8ypFUbycZ
    5he+se0woO7EdgLgu927OTfijBLp2RIc+fBYz7ScBNCNdrOxN5IE2DXUPNyYl6HS
    DR/ZFsbtRjnlK/0TT625REY6d3hdbLG8EujAlIYB/AAvrQGrS3a3p4LSXKuFvOxh
    gMKvQKbUVzSxI8bMxYU1Cu+stTjI1RTAf2C/wAPgJmgJJZonbSeiMWlAJczOqf18
    kJbS8i8Nu2w69cWXZkt7XiIrLGHiRymJnPniU3dk9RCQCBUuFT0CZgKHKkP+s1Nl
    eV4HH2oLu/DbF2UErGByGOVJcRgUsTHRgIqyfxxRnDcFZNbwC/vJaTxsHLHtmUBv
    Bs62yX14vNDqGIqo5qG3guNdGBgzK1PGs0WcfJFAqbvZdNjRCzc3xlnejW7HDlsN
    olleDvuspuJIBesVLdTVFnFk8XljPR+6pOUys38fBx0KNi6lejlnPlNOSctcKeiM
    SZu0mNr/8xoFBEW7NzlBP/mhcYHNyTnZvjA04Loxcuwoul5R19lKJkyFFnpz57iM
    BeGmTr67DzyxdNE+jBKQxjJXlRK2xbMvyadYIfkKHw8cizspAgMBAAGjUDBOMB0G
    A1UdDgQWBBQtnt0phKcLPWn4ukcc4Vu1NX1SiDAfBgNVHSMEGDAWgBQtnt0phKcL
    PWn4ukcc4Vu1NX1SiDAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBCwUAA4ICAQBN
    V9Q5PUifg8ZBHueKuRpz8Hst7OXsp1BbDNdRJosEDKtVy3C7OCdvIRQgv8zECoSY
    6V8JYx2Znvy1EHP9uvjMkEUL3CtX2IQAIf7+IJCA3IlWHIprWKxN0voGYJ2ZjczZ
    zCN7XPsQhuuCIsXbdnyCsK2o2P5Ny6KiVOCqYPmdIk0gTCI1hM/ZXJy1xTGE0mZb
    z6mwi+qBLtcTn+EFo7cWzM2Mg3yLV4QhtTREktnHVYg0VnloLd55k3vyD+vBnV60
    0ZmzpRnHwHJFuySuLAoo0UAtbG1/6s5rXV2xVf81biJFtJC/dMiSCSCa10YMjXE5
    SssPdW94jaasCnjCrRab++5jer82oYZtPZXLXOveGBSoSKCMwn0vt/TH1d54jCrN
    Zd42EMKoyL1JezSoL8w0zgJvO7cnmqj6aJFlN7JdsuMXAyZ15kq02txVoLiVIu/h
    NBhQtUYrxwFxSveBjRJyVveuJCe3jKwfHYGVCpHjoj6YPmskmBHk7mWI7L4UC1Mc
    cQBTy0hXnki4YxhrAmnQA+y949f9O+0tYA3FnipSSPIboPd4slCBjuhqdbAP4Q02
    TctU+R7J88S9RzmnfCFhNqjxihFcNa7fPqKD0QoA+AXaY/d8UKYvA9YLOsxaP1tG
    zOq+r+wjROh5rhlun2O+b1VrLGmTyX3XwKSEg/wirw==
    -----END CERTIFICATE-----" > /tmp/ovpnip1.internet-xs.de.crt;
    /usr/sbin/openvpn --daemon --config /tmp/ovpnip1.internet-xs.de.ovpn --auth-user-pass /tmp/ovpnip1.internet-xs.de.user
    iptables -t nat -I POSTROUTING -o tap0 -j MASQUERADE

  3. ixs4XXX mit dem zugewiesenem Benutzernamen ersetzen, YYYYYY mit dem zugewiesenem Passwort
  4. Klicken Sie auf "Save Startup".
  5. Starten Sie den Router neu: Administration -> Management -> Reboot Router (ganz am Ende der Seite)

4.) Ausführung testen

Testen Sie, ob der OpenVPN Client ausgeführt wird.

  1. Öffnen Sie das DD-WRT Web-Interface unter der zuvor vergebenen lokalen IP-Adresse, in diesem Beispiel 192.168.178.254 ("Local IP Address").
  2. Navigieren Sie zu Administration -> Commands -> Diagnostics -> Command Shell
  3. Geben Sie im Feld "Commands" diesen Befehl ein: ps | grep vpn
  4. Klicken Sie auf "Run Commands".
  5. Eine Ausgabe ähnlich der folgenden sollte erscheinen:
    1270 root      3176 S    /usr/sbin/openvpn --daemon --config /tmp/ovpnip1.interne[...]

5.) Server, NAS, Heimautomatisierung etc. unter der festen IP-Adresse erreichbar machen

Stellen Sie bei Ihrem Server, NAS, Heimautomatisierung o.Ä. als Standardgateway jetzt die lokale IP-Adresse des DD-WRT-Routers ein, in unserem Beispiel 192.168.178.254.
Falls Sie zum testen einen Windows-PC als Server verwenden möchten, müssen Sie die IP-Konfiguration manuell vornehmen mit einer freien IP-Adresse aus Ihrem LAN. In unserem Beispiel 192.168.178.10.

Falls Sie das Standardgateway des Geräts (vorallem wenn das Standardgateway selbst angebunden werden soll, z.B. Fritz!Box, Speedport o.Ä.) nicht verändern können, nehmen Sie die Port-Weiterleitung wie in 5.1) beschrieben vor und erstellen Sie zusätzlich die sog. "SNAT-Regeln" wie in 5.2) beschrieben.

5.1) Port-Weiterleitungen hinzufügen

In unserem Beispiel möchten Sie den Port 80 (Standard-Webserver-Port) eines Servers über Ihre feste, öffentliche IP-Adresse erreichbar machen.

  1. Öffnen Sie das DD-WRT-Webinterface und navigieren Sie zur "Startup Konfiguration" wie in 3.) beschrieben.
  2. Fügen Sie ganz am Ende (nach iptables -t nat -I POSTROUTING -o tap0 -j MASQUERADE) eine neue Zeile nach folgendem Schema ein:

    iptables -A PREROUTING -t nat -i tap0 -p tcp --dport 80 -j DNAT --to 192.168.178.10:80
  3. Klicken Sie auf "Save Startup" und starten Sie den DD-WRT-Router neu.


Sie können weitere Portweiterleitungen nach diesem Schema einrichten. Erläuterung:

iptables -A PREROUTING -t nat -i tap0 -p AAA --dport XX -j DNAT --to YYY.YYY.YYY.YYY:ZZ

AAA: Protokoll. Vorgegeben von der Software auf Ihrem Endgerät, meist tcp (tcp oder udp möglich)
XX: Quell-Port (aus DD-WRT-Router-Sicht), z.B. 80. Sie erreichen das Ziel nacher über Ihre IP:YY, z.B. 212.58.72.10:80
YYY.YYY.YYY.YYY, Ziel-IP, z.B. 192.168.178.10: IP Ihres Endgeräts in Ihrem lokalen Netzwerk, z.B. eines Servers, NAS, Heimautomatisierung, Überwachungskamera.
ZZ: Ziel-Port, z.B. 80. Dieser wird meist von der Software auf dem Endgerät vorgegeben (z.B. Webinterface für NAS).

  • Der Quell-Port (aus DD-WRT-Router-Sicht, XX) kann vom Ziel-Port (ZZ) abweichen, das können Sie selbst festlegen.
  • Sie erreichen das konfigurierte Ziel (Ziel-IP:Ziel-Port) aus dem Internet unter 212.58.72.10:80.

5.2) Spezialfall: Dienste des Standardgateways (z.B. Fritz!Box) anbinden mittels SNAT-Regel

Das Standardgateway Ihres LAN-Standardgateways (z.B. Internet-Router wie Fritz!Box, Speedport o.Ä.) kann natürlich nicht auf die LAN-IP-Adresse des E1200 umgestellt werden da das LAN-Standardgateway (i.d.R. Ihr Internet-Router) selbst ein Gateway benötigt, das die Verbindung mit dem Internet darstellt.

Falls Sie also z.B. das Webinterface einer Fritz!Box oder eines Speedports über die öffentliche IP erreichen möchten muss zusätzlich zur Port-Weiterleitung eine sog. SNAT-Regel definiert werden. Mit dieser Regel wird festgelegt, dass die Absender-IP-Adresse aller Pakete, die an eine bestimmte LAN-IP-Adresse (z.B. LAN-IP einer Fritz!Box) geleitet werden, auf die LAN-IP-Adresse des E1200 geändert wird. Damit schickt das anzubindende Gerät die Antworten nicht mehr an sein Standardgateway (im Falle eines Internet-Routers der nächste Router Ihres Providers) sondern direkt zurück an die Absender-IP - die mittels der SNAT-Regel auf die LAN-IP des E1200 gesetzt wurde.

SNAT-Regel:

iptables -t nat -A POSTROUTING -d YYY.YYY.YYY.YYY -j SNAT --to ZZZ.ZZZ.ZZZ.ZZZ

wobei

YYY.YYY.YYY.YYY =  LAN-IP-Adresse des Standardgateways, z.B. Fritz!Box
ZZZ.ZZZ.ZZZ.ZZZ  = LAN-IP des E1200

entspricht.

Hinweis: Diese Regeln sind nur nötig, falls Sie Dienste Ihres Standardgateways nutzen möchten wie z.B. das Webinterface der Fritz!Box o.Ä. Falls Sie nur Server / Dienste hinter Ihrem Standardgateway nutzen möchten sind diese Regeln nicht erforderlich!

Beispiel:

  • Internet-Router: Fritz!Box. IP: 192.168.178.1
  • Linksys E1200: IP 192.168.178.254
  • Externer Zugriff von 85.25.258.123 auf Web-Interface der Fritz!Box

Ohne SNAT-Regel:

  1. Paket aus dem Internet: Absender-IP-Adresse 85.25.258.123
  2. Linksys E1200
  3. Port-Weiterleitung an Fritz!Box
  4. Fritz!Box: Antwort an 85.25.258.123
  5. IP liegt nicht im Subnetz der Fritz!Box
  6. Fritz!Box schickt Antwort an Standard-Gateway (Provider-Router)
  7. Kann das Paket nicht zuordnen
  8. --- Paket wird spätestens hier verworfen ---

Mit SNAT-Regel:

  1. Paket aus dem Internet: Absender-IP-Adresse 85.25.258.123
  2. Linksys E1200
  3. Port-Weiterleitung an Fritz!Box
  4. SNAT: 85.25.258.123 wird durch 192.168.178.254 ersetzt
  5. Fritz!Box: Antwort an 192.168.178.254
  6. IP liegt im Subnetz der Fritz!Box
  7. Fritz!Box schickt antwort an E1200
  8. SNAT: 192.168.178.254 wird durch 85.25.258.123 ersetzt
  9. Zuordnung kann Stattfinden
  10. --- Antwort an 85.25.258.123 wird zugestellt. ---

Hinweis: Dieser Vorgang hat zur Folge, dass die z.B. Fritz!Box als Absender-IP nicht mehr eine öffentliche IP-Adresse sondern eine LAN-IP-Adresse "sieht". Pakete, die mittels SNAT modifiziert wurden behandelt die Fritz!Box also als LAN-Pakete, nicht als Internet-Pakete. Daher greifen in diesem Fall alle Einstellungen nicht mehr, die sich ausschließlich auf Internet-Pakete beziehen. Eine andere Konfiguration ist an dieser Stelle aber leider nicht möglich, dafür sind die Konfigurationsmöglichkeiten der meisten Provider- bzw. Consumer-Geräte zu begrenzt.


Fehlerbehebung / Fehlerdiagnose

Falls Ihr DD-WRT-Router keine Verbindung zu unserem VPN-Service mit fester, öffentlicher IP-Adresse aufbaut nutzen Sie bitte unsere Tipps zur Fehlerbehebung und Diagnose.

Die Fehlerdiagnose kann nicht über das Webinterface von DD-WRT durchgeführt werden. Bitte verbinden Sie sich mit Telnet oder SSH mit Ihrem DD-WRT-Gerät. Nutzen Sie hierfür eine Software wie Putty unter Windows oder diesen Befehl unter

Linux:

telnet 123.456.789.0

Windows:

  1. Öffnen Sie "putty.exe"
  2. Host Name (or IP address): 123.456.789.0 (LAN-IP des Geräts)
  3. Port: 23
  4. Connection type: Telnet

Wobei 123.456.789.0 der IP-Adresse Ihres DD-WRT Routers entspricht.

Falls Sie Putty nicht kennen oder die Linux-Kommandozeile noch nie verwendet haben, haben wir hier eine Kurzanleitung für Sie bereitgestellt:

Putty verwenden

Standardzugangsdaten:

Benutzer: root
Passwort: admin

Ping / DNS-Auflösung testen

Bevor überhaupt eine VPN-Verbindung hergestellt werden kann muss Ihr DD-WRT-Router auf jeden Fall eine primitive Verbindung mit Internet XS herstellen können bzw. Ihr lokales Netz muss fehlerfrei funktionieren. Zur Diagnose setzen Sie einen Ping-Befehl ab.

ping -c 3 ovpnip1.internet-xs.de

Sie erhalten eine ähnliche Ausgabe wie

[root@ddwrt ~]# ping -c 3 ovpnip1.internet-xs.de
PING ovpnip.internet-xs.de (212.58.69.1) 56(84) bytes of data.
64 bytes from ovpnip1.internet-xs.de (212.58.69.2): icmp_seq=1 ttl=64 time=2.14 ms
64 bytes from ovpnip1.internet-xs.de (212.58.69.2): icmp_seq=2 ttl=64 time=0.808ms
64 bytes from ovpnip1.internet-xs.de (212.58.69.2): icmp_seq=3 ttl=64 time=1.06 ms
--- ovpnip1.internet-xs.de ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2082ms
rtt min/avg/max/mdev = 0.808/1.336/2.142/0.580 ms

Falls Sie die folgende Meldung erhalten:

[root@ddwrt ~]# ping -c 3 ovpnip1.internet-xs.de
ping: unknown host ovpnip1.internet-xs.de

Funktioniert die DNS-Auflösung in Ihrem lokalen Netzwerk nicht. Bitte prüfen Sie die Konfiguration oder ersetzen Sie die Zeile

remote ovpnip1.internet-xs.de 443

durch

remote 212.58.69.2 443

Wichtig: So lange der Ping-Befehl nicht funktioniert bzw. unser VPN-Server für Sie nicht erreichbar ist, wird auch keine VPN-Verbindung herstellt werden können. Bitte prüfen Sie Ihre lokale Netzwerkkonfiguration.

Ausführung überprüfen

Bitte starten Sie zunächst das Gerät neu damit die Startup-Konfiguration "frisch" ausgeführt wird.

Prüfen Sie, ob die Konfigurationsdateien korrekt angelegt wurden:

ls -al /tmp

In der Liste sollten folgende Dateien enthalten sein:

ovpnip1.internet-xs.de.ovpn
ovpnip1.internet-xs.de.user
ovpnip1.internet-xs.de.crt

Prüfen Sie ggf. noch den Inhalt der Dateien:

cat /tmp/ovpnip1.internet-xs.de.user

Inhalt:

ixsXXXX
YYYYYYY

Wobei XXXX Ihrer Zugangsnummer, YYYYYY Ihrem Passwort entspricht.

cat /tmp/ovpnip1.internet-xs.de.ovpn

Inhalt:

client
dev tap
proto tcp
[...]
pull
route-metric 10
setenv CLIENT_CERT 0

cat /tmp/ovpnip1.internet-xs.de.crt

Inhalt:

-----BEGIN CERTIFICATE-----
MIIGGzCCBAOgAwIBAgIJALeK3rTgLjw5MA0GCSqGSIb3DQEBCwUAMIGjMQswCQYD
[...]
zOq+r+wjROh5rhlun2O+b1VrLGmTyX3XwKSEg/wirw==
-----END CERTIFICATE-----

Falls alle benötigten Dateien vorhanden sind und den korrekten Inhalt haben, prüfen Sie, ob der OpenVPN-Client gestartet wurde:

ps | grep vpn

Es sollte eine Zeile ähnlich dieser erscheinen:

root       150  0.0  0.7 365440 20632 ?        Ssl  Aug07   2:37 /usr/sbin/openvpn --daemon --config /tmp/ovpnip1.internet-xs.de.ovpn --auth-user-pass /tmp/ovpnip1.internet-xs.de.user

Falls der OpenVPN-Client nicht gestartet wurde, geben Sie bitte folgenden Befehl ein:

/usr/sbin/openvpn

Wenn Sie eine Ausgabe wie die folgende erhalten

-sh: /usr/sbin/openvpn: No such file or directory

ist der OpenVPN-Client nicht auf Ihrem Betriebssystem installiert. Bitte installieren Sie zunächst den OpenVPN-Client.

Falls der OpenVPN Client installiert ist, starten Sie ihn mit den Konfigurationsdateien manuell:

/usr/sbin/openvpn --config /tmp/ovpnip1.internet-xs.de.ovpn --auth-user-pass /tmp/ovpnip1.internet-xs.de.user

Es handelt sich hierbei um denselben Befehl wie in der Startup-Konfiguration, jedoch ohne den Parameter "--daemon". Dadurch wird der OpenVPN-Client im Vordergrund gestartet und erlaubt damit eine bessere Fehlerdiagnose, da ggf. Fehlermeldungen angezeigt werden, die bei der Lösung des Problems helfen können.

Falls der OpenVPN-Client nun gestartet wird, überprüfen Sie nochmal genau Ihre Startup-Konfiguration.

Sie können den OpenVPN-Client nach einem Start im Vordergrund durch diese Tastenkombination in den Hintergrundbetrieb versetzen um:

Strg+Z

Befehl eingeben: bg

Um den OpenVPN-Client wieder in den Vordergrund zu holen, geben Sie den Befehl

fg

ein.

Problem nicht gelöst?

Falls Ihr Problem im Support-Bereich nicht gelöst wurde oder Sie weitere Hilfe benötigen, rufen Sie uns einfach an oder schreiben Sie uns:

0711 / 78 19 41-0
support@internet-xs.de

IP-Adresse: http://www.internet-xs.de/tools/ip