FBF 7170 hinter Uni Netz mit statischer IP und VPN Cisco

[Oh-Tannebaum]

Hallo zusammen,

ich möchte gern die FBF zum Telefonieren im Wohnheim mit dem Uninetz verbinden. Dazu brauche ich allerdings einen VPN Client auf der FBF der sich mit dem Uninetz verträgt.
Könnt ihr mir helfen?? Wie ich die FBF umbauen muss?


Gruß

M.

 

[frank_m24]

Hallo,

Suche mal, ob es die vpnc Lösung noch gibt. Der war mal im ds-mod drin, wenn mich nicht alles täuscht. Damit könnte es gehen. Aber ich hab keine Ahnung, ob der noch drin ist und ob es auf den aktuellen Firmwares (Kernel 2.6) noch geht.

VPNC geht allerdings nur, wenn ihr eine Gruppenauthentifizierung verwendet. Macht ihr zertifikatsbasiertes VPN, dann wird es schwer. Einen passenden Client für die Box gibt es nicht. Einen PC mit Windows, dem Cisco Client und der Internetverbindungsfreigabe kannst du nicht nutzen, weil der Cisco Client das unterbindet. Bleibt nur ein VPN Router, der die VPN-Verbindung aufbaut und die für die Box als Gateway arbeitet. Entweder ein Linux PC mit einem OpenSWAN oder racoon, oder auch ein spezieller VPN Router.

Viele Grüße

Frank

 

[Oh-Tannebaum]

Hallo, und vielen Dank

Ich hab jetzt den aktuellen DS MOD auf der FritBox 7170 VPNC Funktioniert mit unserem Uni-Netz. Die Verbindung steht und Sip Telefonie funktioniert auch schon. Das ist alles wunderbar. Jetzt hab ich nur das Problem, dass PC's hinter der FritzBox nicht mehr ins Internet kommen.

Könnte mir da nochmal jemand unter die Arme greifen Ich hab hier im Forum schon gesucht doch leider erfolglos.

Gruß

M.

 

[frank_m24]

Hallo,

Jetzt hab ich nur das Problem, dass PC's hinter der FritzBox nicht mehr ins Internet kommen.
Könnte mir da nochmal jemand unter die Arme greifen

Dazu müsste man exakt wissen, wie dein Setup aussieht:
- Benötigst du die VPN Verbindung, um ins Internet zu kommen, oder brauchst du sie nur, um einen speziellen Server im Uni-Netz zu erreichen?
- Ist die Box nun als Router konfiguriert, oder hängt sie nur als IP-Client mit im Netz?
- Haben die PCs bisher ihre eigene VPN Verbindung aufgebaut und können das nun nicht mehr, weil die Box schon eine VPN Verbindung hat?

Beschreibe exakt, wie das alles konfiguriert ist, also welches Gerät wie angeschlossen wurde, wie es konfiguriert ist und welche Rolle es hat. Beschreibe vor allem auch exakt, welche Voraussetzungen für den Internetzugang erfüllt sein müssen und wie die PCs bislang ins Netz kamen. Des weiteren sind die Fehlermeldungen auf den PCs interessant, weil da ja bestimmt welche auftreten.
Zuletzt führe auf den PCs in einem DOS Fenster (Eingabeaufforderung, unter Vista im Admin-Modus) mal folgende Befehle aus und poste den Output her:
ipconfig /all
route print
nslookup www.ebay.de
tracert 193.99.144.85
arp -a

Viele Grüße

Frank

 

[Oh-Tannebaum]

Also die VPN Verbindung brauche ich um ins Internet zu kommen also nicht nur für spezielle Server. Ohne Fritzbox baut der PC die Internet Verbindung über den Cisco Client auf.
Die Box ist als Router konfiguriert.
Die PC's sollen keine VPN Verbindung mehr hinter der Fritzbox aufbauen das soll die FritzBox übernehmen.

Die FritzBox hängt direkt am Lan Anschluss des Wohnheim's über Lan1 und baut eine VPN Verbindung zum VPN Server des RZ auf. Ein Pc hängt an Lan2 der Box die IP's wird vom DHCP Server der Box vergeben.

Fehlermeldungen treten keine auf im Firefox wird lediglich keine Seite aufgebaut.
Ein Ping vom PC zum VPN Server des RZ ist möglich, jedoch keine Pings auf Internet Seiten.

Die Ausdrucke der Befehle kann ich leider erst nächste Woche machen da ich dann wieder im Wohnheim bin.

Danke im voraus.


Matthias

 

[frank_m24]

Hallo,

könnte ein Routenproblem auf der Fritzbox sein, aber auch auf dem PC. Mehr kann man sagen, wenn du die Befehle auf dem PC ausgeführt hast.
Kannst du auch Befehle auf der Box ausführen, im Telnet z.B.? Dort wären sie auch interessant, falls das Problem dort liegt. Unter Linux lauten sie natürlich ein wenig anders:
ifconfig -a
route -n
nslookup www.heise.de
traceroute -n 193.99.144.85

Ich bin mir nicht sicher, ob all diese Befehle auf der Box funktionieren, aber einen Versuch ist es wert.

Viele Grüße

Frank

 

[Oh-Tannebaum]

Hallo,

also ich habe jetzt mal die Befehle ausgeführt.

Die auf dem PC:

C:\>ipconfig /all

Windows-IP-Konfiguration

        Hostname. . . . . . . . . . . . . : G164
        Primäres DNS-Suffix . . . . . . . :
        Knotentyp . . . . . . . . . . . . : Unbekannt
        IP-Routing aktiviert. . . . . . . : Nein
        WINS-Proxy aktiviert. . . . . . . : Nein
        DNS-Suffixsuchliste . . . . . . . : urz.uni-heidelberg.de

Ethernetadapter LAN-Verbindung:

        Verbindungsspezifisches DNS-Suffix:
        Beschreibung. . . . . . . . . . . : Broadcom 440x 10/100 Integrated Cont
roller
        Physikalische Adresse . . . . . . : 00-13-77-26-D9-AA
        DHCP aktiviert. . . . . . . . . . : Ja
        Autokonfiguration aktiviert . . . : Ja
        IP-Adresse. . . . . . . . . . . . : 192.168.178.21
        Subnetzmaske. . . . . . . . . . . : 255.255.255.0
        Standardgateway . . . . . . . . . : 192.168.178.1
        DHCP-Server . . . . . . . . . . . : 192.168.178.1
        DNS-Server. . . . . . . . . . . . : 192.168.178.1
        Lease erhalten. . . . . . . . . . : Mittwoch, 9. Mai 2007 13:43:54
        Lease läuft ab. . . . . . . . . . : Samstag, 19. Mai 2007 13:43:54

Ethernetadapter Drahtlose Netzwerkverbindung:

        Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung
        Beschreibung. . . . . . . . . . . : Intel(R) PRO/Wireless 3945ABG Networ
k Connection
        Physikalische Adresse . . . . . . : 00-18-DE-66-BF-01

C:\>route print
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 13 77 26 d9 aa ...... Broadcom 440x 10/100 Integrated Controller - Pak
etplaner-Miniport
0x3 ...00 18 de 66 bf 01 ...... Intel(R) PRO/Wireless 3945ABG Network Connection
 - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0    192.168.178.1  192.168.178.21       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
    192.168.178.0    255.255.255.0   192.168.178.21  192.168.178.21       20
   192.168.178.21  255.255.255.255        127.0.0.1       127.0.0.1       20
  192.168.178.255  255.255.255.255   192.168.178.21  192.168.178.21       20
        224.0.0.0        240.0.0.0   192.168.178.21  192.168.178.21       20
  255.255.255.255  255.255.255.255   192.168.178.21  192.168.178.21       1
  255.255.255.255  255.255.255.255   192.168.178.21               3       1
Standardgateway:     192.168.178.1
===========================================================================
Ständige Routen:
  Keine

C:\>nslookup [URL="http://www.ebay.de"]www.ebay.de[/URL]
Server:  fritz.fonwlan.box
Address:  192.168.178.1

Nicht autorisierte Antwort:
Name:    hp-intl-de.ebay.com
Addresses:  66.135.208.95, 66.135.192.8, 66.135.192.56, 66.135.208.93
Aliases:  [URL="http://www.ebay.de"]www.ebay.de[/URL]


C:\>tracert 193.99.144.85

Routenverfolgung zu [URL="http://www.heise.de"]www.heise.de[/URL] [193.99.144.85]  über maximal 30 Abschnitte:

  1    <1 ms    <1 ms    <1 ms  fritz.fonwlan.box [192.168.178.1]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *     ^C
C:\>arp -a

Schnittstelle: 192.168.178.21 --- 0x2
  Internetadresse       Physikal. Adresse     Typ
  192.168.178.1         00-15-0c-7f-3a-7a     dynamisch

C:\>

Und auf der FritzBox:

BusyBox v1.4.1 (2007-04-25 21:27:35 CEST) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

ermittle die aktuelle TTY
tty is "/dev/pts/0"
/ $ fconfig -a
-sh: fconfig: not found
/ $ ifconfig-a
-sh: ifconfig-a: not found
/ $ ifconfig -a
cpmac0    Link encap:Ethernet  HWaddr 00:15:0C:7F:3A:7A
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1492 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1242 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:256
          RX bytes:191920 (187.4 KiB)  TX bytes:616173 (601.7 KiB)

dsl       Link encap:Point-to-Point Protocol
          inet addr:192.168.179.1  P-t-P:192.168.179.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:42 errors:0 dropped:0 overruns:0 frame:0
          TX packets:263 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:11166 (10.9 KiB)  TX bytes:32685 (31.9 KiB)

eth0      Link encap:Ethernet  HWaddr 00:15:0C:7F:3A:7A
          UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:1065 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1073 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:129641 (126.6 KiB)  TX bytes:591712 (577.8 KiB)

lan       Link encap:Ethernet  HWaddr 00:15:0C:7F:3A:7A
          inet addr:192.168.178.1  Bcast:192.168.178.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:1041 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1076 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:108567 (106.0 KiB)  TX bytes:587582 (573.8 KiB)

lan:0     Link encap:Ethernet  HWaddr 00:15:0C:7F:3A:7A
          inet addr:192.168.178.254  Bcast:192.168.178.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:238 errors:0 dropped:0 overruns:0 frame:0
          TX packets:238 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:31529 (30.7 KiB)  TX bytes:31529 (30.7 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
-00
          inet addr:129.206.198.104  P-t-P:129.206.198.104  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1412  Metric:1
          RX packets:17 errors:0 dropped:0 overruns:0 frame:0
          TX packets:104 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:4196 (4.0 KiB)  TX bytes:9247 (9.0 KiB)

wan       Link encap:Ethernet  HWaddr 00:15:0C:7F:3A:7A
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:427 errors:0 dropped:0 overruns:0 frame:0
          TX packets:169 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:62279 (60.8 KiB)  TX bytes:24461 (23.8 KiB)

/ $ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
192.168.180.2   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
129.206.100.81  0.0.0.0         255.255.255.255 UH    0      0        0 dsl
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 lan
0.0.0.0         129.206.198.104 0.0.0.0         UG    0      0        0 tun0
/ $ nslookup [URL="http://www.heise.de"]www.heise.de[/URL]
Server:  129.206.100.126
Address: 129.206.100.126 dns.uni-heidelberg.de

Name:    [URL="http://www.heise.de"]www.heise.de[/URL]
Address: 193.99.144.85 [URL="http://www.heise.de"]www.heise.de[/URL]
/ $ traceroute -n 193.99.144.85
traceroute to 193.99.144.85 (193.99.144.85), 30 hops max, 38 byte packets
 1  129.206.100.81  234.499 ms  158.345 ms  198.244 ms
 2  129.206.132.1  211.790 ms  207.366 ms  190.992 ms
 3  129.206.215.126  294.659 ms  229.419 ms *
 4  129.143.79.113  74.916 ms  74.424 ms  148.608 ms
 5  129.143.1.7  71.937 ms  109.142 ms  104.344 ms
 6  129.143.1.25  80.116 ms  174.570 ms  85.857 ms
 7  129.143.1.130  204.928 ms  202.993 ms  191.342 ms
 8  80.81.192.132  221.573 ms  254.074 ms  168.509 ms
 9  213.83.46.195  186.932 ms  205.287 ms  144.653 ms
10  * * 213.83.46.195  187.757 ms !A
11  * * 213.83.46.195  23.080 ms !A
12  * 213.83.46.195  137.425 ms !A *
13  213.83.46.195  41.508 ms !A *  51.024 ms !A
/ $

Wenn ich das richtig verstehe muß ich die Fritzbox noch dazu bringen alle internen Anfragen durch den VPN Tunnel zu schicken ?!


Ich hoffe die Befehle helfen weiter und vielen Dank für die Hilfe

Gruß

M.

 

[frank_m24]

Hallo,

Ich habe vpnc zwar nur auf einem Notebook, und nicht auf einer Fritzbox am laufen, aber wenn ich die Ausgaben vergleiche, dann fallen mir 2 Dinge auf, und zwar beide in der Ausgabe des "route -n" Befehles auf der Box:

129.206.100.81  0.0.0.0         255.255.255.255 UH    0      0        0 dsl

Zum einen diese Zeile. Die gibt es bei mir in dieser Form überhaupt nicht. Es scheint die IP des Gateways oder VPN Servers zu sein. Aber warum wird sie aufs DSL Interface geroutet? Das hat gar keine passende IP aus dem Subnetz ...
Ich könnte mir vorstellen, dass diese Route stört. Aber ganz sicher bin ich mir nicht, da es sich um eine Host Route handelt, und weil sie dann eigentlich auch den Traffic direkt auf der Fritz stören müsste.

0.0.0.0         129.206.198.104 0.0.0.0         UG    0      0        0 tun0

Zum anderen diese Zeile, die sieht bei mir anders aus. Das vpnc auf meinem Notebook richtet die Route nicht mit Defaultgateway ein, sondern einfach aufs Interface:

0.0.0.0         0.0.0.0     0.0.0.0         U    0      0        0 tun0

Das sollte aber wenig ausmachen. Eigentlich.

Ich hab gerade noch mal ein bisschen gesucht hier im Forum: Vielleicht hilft dir das hier weiter:
http://www.ip-phone-forum.de/showthread.php?t=119704
Da werden nach erfolgreichen Tunnelaufbau noch iptables Regeln erstellt.

Viele Grüße

Frank

 

[frank_m24]

Hallo,

falls es dich noch interessiert: Ich beschäftige mich nun selbst mit vpnc im ds-mod:
http://www.ip-phone-forum.de/showthread.php?p=866207#post866207

Viele Grüße

Frank

 

[MaxMuster]

Hallo Oh-Tannebaum,

besteht dein Problem noch? Aus dem Log ersehe ich, dass der Trace bei dem Gerät 213.83.46.195 geblockt wird (!A bedeutet: Da ist eine Accessliste, die das verbietet).

Daher meine Fragen:
Du hast also sonst auch "über die Uni gesurft", also zum Surfen den PC mit VPN zur Uni verbunden und darüber dann ins Internet? Dann müsste der trace von der Box aber durchgehen...
Wenn das der Weg war und gewünscht ist, dann müsste dein PC auf der FBF auf die VPN-Adresse, die die Box bekommen hat übersetzt ("genattet") werden, damit die dortige Firewall dich durchlässt. Meines Erachtens würdest du aber auch dann, genau wie von der Fritzbox aus, nur bis zu dem Gerät 213.83.46.195 kommen ...


Jörg

EDIT: PS: Grundsätzlich ist es so, dass der VPN-Client (wie auch bei dir zu sehen ist) dir die "lokale Verbindung" ins Internet "sperrt", so dass, solange du verbunden bist, du nur über den VPN-Tunnel gehen kannst. Auf einem PC mit dem Cisco-Client ist das nicht abstellbar, auf der Box eventuell schon, genau weiß ich das aber nicht...

.... und das Edit zum Edit: Ja, das mit der Defaultroute nur über VPN kannst du abstellen, wie Frank schon hier dargestellt hat, ich aber erst jetzt gelesen habe...