[Problem] Box friert ein nach Start von OpenVPN

cbartetzko

Neuer User
Mitglied seit
6 Nov 2017
Beiträge
10
Punkte für Reaktionen
0
Punkte
1
Ich möchte 2 Fritzboxen (7272 und 7390) über einen OpenVPN-Link dauerhaft verbinden.
Habe dazu für jede Box ein Freetz-Image erzeugt (mit den Paketen Dropbear und OpenVPN) und aufgespielt.
Auf beiden Boxen läuft Freetz und auch Dropbear problemlos.
Wenn ich jedoch OpenVPN konfiguriere und manuell starte, dann friert die Box sofort ein und ist nicht mehr ansprechbar
bis zum gewaltsamen Reboot (Stecker ziehen). Das Problem habe ich sowohl auf der 7272 als auch auf der 7390.

Hat jemand eine Idee, woran das liegen könnte ?
 
... vermute ich auch ;-)
Ich denke, du hast in der Konfiguration einen "Fehler", so dass du z.B. das LAN-IP-Netz durch das VPN routest.
Dann friert die Box nicht ein, sondern ist nur nicht mehr erreichbar, weil sie die "Antworten" statt in dein Netz "in das VPN" schickt.

Ansonsten wird dir ohne Wissen, was genau du denn konfiguriert hast, niemand helfen können...
 
Vielen Dank erstmal @opto und @MaxMuster.
Es lag tatsächlich an den Routing-Einträgen. Wenn ich die rausnehme, dann baut sich der Tunnel auf.
Ich experimentiere noch mit den Routingeinträgen, aber ich fürchte so ganz hab ich das nicht verstanden.
Ich werde morgen mal meine eingestellte Konfiguration posten.
Vielleicht könnt Ihr mir dann helfen.
 
Also folgende Konfiguration:
Ich möchte gerne zwei Netze über zwei Fritzboxen und OpenVPN so permanent verbinden, dass ich jeweils von Geräten im einen Netz
auf das andere zugreifen kann.

Netz1: 192.168.178.0 255.255.255.0
FB6360, 192.168.178.1,Internetzugang über Kabeldeutschland, DHCP-Server, DNS-Server,Portforwarding UDP 1194 auf 192.168.178.24, DynDNS
FB7390, 192.168.178.24, IP-Client an FB6360, Freetz-Devel-14492, OpenVPN Server mit folgender Konfiguration:
Server.jpg
Netz2: 192.168.180.0 255.255.255.0
FB7272, 192.168.180.1, Internetzugang über LTE-Stick, DHCP-Server, DNS-Server, Freetz-Devel-14492, OpenVPN Client mit folgender Konfiguration:
Client.jpg
Der OpenVPN-Tunnel baut sich erfolgreich auf und wird gehalten.

Ein Ping von FB7390(Netz1) auf FB7272(Netz2) funktioniert.
Ein HTTP-Aufruf von einem Gerät im Netz1 auf die Weboberfläche der FB7272(Netz2) funktioniert,
allerdings nur, wenn ich in den Netzwerkeinstellungen des Gerätes als Gateway die FB7390 eintrage.
Ich frage mich, ob man das auch über einen statischen Routen-Eintrag in der FB6360 oder FB7390 lösen könnte, weiss aber nicht wie.

Ein Ping von FB7272(Netz2) auf FB7390(Netz1) funktioniert nicht.
Ich habe schon mit verschiedenen Routing-Einstellungen bei OpenVPN-Server und -Client experimentiert, bekomme es aber nicht hin.
 
192.168.180.0/24 ist bei einer FRITZ!Box eine ungünstige Wahl. Dieses Netz wird intern verwendet ... irgendwo hatte AVM das sogar mal dokumentiert.

Jedenfalls sollte eine FRITZ!Box in ihrer Routing-Table immer einen Eintrag für 192.168.180.1 und 192.168.180.2 über "dev dsl" mit einer Metrik von 2 haben - kann man ja leicht anhand der Support-Daten überprüfen, die Routing-Table wird dort auch aufgeführt. Das sind zwar Host-Routen ... aber da die (meines Wissens) auch vom "dsld" erneuert werden bei Änderungen an der WAN-Verbindung (wie das bei IP-Client-Modus ist, weiß ich nicht aus dem Kopf), sollte man dieses Netz in einer FRITZ!Box wirklich nur verwenden, wenn man sich sehr, sehr sicher ist, was man da eigentlich macht und man sich mit der Fehlersuche im Netzwerk generell recht gut auskennt. Meines Wissens trifft AVM da keine gesonderten Vorkehrungen gegen die Verwendung dieses Netzes und weicht auch nicht auf ein anderes Segment aus, wenn der Besitzer die 192.168.180.0/24 einstellt - das könnte sich aber geändert haben.

Ohne passende Vorkehrungen würde es jedenfalls mit einiger Wahrscheinlichkeit passieren, daß eine von OpenVPN angelegte Route zu 192.168.180.0/24 durch die (genauer spezifizierte) Host-Route über "dev dsl" überstimmt wird und damit zumindest Pakete an 192.168.180.1 und 192.168.180.2 im Nirwana landen.

Den Rest der Einstellungen habe ich nicht angesehen und auch den Rest der Fehlerbeschreibung nicht wirklich gelesen ... ich will also nicht behaupten, daß mit dem Wechsel der Segment-Adresse auf der einen Seite bereits alles in Butter wäre. Gut möglich, daß es noch weitere Probleme gibt ... aber zumindest die Ausgabe der Routing-Table bei aktivierter OpenVPN-Verbindung sollte man eben einer genaueren Inspektion unterziehen.
 
Das Netz 192.168.180.0 solltest du wirklich nicht nehmen, das ist wie geschrieben von AVM "reserviert" (für DNS, wenn ich mich recht entsinne).

Auf dem "normalen" Defaultgateway im Netz1 sollte man eine Route für das eintragen können (sofern das bei deiner 6360 wie auf anderen Fritzboxen geht). Schau mal hier bei AVM:
https://avm.de/service/fritzbox/fri...1_Statische-IP-Route-in-FRITZ-Box-einrichten/

Wenn du auf mit Zertifikaten und Netzen beim Client arbeitest, musst du zudem vermutlich noch einen Schritt gehen (beim Server in der "erweiterten Clientkonfiguration" zum Zertifikatsnamen die IP des Clients und das beim Client genutzte Netz eintragen.

Hintergrund ist, dass deine Config es ermöglicht, dass sich mehrere VPN-Clients dort anmelden. Dann muss der VPN-Server intern wissen, zu welchem Client er ein Netz routen soll. Das erledigt dieser Eintrag (falls es interessiert: Der Übernimmt das Anlegen eines "client-config-dir" und erzeugt darin einen Eintrag für den Client mit dem nötigen "iroute"-Eintrag)

Als Tipp noch der Verweis auf die Wiki-Seite zum Paket, speziell zum Bereich "Fehlersuche: Ein paar Tips wenn es nicht gleich so klappt".
 
Zuletzt bearbeitet:
Danke @PeterPawn und @MaxMuster.

Ich habe nun ein anderes Netz gewählt und Serverseitig die erweiterte Client-Configuration eingerichtet.

Netz1: 192.168.178.0 255.255.255.0
FB6360, 192.168.178.1,Internetzugang über Kabeldeutschland, DHCP-Server, DNS-Server,Portforwarding TCP 443 auf TCP 1194 auf 192.168.178.24, DynDNS
FB7390, 192.168.178.24, IP-Client an FB6360, Freetz-Devel-14492, OpenVPN Server mit folgender Konfiguration (openvpn-server.conf.txt)

Netz2: 192.168.177.0 255.255.255.0
FB7272, 192.168.177.1, Internetzugang über LTE-Stick, DHCP-Server, DNS-Server, Freetz-Devel-14492, OpenVPN Client mit folgender Konfiguration: (openvpn-client.conf.txt)

Funktioniert soweit alles und ich kann mich nun auch mit mehreren Clients verbinden.

Das Routing-Problem bleibt aber:
Ein Ping von FB7390(Netz1) auf FB7272(Netz2) funktioniert.
Ein Ping von FB7390(Netz1) auf andere Geräte im Netz2 funktioniert.
Geräte im Netz1 können auf Geräte im Netz2 zugreifen,
allerdings nur, wenn ich in den Netzwerkeinstellungen des Gerätes(Netz1) als Gateway die FB7390 eintrage.
Habe es mit statischen Routen auf FB7390 und FB6360 versucht - leider ohne Erfolg.

Ein Ping von FB7272(Netz2) auf FB7390(Netz1) funktioniert jetzt.
Ein Ping von FB7272(Netz2) auf andere Geräte im Netz1 funktioniert nicht.
Habe es mit statischen Routen auf FB7390 und FB6360 versucht - leider ohne Erfolg.
 

Anhänge

  • openvpn-server.conf.txt
    1.1 KB · Aufrufe: 2
  • openvpn-client.conf.txt
    687 Bytes · Aufrufe: 2
Das sieht so aus, als ob die statische Route in Netz1 nicht wie gewünscht funktioniert.
Im Netz2 ist ja das "normale" Defaultgateway auch VPN-Teilnehmer, dort sollte kein Eintrag nötig sein.

Also muss nur die Kabel-Box im Netz1 ein statisches Routing haben. Auf der 7390 muss/sollte nichts eingetragen sein.

Nur zur Sicherheit: Die Route in der 6360 lautet, "Netz2 auf 7390 routen"? Also: 192.168.177.0 255.255.255.0 auf 192.168.178.24 ?
 
Supi. Mit den richtigen Einträgen für das statische Routing funktioniert jetzt alles wie es soll.
Vielen Dank nochmals für die "Schützenhilfe"
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,191
Beiträge
2,247,707
Mitglieder
373,743
Neuestes Mitglied
nomanchapa
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.