[Problem] FB 7590 mit Freetz OS7.10 und OVPN -> Konflikt mit Zugangsprofilen

[Marthzion]

Da es nicht nur mir so geht, erstelle ich mal ein neues Thema:

Nachdem die Fritzbox 7590 jetzt auch mit OpenVPN und der Firmware 7.10 läuft, gibt es jetzt folgenden Fehler:

Nach dem Einstellen einer Kindersicherung (Also das Zuweisen eines Zugangsprofils in der AVM-Oberfläche) für irgendein Gerät führt dazu, dass die openVPN-Verbindung geblockt wird. Man erreicht noch die Fritzbox-Oberfläche, aber der Internetverkehr wird nicht mehr durch gelassen (So als würde die Fritzbox intern irgendwo der VPN-Verbindung das Zugansprofil "gesperrt" zuweisen).
Ein Umleiten des Internetverkehrs über die Fritzbox ist also nicht mehr möglich (bei gleichzeitiger Verwendung der Kindersicherung. Mit der FW6.92 ging das noch problemlos.

Kann mir evtl. jemand einen Anhaltspunkt geben, in welcher Datei man hier was editieren kann? Die ar7.cfg scheint es nicht zu sein, denn da ändert sich m.E. nichts beim zuweisen von Zugangsprofilen.
Nach was könnte man denn hier suchen. Bin etwas ratlos.

Danke und Gruß

 

[hoewer]

Ähnliches Problem hier auf der 7490 nach Update von 7.01 auf. 7.11. Hast Du schon eine Lösung gefunden?

 

[Herbie_2005]

Hallo!

Gibt es mittlerweile hier Neuigkeiten?

 

[koyaanisqatsi]

Moinsen


Was zeigt denn die Seite http://fritz.box/surf.lua auf Seiten des VPN Klienten an?

 

[hoewer]

Hallo koyaanisqatsi,
surf.lua zeigt uneingeschränkte Berechtigung. Das Problem liegt nicht am konfigurierbaren Teil der FB, sondern offenbar an Änderungen im Kernel. Ggf. ist relevant, das die VPN-Verbindung ein Subnetz neben dem der FB nutzt - diese Subnetze werden evtl. für den Internetzugriff gesperrt.
Mein Plan ist derzeit, das ich mir z.B. mit Addhole einen Ersatz für die Kindersicherung baue und diese dann deaktiviere oder gar ganz ausbaue. Oder hat jemand eine bessere Lösung?

 

[Marthzion]

Hallo miteinander,

ich bin hier leider auch nicht weiter gekommen. Hatte es dann aufgegeben und gehofft, dass sich mit einer der neueren Firmware Versionen das Problem "von selbst" löst.
Die 7.12 werde ich in den nächsten Tagen mal testen. Ich erwarte aber keine Änderung.

Die Kindersicherung habe ich bisher immer einfach aus geschaltet, wenn ich die VPN gebraucht habe.

VG

 

[hoewer]

Ich habe nun folgendes getan, um das Problem zu umgehen:
In mein Freetz habe ich mir dnsmasq und addhole eingebaut; dann addhole mit Listen gefüttert, die ein Pendant zu der AVM-Kindersicherung darstellen - also im wesentlichen Blocklisten für XXX-Seiten (allerdings ist die von AVM genutzte Liste der BPjM nicht öffenlich), darüber hinaus noch ein paar Listen zum Blocken von Ads und Trackern sowie zum Einschränken des Datenhungers von Microsoft und Konsorten. Diesbezüglich ist Addhole viel flexibler als AVM, wo nur 500 individuelle Blocklist-Einträge erlaubt sind.
Meines Wissens gibt es aber keine Möglichkeit, Addhole zum Blocken des direkten Aufrufs von IP-Adressen zu nutzen. Auf dieses Feature muss man also verzichten. Anschließend habe ich alle Profile auf Standard gesetzt und die Kindersicherung somit faktisch deaktiviert. Für das Gastprofil kann ich im Übrigen weiterhin die Filter der Fritzbox nutzen - dies scheint keinen Einfluss auf das oben im Thread beschriebene Problem zu haben.
Und Voila! - Internet via OpenVPN oder Wireguard funzt wieder und eine Kindersicherung ist dennoch aktiv.

 

[Herbie_2005]

Vielen Dank für Deine Beschreibung! Eine Frage noch: mußt Du die Fritzbox neustarten, damit die Änderungen wirksam werden? Also damit das Freetz-Openvpn wieder normal funktioniert?

 

[jugi]

Muss man die Kindersicherung für jedes einzelne Geräte deaktivieren (Profil auf Standard umstellen)? Ich habe einige Geräte auf deaktiviert geschaltet, weil ich nicht will, dass sie Daten ins Internet schicken. Das denen dann temporär zu erlauben wäre auch blöd und aufwändig.
Web Zugriff einschränken kann man auch ganz gut über Opendns. Zumindest für User/Geräte, die nicht manuell den DNS Server ändern können. Ich nutze die FB Kindersicherung eher für zeitliche Einschränkung.
Btw: Blöd finde ich auch, dass man bei Nutzung des Gast WLAN/LAN nicht trotzdem andere Profile nutzen kann.

Gruß
Jürgen

 

[hoewer]

@Herbie_2005 Falls Du nur die Kindersicherung deaktivieren möchtest, reicht es m.E., alle Filteroptionen zu entfernen und nur das Profil Standard (oder Gesperrt / s.u.) zu nutzen. Ein Neustart ist m.E. nicht erforderlich.

@jugi Hatte ich vergessen zu erwähnen: Das Profil "Gesperrt" darf weiterhin genutzt werden - ich habe auch einige Geräte komplett von der Außenwelt abgekoppelt. Mit der zeitlichen Einschränkung der Profile habe ich mich noch nicht befasst - ich weiß also nicht, welchen Einfluss die Nutzung der Zeitsteuerung auf die Funktion von OpenVPN etc. hat. Für diese Anwendung der Kindersicherung bietet addhole (noch) keinen Ersatz; aber vielleicht wird der Funktionsumfang ja noch ausgeweitet.

 

[riganit]

Ich kann das Problem auf einer nagelneu gefreetzten 7490 (7.12, freetz-ng 16373) bestätigen:
Bei einer laufenden OpenVPN-Verbindung mit redirect-gateway ist die Internetverbindung weg, sobald in der Kindersicherung ein Gerät ein anderes Profil als "Standard" hat. Stellt man alle wieder auf Standard geht es sofort wieder.
Das ist ein nerviges Problem, für das ich sehr an einer Lösung oder Workaround interessiert wäre.

Da ich keinen blassen Schimmer habe, wie die Kindersicherung technisch umgesetzt ist, weiß ich nicht wo ich da mit der Ursachenforschung anfangen soll.
Weiß jemand wie die Kindersicherung funktioniert?

 

[Marthzion]

Hallo,
Bei meiner 7590 und FW7.12 ist das Problem auch noch vorhanden.
Schöner Mist.

-- Zusammenführung Doppelpost by stoney

Ich hatte gerade nochmal bissl rumprobiert und scheinbar eine Lösung gefunden:

In der Fritzbox eine Route anlegen:
(Fritzbox Oberfläche > Heimnetz >Netzwerk >Netzwerkeinstellungen >IP4-Routen)

Netzwerk: 10.0.0.0 -> VPN netz
Subnetz: 255.255.255.0
Gateway: 10.0.0.1 -> VPN Server

So ging es bei mir gerade.

 

[Matthy]

Klappt bei mir damit leider nicht. Hab zwar andere Netze, aber hab es analog dazu probiert.

 

[Marthzion]

Ich habe nochmal etwas hin und her probiert und musste feststellen, dass es leider nicht wirklich reproduzierbar ist.
Habe immer wieder die Route zwischen Gateway 192.168.178.1 und 10.0.0.1 hin und hergestellt und getestet ob ich mit vpn auf Google oder Wikipedia komme.
Zwischen vielen Fehlschlägen hatte es aber 2 Mal funktioniert. Nach einem Box Neustart ging es aber wieder nicht mehr.

Warum es überhaupt manchmal geht kann ich also leider auch nicht sagen. Aber vielleicht hilft es jemanden weiter.

 

[riganit]

Das mit den statischen Routen hab ich noch nicht ausprobiert.
Aber immerhin geht es bei Bridging statt Routing, wie auch zu erwarten ist, da der Client sich dann netztechnisch im Servernetz befindet und nicht erst dorthin geroutet werden muss.
Bridging ist allerdings nicht immer wünschenswert.