[Gelöst] freetz 7170 Dnsmasq Probleme

[sf3978]

Der Grund, warum das Ping jetzt geht, sind ganz sicher die iptables Regeln. Die Regeln waren so erstellt, dass Masqerade geht, aber in der Box nichts ankommt.

Chain INPUT (policy ACCEPT 5319 packets, 550K bytes)
 pkts bytes target     prot opt in     out     source               destination
   [B]92[/B]  9180 DROP       all  --  ppp0   *       0.0.0.0/0            0.0.0.0/0

Hier kann man sehen, dass an dieser Regel 92 Pakete abgewiesen wurden.

Ich denke nicht dass das so ist. Ich denke, dass der Paketfilter iptables anders funktioniert. Man kann die default policy der INPUT und wegen mir auch der FORWARD chains auf DROP stellen. D. h., iptables (hier die Box) lässt von außen nichts rein und wegen DROP in der FORWARD chain, auch nichts durch. Die default policy der OUTPUT chain war (auch bei ottohahn) immer auf ACCEPT. Wenn ich mit ping, Pakete über die offene OUTPUT chain raus schicke, wird die Antwort auf diese Pakete, trotz geschlossener INPUT chain (DROP), in die Box reingelassen (weil die Box bzw. iptables die Pakete kennt, d. h. die Antwortpakete sind von der Box veranlasst). Was die Box im Fall des ottohahn, durch die INPUT chain abgewiesen hat, waren keine Antwortpakete. Das waren Pakete, die der Box (iptables) nicht bekannt waren.

 

[ottohahn]

Hallo zusammen,
allen nochmals Danke für die Unterstützung!
Jetzt läuft alles hervorragend, aber ich wollte gerne über das ppp0-Interface einen VPN-Tunnel aufbauen. Aber es funktioniert nicht. Ebenfalls funktioniert auch Dyndns nicht. Hat das eventuell auch mit den IPtables zu tun? Oder ist das ein internes Routing Problem?

Otto

 

[sf3978]

Ebenfalls funktioniert auch Dyndns nicht.

Kannst Du das genauer erklären, was mit deinem DynDNS nicht funktioniert?

 

[RalfFriedl]

@sf3978
Nimm Dir doch einfach mal ein mal ein Linux-System, zum Beispiel das, mit dem Du Freetz erstellst.
Füge dort als erste Regel bei INPUT ein DROP ein.

iptables -I INPUT -j DROP

Schau nach, was dann noch an Ping, Namensauflösung oder sonstigen Netzwerkaktivitäten noch funktioniert.

@ottohahn
DynDNS musst Du selbst machen, der AVM DynDNS Client tut nur etwas, wenn man die Verbindung über die AVM Komponenten herstellt.

Für VPN gibt es verschiedene Möglichkeiten, mit "funktioniert nicht" kann Dir da keiner weiter helfen.

 

[ottohahn]

RalfFriedl
'Für VPN gibt es verschiedene Möglichkeiten, mit "funktioniert nicht" kann Dir da keiner weiter helfen. '

Was benötigst Du für Anbgaben?
Otto

 

[sf3978]

@sf3978
Nimm Dir doch einfach mal ein mal ein Linux-System, zum Beispiel das, mit dem Du Freetz erstellst.
Füge dort als erste Regel bei INPUT ein DROP ein.

iptables -I INPUT -j DROP

ottohahn hatte ja auch nicht als erste Regel in der INPUT chain "iptables -I INPUT -j DROP". Das weißt Du doch auch, dass man mit so einer Regel nicht mehr ins Linux bzw. auf die Box kommt (man sperrt sich aus). Wie soll man da einen ping oder nslookup absetzen bzw. noch schauen was an der Box mit ping oder nslookup ankommt? ;-) Ich habe aber auf meiner FritzBox die default policy der INPUT chain auf DROP und das ist gleichwertig mit einer ersten Regel "iptables -I INPUT -j DROP", ohne dass ich mich aussperre:

iptables [COLOR=red][B]-P[/B] INPUT DROP[/COLOR]
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.138.0/24 -d 192.168.138.1 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

Schau nach, was dann noch an Ping, Namensauflösung oder sonstigen Netzwerkaktivitäten noch funktioniert.

Alles funktioniert. Z. B.:

root@fritz:/var/mod/root# ping -c3 heise.de
PING heise.de (193.99.144.80): 56 data bytes
64 bytes from 193.99.144.80: seq=0 ttl=247 time=13.794 ms
64 bytes from 193.99.144.80: seq=1 ttl=247 time=12.653 ms
64 bytes from 193.99.144.80: seq=2 ttl=247 time=12.293 ms

--- heise.de ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 12.293/12.913/13.794 ms

 

[ottohahn]

Wird denn OenVPN funktionieren??

Otto

 

[sf3978]

Wenn richtig konfiguriert, dann ja. Ist aber auch nicht einfach. BTW: Wofür willst Du VPN benutzen?

 

[ottohahn]

Ich nutze zur Zeit eine 3270 bei meiner Fotovoltaikanlage. Die 3270 ist per UMTS mit VPN-Tunnel (OpenVPN) mit meiner Box Zuhause 7370 verbunden.
Ich möchte gerne die 3270 für etwas anderes nutzen. Ich habe noch eine 7170 herumliegen diese möchte ich gerne dafür nutzen.

Otto

 

[sf3978]

Die 3270 ist per UMTS mit VPN-Tunnel (OpenVPN) mit meiner Box Zuhause 7370 verbunden.

Wer hat diesen OpenVPN-Tunnel eingerichtet bzw. konfiguriert? Hast Du das gemacht?

 

[ottohahn]

Ja.

Ich baue gerade ein neuen IMAGE mit OpenVPN.
Ich wundere mich aber trotzdem, das AVMVPN nicht funktioniert. Ich habe nur die Befürchtung, dass das gleiche mit OpenVPN nicht funktioniert. Weil das Problem beim Routing über die ppp0-Interface liegt.

Otto

 

[RalfFriedl]

ottohahn hatte ja auch nicht als erste Regel in der INPUT chain "iptables -I INPUT -j DROP".

Nein, er hatte (aus dem Wiki) "iptables -A INPUT -i ppp0 -j DROP". Damit hat er den gleichen Effekt, aber nur für das Interface ppp0.

Wie soll man da einen ping oder nslookup absetzen bzw. noch schauen was an der Box mit ping oder nslookup ankommt?

Über die Konsole. Bei einem echten Linux also über die Tastatur, bei einer virtuellen Maschine über deren Konsole, dazu braucht man keinen Netzwerkzugriff. Wenn Du einen Linux-PC mit zwei Netzwerkkarten hast, kannst Du das auch auf die externe Netzwerkkarte beschränken. Wenn Du eine FritzBox hast, kannst Du das mal für das Interface dsl ausprobieren, obwohl ich da nicht ganz sicher bin, welche Wechselwirkungen das mit dem dsld von AVM hat.

Ich habe aber auf meiner FritzBox die default policy der INPUT chain auf DROP und das ist gleichwertig mit einer ersten Regel "iptables -I INPUT -j DROP", ohne dass ich mich aussperre:

Wenn Du meinst, dass es gleichwertig sei, warum hast Du dann nicht die zweite Variante ausprobiert? Und wie passt es damit zusammen, dass Du oben schreibst, dass man sich damit aussperrt, hiermit passiert es aber nicht? Dann kann es ja nicht so gleichwertig sein.

Die Erklärung dafür ist recht einfach: Die default policy der INPUT chain auf DROP ist gleichwertig mit einer letzten Regel "iptables -I INPUT -j DROP". Wenn es gleichwertig wäre mit einer ersten Regel, bräuchte man alle folgenden Regeln nicht mehr, sie würden niemals ausgeführt werden.

 

[sf3978]

Wenn Du eine FritzBox hast, kannst Du das mal für das Interface dsl ausprobieren, obwohl ich da nicht ganz sicher bin, welche Wechselwirkungen das mit dem dsld von AVM hat.

Ich meinte die FritzBox und ich weiß was passiert, weil ich es vor längerer Zeit schon ausprobiert habe. Aber warum für das Interface dsl? Du hast doch geschrieben für "iptables -A INPUT -j DROP". Da kommt man nicht mehr auf die Box, was auch ok ist.

Wenn Du meinst, dass es gleichwertig sei, warum hast Du dann nicht die zweite Variante ausprobiert? Und wie passt es damit zusammen, dass Du oben schreibst, dass man sich damit aussperrt, hiermit passiert es aber nicht? Dann kann es ja nicht so gleichwertig sein.

Ich sperre mich nur deshalb nicht aus, weil ich eine zusätzliche Regel (... aus meinem LAN auf die Box zulässig) habe und die iptables-Regeln mit einem Script eingebe/aktiviere. Wenn ich diese Regel nicht hätte und/oder die Eingabe manuell machen würde, dann würde ich mich auch aussperren.

Die Erklärung dafür ist recht einfach: Die default policy der INPUT chain auf DROP ist gleichwertig mit einer letzten Regel "iptables -I INPUT -j DROP". Wenn es gleichwertig wäre mit einer ersten Regel, bräuchte man alle folgenden Regeln nicht mehr, sie würden niemals ausgeführt werden.

Naja, aber es gab bzw. gibt doch nur eine Regel (d. h. keine letzte Regel) und die ist "iptables -I INPUT -j DROP". Deshalb aus meiner Sicht die Gleichwertigkeit mit "iptables -P INPUT DROP".

Wenn ich dich richtig verstehe, dann ist es allein diese Regel:

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

, die vor der DROP-Regel steht (d. h. stehen muss) und das Ankommen der Rückantwort auf den Ping, möglich macht. D. h., fast alle die die iptables-Regeln dem wiki entnommen haben, haben das gewusst und richtig angewendet.

 

[RalfFriedl]

Wenn ich dich richtig verstehe, dann ist es allein diese Regel:

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

, die vor der DROP-Regel steht (d. h. stehen muss) und das Ankommen der Rückantwort auf den Ping, möglich macht.

Genau, das ACCEPT von state ESTABLISHED bewirkt, dass Antworten auf eigene Anfragen durchgelassen werden. Wenn man das nicht hat, sondern nur DROP, dann gilt eben DROP und es wird niemals eine Antwort durchgelassen. Ebenso ist das ACCEPT ESTABLISHED bei FORWARD notwendig, sonst würde dort auch das DROP aus der nächsten Regel bewirken, dass alles blockiert wird.

 

[ottohahn]

HAllo zusammen,
ich habe jetzt OpenVPN auf der 7170. Die Box meldet sich jetzt beim Server an; das kann erkennen unter "Verbundene VPN-Clients", aber ein Ping geht nicht.

Ich habe unter der AVM-Firewall auch eine Forwarding-Regel angelegt; Port 1194. Aber den Server kann ich nicht erreichen.
Muß nicht auch eine Regel unter IPTables angelegt werden?
Otto

-----
Syslog-Meldung OpenVPN
Unroutable control packet received from [AF_INET] xxx.xxx.128.28:1194 (si=3 op=P_ACK_V1)
Jan 1 01:48:19 fritz daemon.err openvpn[3247]: TLS Error: Unroutable control packet received from [AF_INET]xxx.xxx.128.28:1194 (si=3 op=P_CONTROL_V1)
----

 

[RalfFriedl]

Was willst Du denn mit AVM Firewall, wenn Du keinen Internet-Zugang über AVM verwendest?

Und was genau hast Du gemacht, was geht nicht?

 

[ottohahn]

Was willst Du denn mit AVM Firewall, wenn Du keinen Internet-Zugang über AVM verwendest?

Und was genau hast Du gemacht, was geht nicht?

Ich habe die Box jetzt per UMTS ins Internet gebracht. Jetzt möchte ich noch, dass die Box einen VPN-Verbindung zu meiner Box nach Hause aufbaut.
Was ich erkenne, das der AVM-VPN-Dienst nicht funktioniert, weil der Dienst dsld erkennt, das ich nicht Online bin. Was ich aber festgestellt habe, dass die Box im Client-Mode meldet 'Internet LAN 1 (WAN) verbunden'.
Jetzt funktionieren, z.B. wieder Dienste die vorher nicht funktioniert haben z.B Push Service, Zeitdienst usw.
Leider ist aber in diesem Mode kein AVM-VPN im WEB-Interface verfügbar, daher habe ich mir OpenVPN auf die Box gezogen.
Aber auch OpenVPN funktioniert nicht. OpenVPN meldet sich ordnungsgemäß als Client an meinem OpenVPN-Server an. Aber das Interen Routing funktioniert nicht.

Schade

Otto

------

Problem gefunden: Fehler in der Config beim Server. VPN-Tunnel läuft hurra-hurra!!

 

[olistudent]

@ottohahn
Ich bitte dich zum wiederholten Male Vollzitate von Beiträgen zu unterlassen!

Gruß
Oliver

 

[ottohahn]

Hallo Experten,
weiß jemand wie man die PIN mit gcom setzen kann? Ich habe schon im Forum gesucht, aber noch keine Antwort zu dieser Frage erhalten.

Otto

 

[sf3978]

... die PIN mit gcom setzen ...

Welche PIN und was ist gcom?