OpenWRT

Projektversion "LEDE" 

 OpenVPN 

 VPN Server, push route 

 Wenn man über die Luci App die Option  route  hinzufügt, dann funktioniert das noch nicht. Es ist zwingend notwendig, dass man wieder manuell den Eintrag in der OpenVPN config Datei anpasst. Die Luci App trägt folgendes ein: 

 

 

 

 list route '192.168.1.0 255.255.255.0' 

 

 

 

 Den IP Bereich legt ihr natürlich fest. Und damit es funktioniert muss der Befehl in folgendes geändert werden: 

 

 

 

 list push 'route 192.168.1.0 255.255.255.0' 

 

 

 

 VPN Client einrichten, pkcs12 Option entfernen 

 Beim Erstellen einer OpenVPN Client Instanz wird automatisch die Option "pkcs12" hinzugefügt. Diese beißt sich mit der Option "cert" und das System loggt einen Fehler. 

 

 

 

 Mon Feb 5 14:52:57 2018 daemon.err openvpn(VPN_Client_GESA)[7339]: Options error: Parameter --cert cannot be used when --pkcs12 is also specified.

 

Um das Problem zu beheben, wählt man sich per SSH auf den Router ein und entfernt aus der Datei

 /etc/config/openvpn 

die Zeile

 option pkcs12 '/etc/easy-rsa/keys/some-client.pk12' 

. Dann startet man den OpenVPN Dienst neu

 /etc/init.d/openvpn restart 

und kann danach seine OpenVPN Instanz mit den Zertifikatsdateien benutzen. 

 

 

 Using PKCS12 File 

 Wenn man einen VPN Client über die WebGUI namens "Luci-App" einrichten will, wird man scheitern. Bei der Verwendung von sog. P12 oder PKCS12 Dateien bekommt man folgende Fehlermeldung: 

 

 

 

 Mon Feb 5 15:41:43 2018 daemon.err openvpn(VPN_Client)[9553]: neither stdin nor stderr are a tty device and you have neither a controlling tty nor systemd - can't ask for 'Enter Private Key Password:'. If you used --daemon, you need to use --askpass to make passphrase-protected keys work, and you can not use --auth-nocache.

Mon Feb 5 15:41:43 2018 daemon.notice openvpn(VPN_Client)[9553]: Exiting due to fatal error

 

 

 

 

 Man müsste hier wieder per SSH das config file  /etc/config/openvpn  editieren un die Option "--askpass" manuell einzutragen und dahinter eine Datei mit dem Passwort für die P12 Datei im Klartext angeben. Nach dieser Erkenntnis bin ich dann doch wieder zur ursprünglichen Konfigurationsvariante gewechselt und binde die Dateien "ca, key und cert" ein. 

 Quelle: Forum Opensense