FritzBox OpenVPN

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
A

Aldeyn

Neuer User
Mitglied seit
10 Mrz 2012
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

mein Plan ist es mal wieder, zwei FritzBoxen miteinander zu verbinden. Situation ist folgende:
- Fritzbox 6360 an UnityMedia IPv6 (DSlite)
- - Raspberry Pi
- Fritzbox 7320 an fester IPv4 und SiXXS-IPv6

Folgende Schritte möchte ich durchführen:
1) OpenVPN auf Raspberry Pi installieren
2) Fritzbox 7320 OpenVPN vom Stick laden lassen
3) OpenVPN über IPv6 konfigurieren

Schritt 1
Sollte kein Problem sein. Mit dem Raspberry Pi habe ich schon viel angestellt. Über myfritz kann ich den Raspberry Pi "ins Internet" hängen. Den Raspberry Pi brauche ich überhaupt erst, weil ich die 6360 weder modden noch per Telnet erreichen kann.

Schritt 2
Hier stellen sich die ersten Fragen. Ich habe eine Anleitung gefunden, wie ich auf einer FritzBox OpenVPN dynamisch nachladen kann, ohne größere Modifikationen vornehmen zu müssen. Dort geht es aber um eine 7390, kann ich das Binary überhaupt einsetzen? Und... ist es sinnvoll, ein Binary aus irgendeiner Quelle zu verwenden? Soweit ich weiß, kommen die Binarys alle aus Freetz. Wie kann ich mir mein Binary selbst builden, ohne eine Fritzbox zu freezen?

Schritt 3
Sollte auch kein Problem sein, wenn Schritt 2 erledigt ist. Ich habe sogar eine ausführliche Anleitung gefunden... möchte aber möglichst eine eigene Konfiguration erstellen. Ich habe leider keine Zeit, umfangreich Dokumentation zu lesen... Kennt jemand eine Schritt-für-Schritt-Anleitung zur Erstellung einer OpenVPN-Konfigurationsdatei?

Mein Alternativplan ist übrigens: Zweiten Raspberry Pi kaufen, OpenVPN einrichten, beide Raspberry Pis miteinander verbinden.
 
Aldeyn schrieb:
Schritt 2
[...] Dort geht es aber um eine 7390, kann ich das Binary überhaupt einsetzen?
Zum Vergrößern anklicken....
Auch die 7320 ist m.W. eine big endian box. Ein statisch gebautes Binary (für die 7390) sollte darauf laufen.
Aldeyn schrieb:
Und... ist es sinnvoll, ein Binary aus irgendeiner Quelle zu verwenden? Soweit ich weiß, kommen die Binarys alle aus Freetz. Wie kann ich mir mein Binary selbst builden, ohne eine Fritzbox zu freezen?
Zum Vergrößern anklicken....
Sinnvoll kann ich nicht beurteilen, praktisch vermutlich schon. Allerdings "vertraust" du damit dem Ersteller.
Mit Freetz kannst du dein Programm auch "leicht" ;-) selbst bauen:
Code: 
svn co http://svn.freetz.org/trunk freetz
cd freetz
make menuconfig 
# hier 7320 wählen und bei den Paketen OpenVPN so wie du es willst [statisch ist klar, dann openssl oder polarssl ...]
make openvpn-precompiled

Aldeyn schrieb:
... möchte aber möglichst eine eigene Konfiguration erstellen. Ich habe leider keine Zeit, umfangreich Dokumentation zu lesen... Kennt jemand eine Schritt-für-Schritt-Anleitung zur Erstellung einer OpenVPN-Konfigurationsdatei?
Zum Vergrößern anklicken....
Das ist schade, aber ohne Wissen über die Parameter dürfte es schwer werden eine "eigene Konfig" zu erarbeiten.
Eine funktionsfähige Vorlage zur Anpassung sollte sich aber für alle deine Wünsche finden lassen, wenn du danach suchst.
 
Vielen Dank für die Antwort!

MaxMuster schrieb:
Auch die 7320 ist m.W. eine big endian box. Ein statisch gebautes Binary (für die 7390) sollte darauf laufen.
Zum Vergrößern anklicken....
Also der Unterschied ist "nur" big endian und little endian? Das geht ja noch. Gibt es irgendwo eine Liste, welche Fritzbox was ist?


MaxMuster schrieb:
Sinnvoll kann ich nicht beurteilen, praktisch vermutlich schon. Allerdings "vertraust" du damit dem Ersteller.
Mit Freetz kannst du dein Programm auch "leicht" ;-) selbst bauen:
Zum Vergrößern anklicken....
Das geht dann aber nur, wenn ich eine meiner Boxen freeze, richtig? Oder gibt es irgendwo einen guten Emulator bzw kann ich mit irgendeiner Virtualisierungsumgebung eine Fritzbox virtualisieren?
 
Aldeyn schrieb:
Gibt es irgendwo eine Liste, welche Fritzbox was ist?
Zum Vergrößern anklicken....
Könnte es geben, aber ich wüsste auf Anhieb nicht genau, wo so in "Tabellemform". Vielleicht bei wehavemorefun? Ich befrage dazu einfach Google ;-)

Aldeyn schrieb:
Das geht dann aber nur, wenn ich eine meiner Boxen freeze, richtig?
Zum Vergrößern anklicken....
Nein, da kommt dann (in diesem Fall) quasi das gleiche raus, was es auch direkt zum Download gibt, ein statisch gelinktes Programm, was auch auf Boxen ohne Freetz funktioniert.
Aldeyn schrieb:
Oder gibt es irgendwo einen guten Emulator bzw kann ich mit irgendeiner Virtualisierungsumgebung eine Fritzbox virtualisieren?
Zum Vergrößern anklicken....
Die neueren Boxen m.W. nicht. Es ging mit den "ganz alten" Fritzboxen (ohne Nummern), deren Firmware konnte man in gewissen Maß in einem qemu-Emulator laufen lassen. Dazu gibt es hier im Forum noch einen Thread.
Einzelne (statisch) gelinkte Programme kann man mit Einschränkungen in einigen sehr HW-nahen Fällen) aber durchaus auch so mit "qemu" ausführen (hier mal für ein mipsel- und einem mips-Binary, was ich gerade so rumliegen hab):

Code: 
joerg@joerg-Ubuntu:~$ qemu-mipsel freetz-trunk/openvpn_2.3.2-mipsel-polarssl-static --show-ciphers
AES-128-CBC 128 bit default key
AES-192-CBC 192 bit default key
AES-256-CBC 256 bit default key
DES-CBC 64 bit default key
DES-EDE-CBC 128 bit default key
DES-EDE3-CBC 192 bit default key
BF-CBC 128 bit default key

joerg@joerg-Ubuntu:~$ qemu-mips freetz-trunk/apache247_mips_static --help 
apache247_mips_static: Could not open configuration file /etc/apache2/apache2.conf: No such file or directory
joerg@joerg-Ubuntu:~$ qemu-mips freetz-trunk/apache247_mips_static -V
Server version: Apache/2.4.7 (Unix)
Server built:   Dec 21 2013 17:42:07
Server's Module Magic Number: 20120211:27
Server loaded:  APR 1.5.0, APR-UTIL 1.5.3
Compiled using: APR 1.5.0, APR-UTIL 1.5.3
Architecture:   32-bit
Server MPM:     worker
  threaded:     yes (fixed thread count)
    forked:     yes (variable process count)
Server compiled with....
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=256
 -D HTTPD_ROOT="/usr"
 -D SUEXEC_BIN="/usr/sbin/suexec2"
 -D DEFAULT_PIDLOG="/var/apache2/logs/httpd.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="/etc/apache2/mime.types"
 -D SERVER_CONFIG_FILE="/etc/apache2/apache2.conf"
joerg@joerg-Ubuntu:~$
 
Vielen Dank erstmal soweit für Deine Hilfe!

MaxMuster schrieb:
Code: 
svn co http://svn.freetz.org/trunk freetz
cd freetz
make menuconfig 
# hier 7320 wählen und bei den Paketen OpenVPN so wie du es willst [statisch ist klar, dann openssl oder polarssl ...]
make openvpn-precompiled
Zum Vergrößern anklicken....

Aktueller Status: Habe mein Netbook hergenommen, auf dem ist BodhiLinux installiert (basiert auf Ubunto 12.04)... und dort habe ich mir die nötigen Pakete per apt-get geholt. Darauf habe ich dann Freetz abgelegt, make menuconfig gestartet und OpenVPN eingerichtet. Danach make openvpn-precompiled und... Absturz.

Ich schau mal weiter. Was ich noch nicht verstehe: In der menuconfig konnte ich nicht zwischen openssl und polarssl wählen...

Okay, also make openvpn-precompiled führt bei mir reproduzierbar zum Absturz von Terminology und Network. Da muß ich dann wohl doch nochmal mit meinem Windows-Rechner versuchen...
 
Zuletzt bearbeitet:
Ich meine dies hier zum Wählen.

Ergebnisse im Anhang
 

Anhänge

  • OpenVPN_SSL.jpg
    OpenVPN_SSL.jpg
    73.5 KB · Aufrufe: 41
  • openvpn-2.3.2-mips-openssl-static.gz
    476.9 KB · Aufrufe: 13
  • openvpn-2.3.2-mips-polarssl-static.gz
    279.2 KB · Aufrufe: 13
Zuletzt bearbeitet:
7390: OpenVPN via 443

Hallo,

wenn ich versuche, mich aus dem Internet mit meinem OpenVPN-Server über den Port 443 zu verbinden, bekomme ich auf dem Client, der die Verbindung aufbauen will, die folgende Fehlermeldung im Interval von fünf Sekunden:
Code: 
Sun May 04 12:45:12 2014 TCP/UDP: Incoming packet rejected from [AF_INET]xx.xx.xx.xx:1194[2], expected peer address: [AF_INET]xx.xx.xx.xx:443 (allow this incoming source address/port by removing --remote or adding --float)
....
Auf dem OpenVPN-System kommt nicht im Log von diesem Zugriffsversuch.

Ich habe auf meiner 7390 den Port 443 nicht für die Fernwartung in Benutzung, nur für die Weiterleitung auf den OpenVPN-Server.

Wie kann man auf einer "nichtgehakten" FB nachsehen, warum das nicht weitergeleitet wird?
 
Theo Tintensich schrieb:
Wie kann man auf einer "nichtgehakten" FB nachsehen...
Zum Vergrößern anklicken....

Was ist das ?
Für mich sieht das so aus, das Dein Client sich über (Standard-) Port 1194 verbinden will. Bist Du sicher, daß Du das willst und das die Portweiterleitung in der Box korrekt funktioniert ?
 
Ja, die Portweiterleitung in der Box funktioniert korrekt, sonst käme keine Antwort von der Box. Diese Antwort kommt aber vom Port 1194 und nicht von Port 443. Anscheinend setzt AVM das nicht korrekt bei der Antwort um.
Konfiguriere OpenVPN doch direkt auf Port 443 statt einer Weiterleitung von 443 auf 1194.
 
Mein OpenVPN läuft nicht auf der Box sonder auf einem Debian-Server im Lan.
Dort läuft OpenVPN auf Port 1194.

Die Meldung kommt auf dem Client, im Internet,, der sich via Port 443 mit dem OpenVPN-Server verbinden will.
Versucht er sich auf Port 1194 zu verbinden, funktioniert das ohne Probleme.

Auf der FB sind die folgenden Freigaben eingerichtet:

extern 1194 -> intern 1194
extern 443 -> intern 1194

Bei 'intern' ist die IP des Servers als Ziel angegeben, auf dem OpenVPN läuft.

Die oben mit "xx.xx.xx.xx" ausgeXte IP-adresse ist die WAN-Adresse der FB.

Der OpenVPN-Server kennt die ja gar nicht.

-------------

Da das ganze früher mal funktioniert hat, würde ich nur gerne wissen, warum es jetzt nicht mehr geht.
Und da habe ich mir gedacht, dass die FB eventuell den Port 443 nicht sauber weiterleitet.
Und um das feststellen zu können wollte ich wissen, wie ich besser an das Systemlog der Box kommen.

mit
auf einer "nichtgehakten" FB nachsehen
Zum Vergrößern anklicken....
meinte ich eine FB auf der keine von AVM nicht supporteten Änderungen durchgeführt wurden ;-)
 
Theo Tintensich schrieb:
Auf der FB sind die folgenden Freigaben eingerichtet:

extern 1194 -> intern 1194
extern 443 -> intern 1194
Zum Vergrößern anklicken....

Kein Grund, das zweimal zu schreiben :) (Bearbeiten->Erweitert->Löschen)

Versuch es mal mit nur einer Weiterleitung, laut AVM wird es nicht unterstützt, zweimal den gleichen Zielport zu verwenden.
 
RalfFriedl schrieb:
Versuch es mal mit nur einer Weiterleitung, laut AVM wird es nicht unterstützt, zweimal den gleichen Zielport zu verwenden.
Zum Vergrößern anklicken....

Ich habe ein Ticket bei AVM aufgemacht, und die sagten, das müsste funktionieren.
Ich muss noch eine Konfiguration testen, die die vorgeschlagen hatten, um die von AVM benötigten Daten zu erhalten.

Aber gehen müsste es .
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 612 (Mitglieder: 16, Gäste: 596)

Neueste Beiträge

Statistik des Forums

Themen
246,171
Beiträge
2,247,421
Mitglieder
373,714
Neuestes Mitglied
Panicmaker
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück