verschlüsselten Proxyserver auf FBF

MiataMuc

Neuer User
Mitglied seit
19 Jun 2005
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Hallo,

eine Frage - ich muß dazu sagen, daß mir der technische Hintergrund ein wenig fehlt, was Verbindungen zu einem Proxy, die verschlüsselt sind, angeht, aber mich interessiert, ob ich meine daheim den ganzen Tag mehr oder minder "arbeitslose" FrixtBox WLan dazu nützen könnte, verschlüsselt http-Anfragen anzunehmen, die georderten Daten aus dem Netz zu holen und dann entsprechend wieder verschlüsselt zurückzuliefern? Und das ganze nach Möglichkeit noch über Port 80...

Hmm..vielleicht hat ja wer hier einen Geistesblitz..

Gruß Flo
 
ich hätte an etwas ähnlichem Interesse, allerdings würde es mir reichen, wenn dies einfach gehalten und nicht verschlüsselt ist!
Ich will auch den Filter umgehen, SSH geht aber vieleicht. muss ich noch testen. Hoffe es gibt die möglichkeit
 
Oder - Idee - vielleicht dadurch, daß man eine VPN -Verbindung (OpenVPN) aufbaut, sich eine IP aus dem Bereich des Heim-Lans zuweisen läßt, und die Box praktisch glaubt, man säße im Heimlan?
 
MiataMuc schrieb:
Oder - Idee - vielleicht dadurch, daß man eine VPN -Verbindung (OpenVPN) aufbaut, sich eine IP aus dem Bereich des Heim-Lans zuweisen läßt, und die Box praktisch glaubt, man säße im Heimlan?

Will ich mal ausprobieren, allerdings muss ich mich dann noch in die Config einarbeiten und die Forward rules ändern. Letzteres ist aber sehr heikel, wie ich bemerkt habe (FB TOT!) und die FB lässt ja keine Portweiterleitung (übers Web-Interface) auf die eigene IP zu. Mal schauen ob ich mich nochmal ran wage.
Vieleicht könnte mir jemand bei der Config für VPN ein paar Tipps geben.

Mein Netzwerkaufbau:
FB (mit Telnet, Dropbear, OpenVPN) local auf 192.168.1.10 als Nameserver ohne DHCP im Netzwerk
DynDNS-Adresse aktiv in der FritzBox

Mein Wunsch:
Internetverkehr eines externen Rechners durch die FritzBox leiten zwecks Content Filter


EDIT: Bezüglich Port-Freigabe
kann ich auch einfach dem OpenVPN eine weitere IP "spenden", die dann nicht im webinterface bei Portweiterleitung gesperrt ist? ist ja bei Linux normal irgendwie möglich.
 
muss ich doch mal ausprobieren, vieleicht weiß ja auch jemand noch was zu meinem Edit des letzten beitrages.
Vieleicht schaffe ich es ja mal des hinzubiegen.
ist zwar nicht lebensnotwendig aber ist super, falls es funktioniert.

Und noch nen herzlichen Dank ans Forum, ohne das ich nie auf diese "Features" gekommen wäre! :)
 
Also, nach ewigem Gefummel 8was bare nicht an der fritzbox lag, sondern daran, daß ich die Routen für den Firmen-XP-Client richtig machen mußte (feste IPs, Cisco-VPN fürs SAP usw...) klappts hervorragend mit Openvpn. Ich habe mir mit FBFEDit einfach den Port 443 freigegeben und auf die interne 192.168.178.1:1194 geroutet (geht nicht im Web-Interface wg. Verbots des Routens von außen auf FBF-IPs). Nach einigen Spielerein mit den Namesever Einstellungen (192.168.178.1 etc. geht nicht - im Clinet-Openvpn-Srcipt "dhcp-option DNS xxx.xxx.xxx.xxx" einfügen - IP sollte natürlich die des heimischen NS des Providers sein..) läufts hervorragend. Nun muß ich noch den Upstream daheim verdoppeln lassen *g* und dann ists perfekt :)

Gruß Flo
 
@MiataMuc
dann poste doch mal die config-Dateien hier, hilft bestimmt einigen...
 
Zunächst muß ich allen fleißigen Arbeitern im Oenvpn-Thread danken :)

Okay, hier die Konfig vom Client (WinXP):

Code:
remote fritzbox-von-flo.homeip.net 443
# ob die folgende "local"-Anweisung hilft, weiss ich nicht..
#hierdrin steht meine feste FirmenIP
local xxx.xxx.xxx.xxx
dev-type tun
ifconfig 10.87.0.2 10.87.0.1
# folgend der DNS-Server meines privaten Providers (MNet)
dhcp-option DNS 212.18.0.5
# route 192.168.178.0 255.255.255.0
route-gateway 10.087.0.1
redirect-gateway
route 0.0.0.0 0.0.0.0 10.87.0.1
# folgende fixe Route ist die zum SAP-Server - hier alles augeixt. 
# (IP-SAP Server, Nertmask, IP Firmenrouter bzw. Firmen-Cisco-Kiste)
route xxx.xxx.xxx.xxx 255.255.255.254 xxx.xxx.xxx.xxx
# die folgende Route ermöglicht den Zugriff auf die Firmenrechner, die alle fixe IPs haben
route xxx.xxx.xxx.0 255.255.255.224 eigene Firmen-IP 
secret static.key
dev tun
tun-mtu 1400
mssfix 
proto tcp-client
comp-lzo
# timeouts
ping               15
ping-restart       60
ping-timer-rem 
persist-tun
persist-key

Auf der Fritzbox läuft die Standarconfig aus dem VPN-Thread (komme da gerade nicht dran vernünftig *g*); wie oben schon erwähnt sind auf der fritzbox eingehende Vebindungen auf Port 433 an 192.168.178.1, Port 1194 weitergeleitet.

Das einzige, was bei mir so gar nicht klappt, ist das automatische Laden von Openvpn per debug.cnf - irgendwie wird alles nach dem Telnet-Start ignoriert..muß es also bislang noch manuell machen.

Gruß, Flo
 
ok thx

kurze Frage noch:
wie sollten die Foward Ruels aussehen?
Code:
"udp 0.0.0.0:7085 0.0.0.0:7085",
ich hatte nämlich mal aus einem Thread eine Config kopiert, die ungefähr so aus sah:
Code:
"udp 0.0.0.0:7085 0.0.0.0:7085", # Für was diese Zeile ist
damit war dann die FB erst mal Tot, deshalb frag ich lieber.

ist die Zeile wie oben vom aufbau ok und die untere falsch?

für was stehen das erste "0.0.0.0 und für was das zweite? Wie würde eine Beispielkonfiguration für OpenVPN aussehen?
 
Also, ich habe die Freigabe sicherheitshalber so gemacht:
Im Webinterface den Port 443 für die IP 192.168.178.21, Port 1194 (egal) freigegeben, und dann in der Konfig mit dem FBFEditor *g* daraus einfach 192.168.178.1 gemacht. Das ganze bei Bedarf doppelt, d.h. sowohl für TCP als auch für UDP.

Gruß, Flo
 
MiataMuc schrieb:
Also, ich habe die Freigabe sicherheitshalber so gemacht:
Im Webinterface den Port 443 für die IP 192.168.178.21, Port 1194 (egal) freigegeben, und dann in der Konfig mit dem FBFEditor *g* daraus einfach 192.168.178.1 gemacht. Das ganze bei Bedarf doppelt, d.h. sowohl für TCP als auch für UDP.

Gruß, Flo
Ist das dann auch ungefährlich? Wie schon geschrieben: FB war tot weil ich die ar7... geändert habe!
 
hmm..also bei klappts. Im Grunde bedeutet es ja nur, daß von allen ankommenden (IPs) (0.0.0.0) aauf Port 443 von der fritzbox auf die IP 192.168.178.1, und da auf den port 1194 weitergeleitet werden (man hätte auch den Openvpn-server im Config-File auf Port 443 umsetzen können - dann würde halt auf 192.168.178.1, Port 443 umgeleitet).
Ich seh' darin nix gefährliches - vielleicht weiß jemand mehr als ich?

Gruß Flo
 
lord-of-linux schrieb:
ich hatte nämlich mal aus einem Thread eine Config kopiert, die ungefähr so aus sah:
Code:
"udp 0.0.0.0:7085 0.0.0.0:7085", # Für was diese Zeile ist
damit war dann die FB erst mal Tot, deshalb frag ich lieber.
Beachte: Die letzte Zeile in jedem dieser Blöcke hat ein Semikolon statt des Kommas am Ende. Steht dort ein Komma, startet die Box nicht durch, wie ich auch schon feststellen durfte... ;)


Gruß,
Wichard
 
MiataMuc schrieb:
... Ich seh' darin nix gefährliches - vielleicht weiß jemand mehr als ich?
Ich meinte, das es gefährlich ist, die Datei zu editieren!

wichard schrieb:
lord-of-linux schrieb:
ich hatte nämlich mal aus einem Thread eine Config kopiert, die ungefähr so aus sah:
Code:
"udp 0.0.0.0:7085 0.0.0.0:7085", # Für was diese Zeile ist
damit war dann die FB erst mal Tot, deshalb frag ich lieber.
Beachte: Die letzte Zeile in jedem dieser Blöcke hat ein Semikolon statt des Kommas am Ende. Steht dort ein Komma, startet die Box nicht durch, wie ich auch schon feststellen durfte... ;)
Das mit dem Semikolon hatte ich auch bemerkt und das mit den Kommas. Eigentlich habe ich nur gemeint, das ich einen Kommentar mit ner # am zeilenende gesetzt hatte. Das das eigentlich eine Zusammengehörende Kommagetrennt Reihe ist hatte ich nicht gemerkt! :doof:
Und ich bin Schüler und mein Vater hats gefreut, das ich die Box gekillt hatte :beerdigu:
 
Das ist der Grund, warum ich erst einen Eintrag über die Fritzbox-Weboberfläche gemacht habe, und nur die IP hinterher "manuell" editiert habe - so kann ich sicher sein, daß die Eintragung grundsätzlich / formal korrekt ist.

Gruß Flo

P.S. das ist natrülich schlecht, wenns eine Familienbox ist *g* ich leb' allein (naja, der Hund hat keine Bedürfnisse nach telekommunikation), und habe noch ne FBF ohne WLAN für Notfälle da.. :)
 
ich habe gestern dann auch das Webinterface genutzt und per Telnet in der ar7... nur noch die IP geändert. Hat super funktioniert, muss halt noch von extern ausprobieren.

Aber ich finde Familienbox net schlecht, denn ich habe nichts bezahlt. Noch nicht. *g*
wenn ich sie zerstöre, dann muss ich zahlen!
 
Habe noch was interessantes gesehen:
Wenn ich bei dem Eintrag, den ich per Webinterface gemacht habe und per telnet auf die FB-IP gestellt habe, den Bearbeiten-Button drücke, da kommt folgende Meldung, obwohl der eintrag ja schon besteht:
FritzBox Fon WLAN 7050 Webinterface schrieb:
FEHLER: Die angegebene IP-Adresse wird von FRITZ!Box verwendet. Eine Portfreigabe auf diese IP-Adresse ist nicht zulässig
st ja super. ändern geht so nicht, aber die Box löscht es nicht, obwohl es ja "nicht zulässig" ist!
 

Anhänge

  • config2_871.jpg
    config2_871.jpg
    19.2 KB · Aufrufe: 69
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.