Einrichtung von VPN Routing über Fritzbox 7170 und OpenVPN

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
S

sonny_luke

Neuer User
Mitglied seit
26 Okt 2013
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Hallo!

Ich habe erfolgreich die Freetz-Mod inklusive openVPN auf meine FritzboxFon 7170 (1&1 Brandung) aufgespielt.
Nun möchte ich gerne meinen VPN Account bei swissvpn.net so auf der Fritzbox einrichten, dass alle Netzwerk-Clients (iMac, PC, iPad und iPhone über WLAN) über die Fritzbox über VPN getunnelt werden.
Nach ausgiebiger Recherche im Internet und auch in diesem Forum habe ich nun gesehen, dass mein Vorhaben doch nicht so einfach ist, wie in der Ausgabe 10/2013 von der MacLife Redaktion mal so kurz im Nebensatz erzählt.
Ich habe verstanden, dass ich alle meine Netzwerk-Clients in meiner Fritzbox entsprechend "natten" muss, z.B. über iptables. Das wiederum soll nicht besonders stabil auf der freetz-mod laufen....

Was nun?

Kann mir hier jemand weiterhelfen, wie ich openvpn so einrichten kann wie oben beschrieben?

Vielen Dank!
sonny_luke
 
Zuletzt bearbeitet:
Die 7170 (in der Überschrift steht 7110?) hat einen sehr alten Kernel, da gab es ein Problem mit conntrack. Inzwischen gibt es einen Backport dazu, die Erfahrungen sind wohl in letzter Zeit gut damit.
Ich bin sicher, dass es zum Thema iptables und OpenVPN massenhaft Threads hier im Forum gibt.
 
Hallo Ralf,

vielen Dank für die Antwort... natürlich handelt es sich um die Fritzbox 7170.
Die Threads, die ich bisher zum Thema iptables und OpenVPN gefunden habe, haben mir nicht direkt weitergeholfen. Vielleicht könntest Du mir einen Thread empfehlen? Oder noch besser mir einen Tipp geben, wie ich iptables und OpenVPN richtig einrichten muss?

Danke und Grüße
sonny_luke
 
Die Überschrift kannst Du ändern mit Bearbeiten->Erweitert.

Ich selber verwende auf der Box weder OpenVPN noch iptables. Generell sollte die folgende Regel reichen (die erste Zeile löscht die vorhandenen Regeln):
Code: 
iptables -t nat -F
iptables -t nat -A POSTROUTING -o dsl -j MASQUERADE
Vorher solltest Du dafür sorgen, dass die VPN Verbindung funktioniert.
 
Halllo Ralf,

danke für die schnelle Rückantwort... Thread-Titel habe ich entsprechend angepasst.
iptables habe ich jetzt verstanden... jetzt muss ich noch hinbekommen, dass sich die FritzBox als VPN-Client gegenüber swissvpn.net verbindet. Da scheitere ich auch noch ein wenig. Werde mich jetzt im Forum mal auf die Suche nach geeigneten Threads machen.
Wenn Du natürlich auch noch OpenVPN-Experte bist ;-) bin ich für weitere Tipps dankbar.

Danke und Grüße
sonny_luke
 
Die Suche nach swissvpn und openvpn sollte schon gut helfen. Schau z.B. mal hier, speziell auch die im Beitrag #4 genannten Verweise.
Wenn du eine halbwegs aktuelles Freetz benutzt (mit OpenVPN 2.3.x), dann sollte die dort angeführte Problematik mit dem Default-Gateway keine Rolle mehr spielen (redirect-gateway funktionierte auf den Fritzboxen mit den älteren OpenVPN Versionen nicht).
 
Hallo Ralf, hallo MaxMuster,

die Tipps von MaxMuster haben mir weitergeholfen. Ich habe mittlerweile die VPN Verbindung zu swissvpn mittels openvpn von der FritzBox 7170 aus hingebekommen und habe openvpn im Freetz Image entsprechend als Client konfiguriert.

Nun habe ich noch ein paar Probleme mit der Einrichtung von iptables. Wenn ich die beiden von Ralf vorgeschlagenen iptable rules einrichte bekomme ich beim Start von iptables folgende Fehlermeldungen:

modprobe: can't load module ipt_REJECT (kernel/net/ipv4/netfilter/ipt_REJECT.ko): unknown symbol in module, or unknown parameter
iptables-restore: line 1 failed
Loading modules ... done.
Loading table list ... done.

Habt Ihr eine Idee, wie es hier weitergehen kann?

Viele Grüße
sonny_luke
 
Ich habe nichts von REJECT geschrieben. Warum soll das Modul geladen werden?
Das Kommando dmesg zeigt die Kernel-Meldungen an, da sollte am Ende ein Hinweis darauf sein, was das Problem ist.
Möglicherweise brauchst Du die Option Replace Kernel.
 
Hallo,

ich habe lediglich über die freetz-Oberfläche die von Dir vorgeschlagenen Regeln eingetragen und iptables gestartet.
dmesg auf LINUX-Ebene gibt folgende Fehlermeldung am Ende mit

Code: 
...
mcfw: group 0.0.0.0: query cpmac:0 10sec
mcfw: group 0.0.0.0: query cpmac:0 10sec
mcfw: group 0.0.0.0: query cpmac:0 10sec
mcfw: group 0.0.0.0: query cpmac:0 10sec
mcfw: group 0.0.0.0: query cpmac:0 10sec
ipt_REJECT: Unknown symbol xfrm_lookup
mcfw: group 0.0.0.0: query cpmac:0 10sec

Die Option Replace Kernel finde ich in der freetz menuconfig, nehme ich an?

Gruß
sonny_luke
 
Zuletzt bearbeitet:
Ja, Replace Kernel ist eine Option im menuconfig.
Andererseits verwendest Du REJECT nicht, also ist es auch nicht wichtig, das Modul zu laden. Wie sehen die aktiven Regeln aus? In der Kommandozeile oder Rudishell ausführen:
Code: 
iptable -vnL
 
Hallo Ralf,

iptables -vnL liefert folgendes Ergebnis:

iptables v1.4.11.1: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Denke nicht das, was Du erwartest hast, oder :-( ?

Gruß
sonny_luke
 
Ich hätte schreiben sollen: "iptables -t nat -vnL", die Tabelle filter braucht man zwar in den meisten Fällen, aber hier ist die Tabelle nat interessant. Kann aber gut sein, dass dort eine ähnliche Meldung kommt.

Du brauchst vermutlich folgende Module:
x_tables
ip_tables
nfnetlink
ip_conntrack
ip_nat
iptable_nat
ipt_MASQUERADE

Sind diese im Image drin? Versuch mal nacheinander, diese mit modprobe zu laden, ansonsten oder auch gleich mit Replace Kernel.
 
Kannst Du mal eine .config posten ?
 
Ich habe oben schon geschrieben, dass ich kein iptables auf der Box verwende. Die Liste der Module habe ich von einem PC Linux, das eine ähnliche Kernel-Version verwendet.
 
@ RalfFriedl: Sorry, mein Post war nicht an Dich, sondern an den TE gerichtet.

Ganz allgemein:
Ich weiß, daß auf einer 7170 iptables inklusive der benötigten (geladenen) Module läuft. Ohne den Kernel zu ersetzen.
Allerdings benutz(t)e ich auf einer 7170 keine xtables ... das entsprechende Modul heißt dort ipt_state.
Kann es sein, das der xtables-Support in Freetz erst bei neueren Kernels (> 2.6.13.1) existiert ?
 
@JohnDoe42
Da habe ich wohl nicht aufgepasst.

Kann gut sein, dass die Module auf der 7170 anders heißen, wie bereits geschrieben habe ich die Liste von einem PC-Linux, das einen etwas älteren Kernel verwendet, aber nicht ganz so alt.
 
@RalfFriedl: Hier das Ergebnis der modprobe:

Code: 
root@AWEfritz:/var/mod/root# modprobe ip_tables
root@AWEfritz:/var/mod/root# modprobe nfnetlink
modprobe: module nfnetlink not found in modules.dep
root@AWEfritz:/var/mod/root# modprobe x_tables
modprobe: module x_tables not found in modules.dep
root@AWEfritz:/var/mod/root# modprobe ip_tables
root@AWEfritz:/var/mod/root# modprobe nfnetlink
modprobe: module nfnetlink not found in modules.dep
root@AWEfritz:/var/mod/root# modprobe ip_conntrack
root@AWEfritz:/var/mod/root# modprobe ip_nat
modprobe: module ip_nat not found in modules.dep
root@AWEfritz:/var/mod/root# modprobe iptable_nat
modprobe: module i?ptable_nat not found in modules.dep
root@AWEfritz:/var/mod/root# modprobe ipt_MASQERADE
modprobe: module ipt_MASQERADE not found in modules.dep

D.h. nur iptables und ip_conntrack sind installiert.
Da ich freetz-Laie bin, wofür brauche ich denn all diese mods? Ich dachte iptables reicht aus?


@JohnDoe42: Ich nehme an, du meinst meine freetz config, die ich mit make menuconfig erstellt habe, richtig?
 
Zuletzt bearbeitet:
Wähle in menuconfig das Modul ipt_MASQERADE aus. Das sollte alle Module anwählen, die dafür benötigt werden.
Außerdem brauchst Du die passende Library (FREETZ_LIB_libipt_MASQUERADE), falls nicht schon vorhanden.
 
Wenn ich hier nachschaue, scheint ipt_MASQUERADE schon installiert zu sein?

Code: 
root@AWEfritz:/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter# ls -alF
-rw-r--r--    1 root     root         47588 Oct 27 17:53 ip_conntrack.ko
-rw-r--r--    1 root     root          7212 Oct 27 17:53 ip_conntrack_ftp.ko
-rw-r--r--    1 root     root         27704 Oct 27 17:53 ip_tables.ko
-rw-r--r--    1 root     root         10320 Oct 27 17:53 ipt_LOG.ko
-rw-r--r--    1 root     root          3572 Oct 27 17:53 ipt_MASQUERADE.ko
-rw-r--r--    1 root     root          2344 Oct 27 17:53 ipt_REDIRECT.ko
-rw-r--r--    1 root     root          6584 Oct 27 17:53 ipt_REJECT.ko
-rw-r--r--    1 root     root          2352 Oct 27 17:53 ipt_iprange.ko
-rw-r--r--    1 root     root          2348 Oct 27 17:53 ipt_mac.ko
-rw-r--r--    1 root     root          3044 Oct 27 17:53 ipt_multiport.ko
-rw-r--r--    1 root     root          2128 Oct 27 17:53 ipt_state.ko
-rw-r--r--    1 root     root          4292 Oct 27 17:53 iptable_filter.ko
-rw-r--r--    1 root     root         25184 Oct 27 17:53 iptable_nat.ko
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 521 (Mitglieder: 26, Gäste: 495)

Neueste Beiträge

Statistik des Forums

Themen
246,756
Beiträge
2,256,938
Mitglieder
374,781
Neuestes Mitglied
Pauliner
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück