[Problem] Fritzbox 7390 Fon Wlan -- Portfreigabe -- Ziel nicht im Heimnetz ?!

[PeterPawn]

Ich habe gerade gesehen, daß die Unterstützung für "show" als Kommando im Busybox-Applet "brctl" gesondert konfiguriert werden kann (zum Zeitpunkt der Übersetzung).
Anhang anzeigen 78958
Während bei der AVM-Busybox diese Option ausgewählt ist, ist sie das bei der Standardkonfiguration von Freetz nicht (bzw. bei der Standardkonfiguration der Busybox, denn Freetz kommt ja ohne .config daher) ... das war mir gar nicht bewußt. Ich kenne aus dem Stand auch keine andere Abfragemöglichkeit für die Interfaces einer Bridge ... vermutlich geht es irgendwo über das proc- oder auch das sys-Interface, aber ich weiß nicht wo und wie.

BTW: Ich habe ja die vorher mal gezeigte custom-Konfiguration für die lan-Bridge, wo das wlan-Interface gesondert betrieben wird. Bei dieser Konstellation (die Firmware ist weitgehend das AVM-Original) kann ich auch keine Portweiterleitungen an die homewlan-Bridge einrichten. Damit könnte die irgendwo vorher hier mal angedachte Frage, worauf AVM da genau testet (Bridge oder Switch-Ports, was imho auf VPID vs. PID hinausläuft), schon geklärt sein.

 

[han-solo]

Ok, gerade neu gebaut und geflashed. Hier meine Ausgabe:

root@fritz:/var/mod/root# brctl show
bridge name     bridge id               STP enabled     interfaces
lan             8000.3481c421f2b2       no              eth0
                                                        eth1
                                                        eth2
                                                        eth3
                                                        tap0
                                                        wlan
guest           8000.3481c421f2b2       no              guest_st1

 

[PeterPawn]

Ok, gerade neu gebaut und geflashed.

Nachdem das im anderen Thread ja schon auf das tap-Device in der Bridge reduziert wurde als Ursache (meiner Meinung nach jedenfalls), hatte ich damit nicht mehr gerechnet.

Anyway ... imho ist genau die Mitgliedschaft des - der AVM-Firmware unbekannten - tap0-Interfaces in der lan-Bridge die Ursache für die Ablehnung von Routen/Portforwardings durch den dsld (vermutlich kommt der Fehler von dort, ich kann mir nur schlecht vorstellen, daß der ctlmgr das selbst behandelt ... ist jenseits seines Horizontes).

Test ist ziemlich simpel ... OpenVPN-Service starten und anschließend von Hand das tap0 wieder aus der lan-Bridge entfernen (brctl delif) oder erst gar nicht in die Bridge aufnehmen ("nach LAN brücken" oder so ähnlich im GUI nicht anhaken).

Das ordentlich mit diesem Trigger zweimal getestet und die Ursache ließe sich relativ genau eingrenzen. Erst wenn das eindeutig geklärt, macht es Sinn, sich über eine alternative Lösung den Kopf zu zerbrechen.

Wenn also am Ende eine klare Aussage steht: "brctl addif -> Routen/PFw. gehen nicht, brctl delif -> geht alles wieder", dann kann man weiter sehen. Ansonsten sind alle anderen Anstrengungen ein Risiko, wenn es am Ende doch nicht genau daran liegt/lag ... warum sollte man dieses Risiko eingehen, wenn man es vorher auf einen einzelnen Faktor zurückführen könnte ?

 

[han-solo]

Ok, danke. Ich werde das heute abend oder morgen Vormittag ausprobieren.

 

[han-solo]

Endlich die Lösung nach langem Ausprobieren gefunden!

Nun haben wir auch eine eindeutig Beurteilung und Lösung der Thematik.

Zusammenfassung:
===============
1. OpenVPN mit aktiver Bridge (mit LAN brücken) Subnet (192.168.179.0 / 255.255.255.0 (24) Lokale IP: 192.168.179.1)
Ergebnis: OpenVPN Clients connecten und sprechen mit dem Applicationserver, Portfreigaben ins Heimnetz nicht möglich.

2. OpenVPN mit aktiver Bridge (mit LAN brücken) Subnet (192.168.179.0 / 255.255.255.0 (24) Lokale IP: 192.168.179.1) und nach start die bridge manuell entfernt (brctl delif lan tap0)
Ergebnis: OpenVPN Clients connecten aber sprechen nicht mit dem Applicationserver, Portfreigaben ins Heimnetz nicht möglich.

3. OpenVPN IP-Range als kleines Subnet (192.168.179.224 / 255.255.255.224 (27) Lokale IP: 192.168.179.225)
Ergebnis: OpenVPN Clients connecten aber sprechen nicht mit dem Applicationserver (192.168.179.1), Portfreigaben ins Heimnetz von 192.168.179.2 - 192.168.179.223 möglich.

4. OpenVPN IP-Range als kleines Subnet (192.168.179.0 255.255.255.254 (31) Lokale IP: 192.168.179.1)
Ergebnis: OpenVPN Clients connecten und sprechen mit dem Appliacationserver (192.168.179.1), Portfreigaben ins Heimnetz möglich.


Meine Einstellungen für OpenVPN:

Lokale IP-Adresse: 192.168.179.1
Netzmaske: 255.255.255.254
DHCP-Range: <leer>
Optional: Routing von IP-Netzen: 192.168.179.0 255.255.255.0
TAP mit LAN brücken: aktiviert
Authentifizierungsmethode: Zertifikate / Chipher AES 128 mit TLS-Authentifizierung
Keepalive: aktiviert
Erweiterte Clientkonfiguration: aktiviert
Jedem Client eine feste IP-Adresse zuweisen. z.B.:

Hugo: 192.168.179.230 192.168.176.0 255.255.255.0
Erwin: 192.168.179.231 192.168.177.0 255.255.255.0
Heinz: 192.168.179.232 192.168.178.0 255.255.255.248

Die Routen hinter den Clients kann man sicherlich auch weg lassen.
Aber bei mir dienst es auch als Info, welche Netze die Clients lokal haben.

Beim den Clients auch die selbe im Server festgelegt IP-Adresse fest eintragen.

 

[PeterPawn]

Nun haben wir auch eine eindeutig Beurteilung und Lösung der Thematik.

Es freut mich für Dich, daß Du eine funktionierende Lösung für Deine Konfiguration gefunden hast.

Bei der o.a. Feststellung würde ich Dir aber nicht zustimmen wollen.

Wenn Du am OpenVPN-Server ein Subnet 192.168.179.1/31 für den tap-Adapter konfigurieren läßt, führt das nur dazu, daß er jede andere Adresse als 192.168.179.0 und 192.168.179.1 als "extern" ansieht und das Paket "ins Routing" geht, anstatt per ARP nach dem Empfänger zu fahnden.

Wenn Du dabei immer noch das tap-Device in die lan-Bridge integrieren läßt (bei 1.+2. schreibst Du explizit, daß die Bridge aktiviert ist, was für mich die Schlußfolgerung nahelegt, daß es bei 3.+4. nicht der Fall ist, bei den VPN-Einstellungen ist sie dann wieder aktiviert ), dann sehe ich da keine eindeutige Ursache, die andere (z.B. Herbie_2005) einfach genauso handhaben könnten, damit es bei ihnen ebenfalls funktioniert (wenn sie nicht im Prinzip ohnehin die gleiche Konfiguration verwenden).

Imho klappt das Ganze deshalb, weil der OpenVPN-Server selbst entscheidet, wann er als Proxy auf ARP-Requests (Layer2) antwortet (wobei nach dem Binden an die Bridge die reale IP-Adresse ohnhin wieder .1/24 ist) und er als Bestandteil der Bridge dann eben auch die dort auftauchenden Frames erhält, mit denen andere Clients (oder auch der Routing-Code auf der FRITZ!Box selbst) nach den Ethernet-Adressen für "lokale" IP-Adressen fragen (also für IP-Adressen, die im selben Segment liegen - wie es die 192.168.179.230 angeblich auch tun würde).

Dann schreit der OpenVPN-Server "hier" anstelle des entfernten Clients (mit der Ethernet-Adresse des tap-Devices) und erhält jetzt das Paket - an eben diese Ethernet-Adresse - für die weitere Verarbeitung. Dann packt er es ein und schickt es an die andere Seite. Bei ankommenden Paketen ist es ziemlich egal, was da als Adressierung drin steht, die werden ausgepackt und direkt "in das Routing gestopft".

Am Ende ist das nach meinem Verständnis eine klassische Ethernet-Bridge und damit bräuchte der OpenVPN-Server im Endeffekt wohl gar keine eigene IP-Adresse dabei für das tap-Interface (nicht mit der lan-Adresse verwechseln, da sind die anderen Dienste alle gebunden). In diesem Anwendungsfall ist es vollkommen ausreichend, wenn er genau weiß, welche Clients (mit welchen IP-Adressen) derzeit verbunden sind und für genau diese muß er dann stellvertretend im LAN antworten und den Traffic an den jeweils richtigen Client senden.

Oder da sind am Ende auch noch zusätzlich diverse Routen gesetzt, die alle auf das tap-Device zeigen und somit den Verkehr ebenfalls direkt (also ohne ARP-Requests) an das tap-Device übergeben, wo der OpenVPN-Server das dann wieder einpackt. Dann müßte es für das Routing eines Pakets an 192.168.179.230 aber schon eine Route mit einer deutlich differenzierteren Maske geben als für das LAN (das ja /24 verwendet) und diese müßte über "dev tap" und nicht "dev lan" gehen (das richtige "dev" ist dann das Äquivalent zu einer Layer2-Adressierung, nur eben schon auf dem Host selbst).

Das wäre dann am Ende ein fröhliches Sammelsurium von Bridge- und Routing-Einstellungen (Layer2+Layer3), wo das eine durchaus auch ohne das andere leben könnte. Spätestens wenn der OpenVPN-Server dann nicht das Standard-Gateway in dem Laden ist und ein "weiter hinten" untergebrachter Service will mit 192.168.179.230 "reden", wird es aber entscheidend, ob da nun per ARP oder per Routing-Table die Pakete für entfernte Standorte "ausgeleitet" werden.

Also bitte nicht falsch verstehen und ich freue mich auch für Dich, wenn es in Deinem Szenario jetzt funktioniert ... aber das ist nur eine (schon sehr spezielle) Lösung und nicht ohne weiteres (also ohne Verständnis, warum es so bei Dir funktioniert) auf andere Installationen übertragbar, besonders dann, wenn diese etwas andere Bedingungen haben sollten. Das Vermischen mehrerer unabhängiger Einstellungen bis es irgendwie funktioniert, ist für mich die Bedeutung von "Gefrickel" (ohne daß damit eine Wertung verbunden ist/sein soll, auch wenn es sich vielleicht auf den ersten Blick anders liest).

Oder ich habe etwas sehr gründlich mißverstanden und den Extrakt der Erkenntnisse nicht begriffen ... daß ich mit den OpenVPN-GUI-Einstellungen anstelle der Konfigurationsdatei "nicht kann", gebe ich ja im anderen Thread auch offen zu. Vielleicht gibt es ja "OpenVPN-Versteher", die die oben stehenden Überlegungen widerlegen / bestätigen können ... würde mich schon interessieren. Daß eine IP-Adresse (als Segment) mit einer /31-Maske eigentlich Unfug ist und im besten Falle nur nicht benutzt wird (wie ich es für Deine Konfiguration ja oben behaupte), wird Dir aber sicherlich jeder Netzwerk-Administrator mit IPv4-Kenntnissen auch bestätigen.

Die - für mich und eine grundsätzliche Lösung - entscheidende Frage, welches Kriterium den dsld nun zur Ablehnung einer Route oder Portweiterleitung bewegt, sehe ich auch nach wie vor unbeantwortet ... damit kann man dieses Kriterium eben nicht gezielt vermeiden. Wenn es bei Dir am Ende beim Hinzufügen des tap-Devices zur lan-Bridge geblieben ist, dann kann es ja eigentlich auch nicht an meiner Vermutung mit dem "unbekannten tap-Device" in der Bridge liegen, sondern eventuell dann wieder eher am Routing.

 

[han-solo]

Hallo PeterPawn,

danke für deine Ausführungen. Du wirst sicherlich recht haben mit dem was du schreibt.
Es folgen von mir noch ein paar Zusatzinformationen.

was für mich die Schlußfolgerung nahelegt, daß es bei 3.+4. nicht der Fall ist

Nein, ich hab es nur versäumt dazu zu schreiben.
In allen Fällen ist die bridge aktiv. Ich habe allein schon deswegen die bridge aktiv gelassen, weil nach meinem Test zu 2. keine Pakete mehr fließen bzw. ankommen, wenn ich die bridge entferne.

Am Ende ist das nach meinem Verständnis eine klassische Ethernet-Bridge und damit bräuchte der OpenVPN-Server im Endeffekt wohl gar keine eigene IP-Adresse

Mag sein, aber in meinem Fall klappt es nur, wenn der OpenVPN Server die selbe IP wie das lan Interface hat.

Ich bin wie bereits erwähnt, kein OpenVPN Experte und auch in IPv4 Layer2+3 bin ich kein Profi aber ich kenne nun die folgenden Zusammenhänge die zugegebender Maßen evtl. nur für meine Konfiguration zutreffen.
Aber ich glaube, dass aufgrund der Einstellmöglichkeiten in der GUI viele andere User eine ähnlich Konstellation gebaut haben und folgende Gegenbenheiten berücksichtigen müssen.

Wenn ich möchte, dass die Clients sich mit meiner lan ip 192.168.179.1 unterhalten können und auch das Portforwarding für mein Heimnetz (192.168.179.2 bis 192.168.179.254) funktionieren soll, dann:

1. muss ich eine bridge einbauen.
2. in der OpenVPN GUI muss das Subnet in den Bereich der lan IP 192.168.179.1 fallen. z.B. 192.168.179.0/31 = 192.168.179.1
3. das in der OpenVPN GUI eingetragene Subnet darf sich nicht mit den IP-Adressen im Portforwarding überschneiden.

Der Sever hat dann zu jedem Netz eine Route mit dem Gateway der TAP Adresse.

root@fritz:/var/mod/root# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.176.0   192.168.179.230 255.255.255.0     UG    0      0        0 lan
192.168.177.0   192.168.179.231 255.255.255.0     UG    0      0        0 lan
192.168.178.0   192.168.179.232 255.255.255.248   UG    0      0        0 lan

Die Clients hingegen haben kein Gateway weil sie ja eine TAP-Interface mit IP aus dem Server-Netz erhalten:

root@xp1000:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         fritz.fonwlan.b 0.0.0.0         UG    0      0        0 eth0
192.168.178.0   *               255.255.255.0   U     0      0        0 eth0
192.168.179.0   *               255.255.255.0   U     0      0        0 tap0

Vielleicht ist hier TAP auch die eigentlich falsche Konfiguration und 'dev tun' würde technisch richtiger sein aber ich bin erstmal froh, dass es so klappt wie es ist.
Für TUN braucht man meines Wissens auch je Client ein eigenes Interface, ob das nun von Nachteil ist, weiß ich nicht aber ich hab ja im C-Class Netz noch genügend IP´s frei um TAP anzuwenden.

Gruß
HS

 

[MaxMuster]

Daß eine IP-Adresse (als Segment) mit einer /31-Maske eigentlich Unfug ist und im besten Falle nur nicht benutzt wird (wie ich es für Deine Konfiguration ja oben behaupte), wird Dir aber sicherlich jeder Netzwerk-Administrator mit IPv4-Kenntnissen auch bestätigen..

Bestätige ich gerne.
Mich hätte auch interessiert, ob eine /32-er IP (192.168.179.1 255.255.255.255) nicht reicht, oder ob nicht auch eine komplett andere IP funktionierte (denn beim Bridging sollte Interface-IP "egal" sein, sofern das Bridge-IF die richtige IP hat.

Ich kann leider momentan nicht testen, aber von einem kurzen Blick in das Skript für die Client-Config-Einträge sollte eine beliebige (ungenutzte) IP mit /24-er Maske (255.255.255.0) funktionieren, wenn du "unten" in der erweiterten Config den VPN-Clients dann trotzdem die 192.168.179.x-er IPs zuordnest. Die GUI ist halt eher für simple Fälle gedacht ;-) und du müsstest sie "austricksen".

Wenn du ein geroutetes Netz nimmst, solltest du die LAN-IP der Box per Routing ebenso ererichen können und der ganze Overhead und die Probleme mit dem Briddging wären weg...

 

[han-solo]

Hi MaxMuster, eine 32er Maske reicht auch aus. Eine andere IP funzt nicht, weil zumindest in meinem Fall die selbe IP wie das lan interface benötigt wird. Hab ich bereits getestet.

 

[StupidUser]

Hallo in die Runde,
ich habe das gleiche Problem (keine Portfreigabe, da Ziel nicht im Heimnetz) auf meiner neuen 7390. Bei meiner (Ur)alten Fritzbox hatte alles noch prima funktioniert. Nun habe ich hier euren Thread gefunden - und verstehe davon leider so gut wie gar nichts (siehe mein Username ;-)) Gibt es denn mittlerweile ein Workaround oder muss ich auf ein Update von AVM warten? Meine Anfrage dort wurde damit beantwortet, dass ich die Box komplett auf Werkseinstellungen zurücksetzen und dann alles(!) von Hand neu einstellen solle. Da ich aber ein etwas komplexeres Netz dran hängen habe, fehlen mir Überzeugung und Mut zu so einer Radikallösung.

Kann mir vielleicht jemand kurz den Status eurer Forschung in laienhafter Darstellung zusammenstellen? Das wäre prima!
Danke und Gruß vom StupidUser

 

[han-solo]

Hi StupidUser,

Werkseinstellung bringt nix. Das raten die beim Support immer wenn sie keine Erklärung haben.
Falls du eine 7390/7490 mit Firmware 6.10/6.20 und mit freetz inkl. OpenVPN nutzt, dann darf dein OpenVPN Subnet nicht im gleichen Subnet wie dein Heimnetz liegen.

Laienhaft ausgedrückt:

Portforwarding funktioniert (für Adressen 2-254):
Heimnetz: 192.168.178.0 / 255.255.255.0
OpenVPN Netz: 192.168.178.1 / 255.255.255.255

Portforwarding funktioniert nicht:
Heimnetz: 192.168.178.0 / 255.255.255.0
OpenVPN Netz: 192.168.178.1 / 255.255.255.0

Ich weiß nicht für was du OpenVPN genau nutzt, aber in Beitrag #85 habe ich eine funktionierende Konfiguration dargestellt.
Mein Heimnetz hat jedoch 192.168.179.0 / 255.255.255.0 also muss du die Config entsprechend auf dein Heimnetz anpassen. Default ist das 192.168.178.0 / 255.255.255.0

Gruß
HS

 

[StupidUser]

MENSCH DANKE !!!!

Das waren viele Stunden erfolglose Arbeit, die hast Du mit einer einzigen Antwort beendet. Denn das war es wirklich: ich hatte bei der Einrichtung für die User ihnen auch einen VPN-Zugang aktiviert, ohne diesen jedoch genauer zu konfigurieren. Denn da kam ja das Problem mit dem Portforwarding dazwischen, und das war deutlich dringender. Die VPNs waren zunächst nur Optionen für die Zukunft. Ich habe sie jetzt deaktiviert und voilà - es klappt!
Falls ich mir die VPNs dann wirklich mal vornehme, weiß ich jetzt, worauf zu achten ist.
Dass die sowas beim AVM-Support nicht wussten, das ist schon ein Ding. Diese Werkseinstellungsempfehlung, die hätte massenweise Arbeit gemacht und nur dann Erfolg gehabt, wenn ich die VPNs zufällig nach den Portfreigaben eingerichtet hätte.

Nochmals vielen Dank, HS!

 

[gildur]

Hallo zusammen,

ich bin mir nicht sicher ob ich da nun richtig bin, oder ob euer Ansatz viel größeres bewirken soll. Deshalb meine Frage.
Ist das die Lösung, damit ich z.B. in meinem Gastnetz (Fritzbox 7490) per Portforwarding auf meine Wetterstation komme?
Dieses Gerät möchte ich ungern in meinem eigenen Heimnetz haben, da ich da auch andere drauflassen möchte.

Vielen Dank für die Info.

 

[koyaanisqatsi]

Moins

Vielleicht reicht dir ja ein Workaround?
Wetterstation nicht im Gastnetz mit Portfreigabe:
Dann gib der Wetterstation ein Kindersicherungsprofil mit: Whitelist
Danach können nur die Internetadressen da drauf, die in der Whitelist stehen,
trotz Portfreigabe/weiterleitung.
(Weil die Wetterstation nur zu denen verbinden darf)

 

[gildur]

Boah! Die Antwort war ja superschnell - DANKE.

Leider funktioniert das mit der Whitelist in meinem Fall nicht, da ich mit der Kindersicherung nicht arbeiten kann.

Der Standort der Wetterstation (ca 400m entfernt habe ich intern mit 2xTP-Link WLAN-APs im Gastnetz gelöst) soll neben einem "Fremd-PC" stehen der nicht ins Heimnetz darf (deshalb auch diese TP-Link-Lösung).

Somit bin ich ans Gastnetz gebunden :-(

 

[PeterPawn]

Somit bin ich ans Gastnetz gebunden.

Dann gibt es keine Möglichkeit des Portforwardings ... jedenfalls nicht mit 06.20 bzw. es hat sie noch keiner gefunden (afaik).

Es gibt imho eine "Bastellösung", mit der man eine Art DMZ (aber eben nur auf Basis einer speziellen Konfiguration und die ist dann nicht im GUI konfigurierbar) auf der FRITZ!Box aufmachen kann, indem man einen LAN-Port aus der LAN-Bridge herauslöst und dort dann ein getrenntest IP-Subnet betreibt. Dann noch eine passende ACL hinzufügen, die den Zugriff von diesem Subnet in das LAN ausschließt und man hat am Ende ein zusätzliches Netz, in das auch Freigaben möglich sein müßten. Da ich gerade wieder diese Konfiguration bei mir zurückgedreht habe, kann ich das mit der Portweiterleitung aber heute nicht mehr aktiv testen ...

Es funktioniert wahrscheinlich auch nur mit Boxen, wo von AVM nach wie vor die Ethernet-Interfaces einzeln behandelt werden, also z.B. nicht auf der 7390, wo die Abtrennung des eth3 für das Gastnetz wohl nur per IOCTL (als SPECIAL) erfolgt und in den brinterfaces in der ar7.cfg die vier LAN-Ports alle als ein einziges Network-Device (eth0) behandelt werden. Das sieht in den Quellen so aus:

/*------------------------------------------------------------------------------------------*\
 * CPMAC-Configuration                                                                      *
 *                                                                                          *
 * The following table lists the existing modi and their consequences for existing device   *
 * nodes on different FBoxes: (examples)                                                    *
 *                                                                                          *
 * Mode        7170             VDSL             ProfiVoIP       6360                       *
 *                                                                                          *
 * NORMAL      eth0             eth0, wan        eth0            eth0,magpie                *
 * ATA         eth0, wan        eth0, wan        eth0, wan       eth0,wan,magpie            *
 * SPLIT       eth0-eth3        eth0-eth3, wan   eth0-eth3       eth0-eth3,magpie           *
 * SPLIT_ATA   eth0-eth2, wan   eth0-eth2, wan   eth0-eth2, wan  eth0-eth2,wan,magpie       *
 * ALL_PORTS   eth0             eth0             eth0            eth0                       *
 * SPECIAL     ???              ???              ???             ???                        *
 *                                                                                          *
 * The ATA modi map the WAN port to an ethernet port. Therefor the connected target of the  *
 * wan device changes in the VDSL case in ATA mode.                                         *
 *                                                                                          *
 * In the ALL_PORTS mode all ports can communicate with each other.                         *
 *                                                                                          *
 * The SPECIAL mode is for special configuration and not preset. To use it call the ioctl   *
 * with type AVM_CPMAC_IOCTL_CONFIG_SET_SWITCH_MODE_SPECIAL to configure the mode, then     *
 * call AVM_CPMAC_IOCTL_CONFIG_SET_SWITCH_MODE with the SPECIAL mode.                       *
 *                                                                                          *
 * In configurations that provide a WAN port, VLANs can be routed through them.             *
\*------------------------------------------------------------------------------------------*/

Ob sich die Aufteilung der Interfaces im Switch auch bei der 7390 per passender ar7.cfg-Einstellung realisieren läßt, weiß ich allerdings nicht, aber das "Basteln" eines passenden IOCTL-Aufrufs auch für andere Boxen (wo es hardware-seitig überhaupt möglich ist) sollte imho machbar sein.

Aber das alles ist keine "Standardkonfiguration" und wer das ohne eigene Arbeit mal eben schnell im GUI einstellen will, beißt meines Wissens bei der AVM-Firmware auf Granit.

 

[devildevil3]

Hi StupidUser,

Werkseinstellung bringt nix. Das raten die beim Support immer wenn sie keine Erklärung haben.
Falls du eine 7390/7490 mit Firmware 6.10/6.20 und mit freetz inkl. OpenVPN nutzt, dann darf dein OpenVPN Subnet nicht im gleichen Subnet wie dein Heimnetz liegen.

Laienhaft ausgedrückt:

Portforwarding funktioniert (für Adressen 2-254):
Heimnetz: 192.168.178.0 / 255.255.255.0
OpenVPN Netz: 192.168.178.1 / 255.255.255.255

Portforwarding funktioniert nicht:
Heimnetz: 192.168.178.0 / 255.255.255.0
OpenVPN Netz: 192.168.178.1 / 255.255.255.0

Ich weiß nicht für was du OpenVPN genau nutzt, aber in Beitrag #85 habe ich eine funktionierende Konfiguration dargestellt.
Mein Heimnetz hat jedoch 192.168.179.0 / 255.255.255.0 also muss du die Config entsprechend auf dein Heimnetz anpassen. Default ist das 192.168.178.0 / 255.255.255.0

Gruß
HS

Hi, super das du das Problem erkannt hast.

Würde es dann einfach reichen, bei OpenVpn von 255.255.255.0 auf 255.255.255.255 zu ändern?

Siehe Screenshot. Bin wegen dem Problem zurück, auf eine alte Firmware

 

[MaxMuster]

Ja, das würde reichen:

Hi MaxMuster, eine 32er Maske reicht auch aus. ...

 

[devildevil3]

Hallo, was ist meiner einer 32 Maske reicht auch aus, gemeint?

Nachdem ich 255 eingetragen habe, komme ich mit meinen Handy über das Wlan nicht mehr ins Internet, wenn ich wieder in den letzten Block 0 schreibe, klappt es wieder?

 

[MaxMuster]

Das Zitat war die Antwort auf die Frage, ob auch die Netzmaske "255.255.255.255" funktioniert (/32 ist die "Abkürzung" dafür, 32 Bits der Maske sind gesetzt).

Wenn du mit /24 (255.255.255.0) hinkommst, um so besser. Das andere ist nur ein "Trick", damit das tap-Interface (das OpenVPN-Interface für die Brücke) nicht den gleichen IP-Bereich hat, wie das LAN, weil damit wohl keine Freigaben mehr funktionieren.