freetz und openvpn entferntes netz

lupi123

Neuer User
Mitglied seit
25 Mrz 2010
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
ich habe meine fritz box 7170 mit freetz "gepatcht". habe das openvpn paket installiert und es auch zum laufen bekommen. ich versuche durch die fritz box einen openvpn tunnel zum openvpn server meiner uni aufzubauen. das hat auch soweit funktioniert. der fritz box verbindet sich sauber zum openvpn server (remote 131.234.134.198:1194). Bleibt nur noch ein Problem, was ich nicht in den Griff bekomme: Ich versuche den gesamten Clientverkehrt durch den VPN-Tunnel zu leiten, so dass ich nach außen hin quasi aus dem Netz der Uni surfe. Ich brauche die Uni IP nach außen him, um mich gegenüber besitmmten Diensten, wie bspw. elektronischen Dokumentendatenbanken zu legitimieren.

Wie muss ich in freetz das entfernte Netz einrichten, dass mein kompletter traffic durch den tunnel geleitet wird?

Hier mal ein Ausschnit aus der Log Datei. Fällt euch etwas auf?


PHP:
Thu Mar 25 13:12:38 2010 us=135740 UDPv4 READ [114] from 131.234.134.198:1194: P_CONTROL_V1 kid=0 [ ] pid=56 DATA len=100
Thu Mar 25 13:12:38 2010 us=137034 UDPv4 WRITE [22] to 131.234.134.198:1194: P_ACK_V1 kid=0 [ 56 ]
Thu Mar 25 13:12:38 2010 us=141237 UDPv4 READ [92] from 131.234.134.198:1194: P_CONTROL_V1 kid=0 [ ] pid=57 DATA len=78
Thu Mar 25 13:12:38 2010 us=143264 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 131.234.137.24,dhcp-option DNS 131.234.137.23,dhcp-option DOMAIN uni-paderborn.de,dhcp-option NTP 131.234.137.24,dhcp-option NTP 131.234.137.23,explicit-exit-notify 2,route-gateway 131.234.216.1,topology subnet,ping 15,ping-restart 120,ifconfig 131.234.216.115 255.255.255.128'
Thu Mar 25 13:12:38 2010 us=146261 OPTIONS IMPORT: timers and/or timeouts modified
Thu Mar 25 13:12:38 2010 us=146763 OPTIONS IMPORT: explicit notify parm(s) modified
Thu Mar 25 13:12:38 2010 us=147206 OPTIONS IMPORT: --ifconfig/up options modified
Thu Mar 25 13:12:38 2010 us=149548 OPTIONS IMPORT: route-related options modified
Thu Mar 25 13:12:38 2010 us=150021 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu Mar 25 13:12:38 2010 us=160413 TUN/TAP device tun0 opened
Thu Mar 25 13:12:38 2010 us=161115 TUN/TAP TX queue length set to 100
Thu Mar 25 13:12:38 2010 us=162346 /sbin/ifconfig tun0 131.234.216.115 netmask 255.255.255.128 mtu 1500 broadcast 131.234.216.127
Thu Mar 25 13:12:38 2010 us=201224 NOTE: unable to redirect default gateway -- Cannot read current default gateway from system
Thu Mar 25 13:12:38 2010 us=201941 Initialization Sequence Completed
Thu Mar 25 13:12:38 2010 us=202901 UDPv4 WRITE [22] to 131.234.134.198:1194: P_ACK_V1 kid=0 [ 57 ]
Thu Mar 25 13:12:38 2010 us=221757 UDPv4 WRITE [77] to 131.234.134.198:1194: P_DATA_V1 kid=0 DATA len=76
Thu Mar 25 13:12:38 2010 us=231125 UDPv4 WRITE [85] to 131.234.134.198:1194: P_DATA_V1 kid=0 DATA len=84
Thu Mar 25 13:12:53 2010 us=14822 UDPv4 READ [53] from 131.234.134.198:1194: P_DATA_V1 kid=0 DATA len=52
Thu Mar 25 13:12:53 2010 us=16791 UDPv4 WRITE [53] to 131.234.134.198:1194: P_DATA_V1 kid=0 DATA len=52
Thu Mar 25 13:13:08 2010 us=200208 UDPv4 WRITE [53] to 131.234.134.198:1194: P_DATA_V1 kid=0 DATA len=52
Thu Mar 25 13:13:08 2010 us=232152 UDPv4 READ [53] from 131.234.134.198:1194: P_DATA_V1 kid=0 DATA len=52
Thu Mar 25 13:13:23 2010 us=439519 UDPv4 WRITE [53] to 131.234.134.198:1194: P_DATA_V1 kid=0 DATA len=52
Thu Mar 25 13:13:23 2010 us=471785 UDPv4 READ [53] from 131.234.134.198:1194: P_DATA_V1 kid=0 DATA len=52
Thu Mar 25 13:13:38 2010 us=509788 UDPv4 WRITE [53] to 131.234.134.198:1194: P_DATA_V1 kid=0 DATA len=52
Thu Mar 25 13:13:38 2010 us=541412 UDPv4 READ [53] from 131.234.134.198:1194: P_DATA_V1 kid=0 DATA len=52
Thu Mar 25 13:13:53 2010 us=879306 UDPv4 WRITE [53] to 131.234.134.198:1194: P_DATA_V1 kid=0 DATA len=52
Thu Mar 25 13:13:53 2010 us=911091 UDPv4 READ [53] from 131.234.134.198:1194: P_DATA_V1 kid=0 DATA len=52
 
Ich versuche den gesamten Clientverkehrt durch den VPN-Tunnel zu leiten, so dass ich nach außen hin quasi aus dem Netz der Uni surfe.
Bitte denke daran, dass das zwei Dinge sind:
- Den gesamten Verkehr durch den Tunnel leiten
- "Quasi aus dem Netz der Uni surfen"

Im ersten Fall wird nur dafür gesorgt, dass alle deine Geräte im LAN durch das VPN gehen, sie behalten aber z.B. alle ihre originale IP.

Das heißt für die beiden Punkte, dass schon um aus dem LAN Geräte im UNI-LAN zu erreichen, muss das Netz, das bei dir ist, bekannt sein.
Für den Zugriff "darüberhinaus", also ins Interent, muss dann die UNI auch noch deine Adressen gegenüber dem Internet "verstecken", per NAT.

Einzige Möglichkeit, dass Ganze zu umgehen, wäre, bereits dein ganzes LAN hinter der IP des Routers zu "verstecken". Dafür benötigst du noch zusätzlich iptables auf der Box.

Problematisch dürfte dabei sein, dass auf den 7170 Boxen iptables zu Problemen führen könnte.

Zu klären wäre noch, wie denn deine Box ins Internet geht und wie das Routing auf der Box aussieht? Mach doch mal ein "route -na", am besten einmal vor dem Verbindungsaufbau und dann, wenn die Box verbunden ist.

Die Frage dahinter ist, was im Log zu dem Eintrag
"NOTE: unable to redirect default gateway -- Cannot read current default gateway from system"

führt.

Jörg
 
Hi Jörg. Danke für Deine Antwort.


Hier sind die Angaben zum Routing. Wie Du sehen kannst, ist der Eintrag 131.234.216.0 hinzugekommen. Das entspricht dem Bereich meiner Uni.

Jetzt müsste ich wahrscheinlich noch das Routing meiner Pakete hinterlegen mittels IPTABLES, oder?

Leider weiß ich auch nicht woher das "NOTE: unable to redirect default gateway " kommt. Was kann das sein?

VOR openvpn tunnel
PHP:
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
88.130.217.125  0.0.0.0         255.255.255.255 UH        0 0          0 dsl
192.168.180.1   0.0.0.0         255.255.255.255 UH        0 0          0 dsl
192.168.180.2   0.0.0.0         255.255.255.255 UH        0 0          0 dsl
192.168.178.0   0.0.0.0         255.255.255.0   U         0 0          0 lan
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 lan
0.0.0.0         0.0.0.0         0.0.0.0         U         0 0          0 dsl

NACH openvpn tunnel
PHP:
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
88.130.217.125  0.0.0.0         255.255.255.255 UH        0 0          0 dsl
192.168.180.1   0.0.0.0         255.255.255.255 UH        0 0          0 dsl
192.168.180.2   0.0.0.0         255.255.255.255 UH        0 0          0 dsl
131.234.216.0   0.0.0.0         255.255.255.128 U         0 0          0 tun0
192.168.178.0   0.0.0.0         255.255.255.0   U         0 0          0 lan
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 lan
0.0.0.0         0.0.0.0         0.0.0.0         U         0 0          0 dsl
 
Wegen des "default gateway" Problems probiere doch bitte mal:

Code:
sed 's%redirect-gateway%redirect-gateway def1%' /etc/default.openvpn/openvpn_conf > /tmp/flash/openvpn_conf
chmod +x /tmp/flash/openvpn_conf

Und starte das OpenVPN neu. Ist der Fehler dann weg?

Wenn ja, kannst du die Änderung "permanent" machen mit
Code:
modsave


Das Routing ist unabhängig von "iptables". Aber sofern das UNI-Netz nichts von deinem lokalen Netz kennt, hilft dir das Routing allein nicht.
Dafür musst du dann noch dein Netz "verstecken" (per NAT), und dafür könntest du iptables nutzen.

Jörg
 
Hi Jörg.

Danke für Deinen Tipp. Leider hat es nichts genutzt. Ich bekomme immer noch dasselbe Problem mit dem Standard-Gateway. Ich verstehe nicht woran das liegt?

Und ja: Ich will meinen Netzwerkverkehr mittels NAT verstecken, so dass ich mit einer IP-Adresse der Uni nach außen hin surfe. Wie mache ich das?

Vielen Danke für Deine Mühen!
 
Naja, zur Not nimmst du das "Clientverkehr umleiten" raus und gibst das direkt als Route bei "entferntes Netz" ein:
Code:
0.0.0.0 128.0.0.0;128.0.0.0 128.0.0.0

Für NAT brauchst du noch zusätzlich "iptables" auf der Box. Dort würde ich den Eintrag dann einfach bei den Einstellungen in dem Feld für iptables-Regeln machen:
Code:
-t nat -A POSTROUTING -o tun0 -s 192.168.178.0/24 -j MASQUERADE

Bitte bedenke, dass das eventuell Probleme mit der Stabilität des iptables auf der 7170 gibt.

Jörg
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.