Bitte um VPN Übersicht

[pollonhokairos]

Da es unzählige Posts zum Thema VPN gibt und das Thema - vor allem für Laien wie mich - doch recht komplex ist, würde ich es sehr begrüssen, wenn mal ein WICHTIG Thema die grundlegenden Installationsmöglichkeiten geordnet nach Box, Firmware, Modifikationsart etc. auflistet.
Ziel sollte sein, daß man anhand dieser Infos den richtigen Weg hier im Forum einschlagen kann.

Also so in der Art:

Fritzbox 7050
Firmware XX.XX.
Sever/Client ds-mode + pseudoimage
Box2Box ds-mode + pseudoimage

Ich persönlich hab jetzt etliche Stunden damit zugetan, erstmal zu checken welche Arten es überhaupt gibt und weiß immer noch nicht, ob ich meine zwei 7050 über vpn auf welche Art verbinden kann.

Wäre doch toll. Danke.

 

[olistudent]

Das ist ganz einfach. :mrgreen:
Auf die 7050 passt openvpn + openssl nicht drauf (zuwenig Platz im Flashspeicher), daher gibt es 2 Möglichkeiten.
1. Du nimmst die Nachladelösung von theconstruct.
2. Du nimmst den dsmod und das Downloader-Paket.

MfG Oliver

 

[MaxMuster]

Ich denke, deine grundsätzliche Frage ist "unlösbar":

Ständig ändert sich die Grundlage (die Firmwares von AVM) und auch deine "Leidensfähigkeit" ist nicht voraussagbar:
Ich bin z.B. gerne bereit, für mehr Platz auf der Box auf den USB-Netzzugang zu verzichten, ein anderer braucht den zwingend. Diese "paar kB" können schon darüber entscheiden, ob z.B. OpenVPN in die FW passt oder nicht. Oder bist du bereit, bei der Busybox auf das Mounten von NFS- oder Samba Shares zu verzichten? Wieder potentiell Platz (oder halt nicht)...

Meine Meinung ist: Da gibt es eigentlich nur individuelle Antworten (ausser bei den "Riesen-Boxen" wo es immer reinpasst) und vermutlich ist es die Arbeit nicht wert, denn kaum ist man "fertig", dann gibt es den Ersatz des AVM-Webservers, Abschalten von UpNP-Daemons... und die Möglichkeiten haben sich mal eben ver x-facht.


Jörg

 

[pollonhokairos]

Dann bitte ich um Hilfe

Na gut, Ihr werdet das besser einschätzen können.

Deshalb will ich Euch in meinem konkreten Fall um Hilfe bitten, da die Leidensfähigkeit meiner Frau sonst wohl bald erschöpft sein wird.

Meine Situation:

Box 7050 mit 14.04.15 im Geschäft.

Openvpn-Server läuft mit TCP.
Connect mit meinem notebook geht.

Box 7050 mit 14.04.33 zu Hause.

Openvpn-Server läuft mit UDP wegen
http://www.ip-phone-forum.de/showthread.php?t=123410&page=7
Ebenso hab ich hier "dev-node /var/tmp/tun" und "mknod /var/tmp/tun c 10 200"
Eine Weiterleitung von Port 1194 an meine virtuelle 192.168.178.253 für UDP und TCP ist eingerichtet.
Schaut so aus:
# init busybox var
BUSYBOX="/bin/busybox"
# load VPN-Server (OpenVPN)
# create tun-device
mknod /var/tmp/tun c 10 200
....

dev tun0
dev-node /var/tmp/tun
ifconfig 10.0.0.1 10.0.0.2
secret /var/tmp/secret.key
proto udp
port 1194
tun-mtu 1500
float
keepalive 10 60
verb 4
mssfix
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
daemon

ps zeigt den vpn als gestartet, aber ich kann mich mit meinem notebook nicht verbinden.

Vielleicht weil ich von intern connecten möchte?

Hier noch die Client-Config:

ifconfig 10.0.0.2 10.0.0.1
remote xxxx.dynalias.com
secret F:\\OpenVPN\\config\\secret.key
dev tun0
proto udp
port 1194
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
#resolv-retry infinite
tun-mtu 1500
mssfix
persist-tun
persist-key
verb 3
route 10.0.0.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
push "dhcp-option DNS 10.0.0.1"
route-gateway 10.0.0.1
redirect-gateway

Bitte helft mir auf die Sprünge.

Was macht eigentlich: mknod /var/tmp/tun c 10 200

Danke

 

[MaxMuster]

Also, ohne weitere Infos (z.B. Logs) ist das schwierig. Meine Vermutung: Die Portweiterleitung. Der "Sicherste" Weg dafür (wenn auch beim editieren selbst "riskant") ist das Editieren der ar7.cfg: Mache die Weiterleitung auf die "0.0.0.0" statt auf die virtuelle Adresse.
Ansonsten, was meinst du mit "von intern connecten"? Wenn du aus dem LAN testen willst, solletest du die LAN-IP des Servers als "remote" eintragen. Ansonsten könnte da auch ein "float" im Client helfen.

Wenns dann noch nicht geht, mit "verb 6" starten und die Ausgabe posten (bitte mit [noparse]

 am Anfang und

[/noparse] am Ende, damit es lesbar bleibt).

Jörg

 

[pollonhokairos]

Hallo Jörg,
vielen Danke Dir für Deine Hilfestellung.
Es läuft soweit.
Hatte diese Weiterleitung auf 0.0.0.0.1194 bereits hier im Forum entdeckt und damit gehts endlich.

Bräuchte aber nochmals Hilfe, weil ich jetzt zwar Zugriff auf die Box habe, aber keinen Zugriff auf eine an die Box angeschlossene Computerkasse. Und für diesen Zweck wollte ich hauptsächlich die VPN-Verbindung.
Die Kasse hat die IP 192.168.2.16 im Netz der Fritzbox.
Ich kann sie pingen, aber nicht darauf zugreifen.
Spielt der in der Kasse eingetragene Gateway beim VPN eine Rolle?
Andere Fehlergründe fallen mir nicht dazu ein.
Hast Du eine Erklärung?

Zu meinem Ausgangspost:
Im Nachhinein muß ich sagen, daß es wirklich nicht gerade einfach war, folgende Infos zum Openvpn zu finden:

- Openvpn mit Kernel 2.6 und Box2Box nur per "udp" möglich.
- Portweiterleitung auf 0.0.0.0.1194

Kannst Du das bestätigen?

Wenn ja, dann ist es halt doch sehr schwer für Anfänger, den richtigen Weg für Openvpn zu finden.
Es hat bei mir ewig gedauert, bis ich hier die Sache mit den "udp" Port entdeckt habe und zwar im Thema "29.04.29 und openvpn" - also eigentlich vom Titel her ein Thema das nicht zu meinen Firmwares passt.

Anton

 

[MaxMuster]

Hi,

zu deinen letzten Fragen zuerst: Das mit den TCP-Problemen habe ich selbst noch nie festgestellt, da ich immer per UDP gearbeitet habe. Mal sehen, vielleicht baue ich mir mal eine Teststellung.
Warum die Portweiterleitung auf die eigene Adresse scheinbar nicht mehr "richtig" funktioniert wird zwar häufig genannt, in der Tat könnte man das vielleicht nochmal gesondert als Hinweis mit aufnehmen, damit es nicht "untergeht". Ich hatte mir eh vorgenommen, bei Gelegenheit mal etwas grundsätzliches zum OpenVPN auf der Box zu verfassen (da ich eine neue Version der GUI für den ds-mod "gebastelt" hatte).

Nun zum Zugriff in auf ;-) die Kasse:
Was ist denn das für ein Protokoll, mit dem der Zugriff laufen soll? Grundsätzlich sollte das Routing (und damit das Gateway) o.k. sein, wenn der Ping funktioniert.

Jörg

 

[pollonhokairos]

Weiß nicht, welches Protokoll die Kasse nutzt.
Ich hab ein Programm auf meinem Notebook laufen, das auf die Kasse zugreift. Damit werden aber nur Daten hin und her geschickt.
Wie kann ich denn das Protokoll ermitteln.
Ich könnte natürlich bei meinem Händler nachfragen, falls man das nicht ermitteln kann.

Noch was zum OpenVPn:
Da die VPN-Verbindung anscheinend auch den Prozessor fordert, wollte ich wissen, wie man den Server am elegantesten nur bei Bedarf zum Laufen bringt.
Kann man denn z.B. alle dafür benötigten Befehle einfach per Copy und Paste per ssh eingeben?
Wie war doch auch gleich nochmal der Restart-Befehl?

Dank Dir.
Anton

 

[MaxMuster]

Ich könnte mir vorstellen, dass das Programm mit Broadcasts arbeitet und nur "für das lokale Netz" gedacht ist? Dann müsste man auf den Bridge-Modus ("tap") wechseln und eine IP aus dem LAN über das VPN vergeben.

Zum Starten-Stoppen ist natürlich der ds-mod mit der GUI ideal, da gibt es aber wohl aus Platzgründen Probleme. Es ist aber kein großer Akt, die Dinge in ein kleines Shellskript zu packen, dass dann den Server starten oder stoppen kann.

Aber erstmal bringen wir die Anwendung zum Laufen, dann kommt die Feinarbeit ;-)

Jörg

 

[pollonhokairos]

Verstehe das leider nicht so ganz. Würde ich aber gerne.
Dachte VPN ist wie lokales Netzwerk.
Welche Suchbegriffe muss ich denn googeln für diese Thematik?

Laut meinem Kassenhändler funktioniert VPN noch nicht - soll implementiert werden.

Reicht es für den Bridge-Modus bei tun einfach auf tap zu wechseln?

Werde aber auf jedenfall nochmal die Manpage von openvpn und Wiki konsultieren.

 

[MaxMuster]

Beim "Tunnel" baust du quasi ein virtuelles Interface in die Box, das dann mit dem Client verbunden wird, das jedoch "eigenständig" ist. Über diese Interfaces läuft die Verbindung mittel Routing: Um vom Client zur Kasse zu kommen, schickt der Client die Pakete an den Server, der leitet sie an die Kasse weiter, die Kasse schickt die Pakete an den Server zurück, dieser leitet sie an den Client zurück.)

Im "Bridging" Modus kann das virtuelle Interface mit einem physikalischen Interface verbunden werden (normalerweise mit dem LAN-Interface). Das "Gegenstück" auf dem Client bekommt alle Pakete, die das Interface auf dem Server zu sehen bekommt quasi gespiegelt auch zugeschickt. Damit sieht es für den Client so aus, als wäre er ein "Teil" des Netzes (wenn die Brücke it dem LAN verbunden ist, als wäre er Tel des LANs). Das bedeutet zu einen, dass der Client für dieses Interface eine IP aus dem LAN bekommen sollte, zum anderen muss er dann nicht mehr Routen, denn die Kasse ist virtuell in seinem "eigenen Netz", in dem das Bridge-Interface ist.

Für deine Konfig würde das bedeuten:

Server:

dev tap0
dev-node /var/tmp/tun
ifconfig 192.168.2.2 255.255.255.0 
# oder eine andere Adresse, die in deinem LAN frei ist

Auf dem Server musst du dann nocht das "tap"-Interface mit dem LAN verbinden (brücken). Das geht mit zwei Möglichkeiten:
1. Ein Eintrag in der ar7.cfg (in dem Abschnitt "brinterfaces {..." zu den anderen Interfaces "tap0" ergänzen oder
2. mit dem Tool brctl von hier:

brctl addif lan tap0

Auf dem Client änderst du dann

dev tap
ifconfig 192.168.2.3 255.255.255.0
# oder ebenfalls eine andere Adresse, die in deinem LAN frei ist

Der Client ist dann auch in dem Netz 192.168.2.0 und kann die Kasse direkt ansprechen, d.H. auch alle "nicht routbaren" Protokolle sollten dann funktionieren.

Das ist zwar "aus dem Kopf" geschrieben, sollte aber gehen...

Jörg

 

[pollonhokairos]

Kopf hat gut gearbeitet.

Es geht - ohne zwei, drei Nächte - auf Anhieb.

brctl hab ich nicht benutzt, weil ich nicht weiß, wo denn diese Binary hinkopiert werden muß, damit es ausgeführt wird.
Wohin?
Außerdem gibts davon wieder verschiedene Versionen.
Was ist denn der Vorteil von brctl gegenüber der manuellen Änderung der ar7.cfg?

Ich freu mich jedenfalls und ein WICHTIGES: "vergelts Gott" an Dich -Jörg.

P.s. Hab mal hier im Forum gelesen, daß manch einer durch die Fritzbox auf Unix Lust bekommen hat. Scheint wirklich so.

 

[MaxMuster]

brctl hab ich nicht benutzt, weil ich nicht weiß, wo denn diese Binary hinkopiert werden muß, damit es ausgeführt wird.
Wohin?

Solche Dinge packt man am Besten nach /var/tmp. Das Einrichten der Brücke mit dem tool hat (außer der Tatsache, dass man damit die ar7.cfg nicht editieren muss) keinen Vorteil, ist eher Umständlicher und benötigt zusätzliche Schritte bei der Installation (und Speicherplatz). Und wenn man eh schon die Portweiterleitung da reineditiert hat, ist für mich die Änderung der ar7.cfg auch der "bessere" Weg.

P.s. Hab mal hier im Forum gelesen, daß manch einer durch die Fritzbox auf Unix Lust bekommen hat. Scheint wirklich so.

Kann ich nur bestätigen schließlich zeigt die Box ja, was man aus "so wenig Hardware" mit 'nem Linux so alles machen kann!

Viel Spaß und bleib dran!

Jörg

EDIT 2007-09-13

- Openvpn mit Kernel 2.6 und Box2Box nur per "udp" möglich.

Ich habe es bei mir mal ausprobiert: eine Box mit FW 06.04.33 konnte ich als Server mit TCP laufen lassen, eine Box mit 2.4-er FW als Client hat sich drauf verbunden. Also ist es zumindest nicht generell unmöglich, auf der 2.6-er Firmware einen OpenVPN-Server mit TCP laufen zu lassen.

 

[pollonhokairos]

eine Box mit FW 06.04.33 konnte ich als Server

Das ist aber keine 7050.

Kasse benutzt übrigens UDP Port 6.
Ist das nun die Erklärung, warum VPN Routing nicht geht?

 

[MaxMuster]

Das ist aber keine 7050.

... das ging ja auch nur um die vorher gestellte Frage ob "OpenVPN mit TCP und Kernel 2.6" unmöglich sei ;-) Und die "Vermutung" stammte ja auch aus einem Thread über eine 29.04.29 (also eine 7170). Ich würde da schon denken, dass es auch mit einer 7050 klappen würde.

Kasse benutzt übrigens UDP Port 6. Ist das nun die Erklärung, warum VPN Routing nicht geht?

Kann ich mir eigentlich nicht vorstellen, solange es nur UDP ist, denn das ist ein "routbares Protokoll" und sollte damit über VPN mit TAP und TUN funktionieren.

Aber per TAP (also mit der Brücke) geht es nun?

Jörg

 

[pollonhokairos]

Ich würde da schon denken, dass es auch mit einer 7050 klappen würde.

Werds bei mir noch mal probieren.

solange es nur UDP ist

Hab dabei zum ersten Mal "Ehereal" benutzt.
Das zeigt:

"Protocols in frame:eth:ip:udp:data".

Passt das?

Als Laie bin ich ganz erstaunt, daß man beim "Sniffen" tatsächlich die übertragenen Daten sehen kann.

Eine weitere Fehlerquelle könnte sein, daß ich in der Box bereits 192.168.178.0 über 192.168.2.1 route - für meine LAN-Verbindung.
Open-VPN soll ja dann auch 192.168.178.0 routen.
Gibts da einen Konflikt?

Aber per TAP (also mit der Brücke) geht es nun?

Ja, mit Bridging gehts. So hab ich jetzt Zeit, mir mal erst die Grundlagen zuzuführen.

Gruß Anton

 

[MaxMuster]

Eine weitere Fehlerquelle könnte sein, daß ich in der Box bereits 192.168.178.0 über 192.168.2.1 route - für meine LAN-Verbindung.
Open-VPN soll ja dann auch 192.168.178.0 routen.

Irgendwie habe ich dann deine Konstellation noch nicht so 100%ig verstanden: Du wolltest doch von deinem Notebook "direkt" eine Verbindung auf den VPN-Server aufbauen, oder? Und das Ziel (die Kasse) ist im lokalen Netz 192.168.2.0? Was (und wo) ist denn jetzt die 192.168.178.0?

Jörg

 

[pollonhokairos]

Irgendwie habe ich dann deine Konstellation noch nicht so 100%ig verstanden: Du wolltest doch von deinem Notebook "direkt" eine Verbindung auf den VPN-Server aufbauen, oder? Und das Ziel (die Kasse) ist im lokalen Netz 192.168.2.0? Was (und wo) ist denn jetzt die 192.168.178.0?
Jörg

Fritzbox 1 = 192.168.178.0 - Privat
Fritzbox 2 = 192.168.2.0 - Geschäft

Beide momentan noch verbunden über WLAN mit WRT54 im Client-Modus dazwischen.
Weil ich umziehe, brauche ich die VPN-Verbindung.

Bin deshalb auch am Überlegen, zukünftig nur ein Netzwerk zu nutzen. Also die zwei Boxen dauerhaft verbinden. Ginge das denn? Bringt das Vor-/Nachteile?

 

[MaxMuster]

Also meine Meinung: Da sind zwei "eigenständige" Netze auf jeden Fall richtig!
Und gegebenenfalls kannst du die dann ja "Box-to-Box" über eine VPN-Strecke verbinden, so dass du vom einen ins andere Netz über das VPN gelangst.

Jörg

 

[pollonhokairos]

Hab gestern mal gewagt, die beiden Boxen zu verbinden, obwohl meine Grundkenntnisse über Bridging/Routing immer noch dürftig sind. Aber ich bin eben ein Hasardeur. Hat sogar funktioniert.

Habe bei der Client-Box ebenfalls das tap0 auf die Bridge gelegt und die Konfigurationen angepasst. Beide Boxen ins selbe Netzwerk gelegt - 192.168.2.0. So wie Du mir das halt beschrieben hast für den Zugang mit dem Notebook.

Macht man das so üblicherweise?

Da sind zwei "eigenständige" Netze auf jeden Fall richtig!

Bedeutet das dann automatisch "Routing" anstatt Bridging?

Gruß Anton