Fritzbox 7490 als openvpn Client funktioniert nicht richtig

[dlauinger]

Hallo zusammen,

Habe auf eine Fritzbox 7490 OpenVPN und dnsmasq drauf gefreetz.
Die Fritzbox soll als OpenVPN Client fungieren, was auch soweit funktioniert. --> Connect zur Gegenstelle funktioniert.
Wenn ich per Telnet auf der Box einen Ping ins VPN-Netz mache bekomme ich auch eine Antwort
Wenn ich auf einem an der Box angeschlossenen Client einen Ping mache funktioniert es nicht.

Denke mal das ich da noch ein Routing Thema habe.
Das lokale Netz der Fritzbox ist 192.168.188.0
Das VPN Netz ist das 10.135.76.0

Hier ein Auszug aus der Routing Tabelle der Fritzbox
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.180.1 * 255.255.255.255 UH 2 0 0 dsl
192.168.21.1 * 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 * 255.255.255.255 UH 2 0 0 dsl
192.168.21.0 * 255.255.255.0 U 2 0 0 dsl
10.135.80.0 10.135.76.3 255.255.255.0 UG 0 0 0 tap0
192.168.188.0 * 255.255.255.0 U 0 0 0 lan
10.135.81.0 10.135.76.3 255.255.255.0 UG 0 0 0 tap0
192.168.189.0 * 255.255.255.0 U 0 0 0 guest
10.135.76.0 10.135.76.3 255.255.252.0 UG 0 0 0 tap0
10.135.76.0 * 255.255.252.0 U 0 0 0 tap0
169.254.0.0 * 255.255.0.0 U 0 0 0 lan
default * 0.0.0.0 U 2 0 0 dsl

Sieht soweit denke ich mal gut aus, die Routen ins VPN sind da, und könne lokal an der Box ja auch angepingt werden.

Hier noch meine Config der Fritzbox:

dev tap
persist-tun
persist-key
cipher AES-128-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote 195.50.ABC.DE 1194 udp
lport 0
verify-x509-name "www.XxXxX.de" name
ns-cert-type server

Hat da jemand eine Idee ??

 

[splenditnet]

Hallo dlauinger,
OpenVPN funktioniert im BridgeMode (tap-device) als LAN2LAN-Lösung problemlos;
siehe auch http://www.wehavemorefun.de/fritzbox/OpenVPN.

Bridging-Mode bedeutet, dass sich beide OpenVPN Peers ein gemeinsames Netzwerk-Adresse/Subnet-Mask teilen;
bei Fritzboxen ist dies in Ermanglung der ipmasquerading Funktionalität das LAN-Segment, d.h. das tap-Devices benötigt IP-Adresse aus FB-LAN.

Tipp: Bitte den Netzdesign prüfen und ggf. FB-LAN-Netzwerk-Adresse anpassen; inkl. openvpn.cfg.

Gruß
Splenditnet

 

[grauGolz]

Wer nimmt denn heute noch ein "tap device"? Wir haben OpenVPN 2.3.x.

Viel Spaß noch beim Studium der Netzwerkgrundlagen und beim "freetzen" wenn wieder mal OpenSSL geflickt werden muß.

Es gibt übrigens genug Angaben im Netz zu diesem Thema. Ich kaue Trivialitäten nicht gern vor.

 

[dlauinger]

Hallo grauGolz,

ich wollte Anfänglich nun mal eine Bridge und keinen Router konfigurieren. Aber was hat das mit der version von openVPN zutun?????

Wie ich deiner Signatur sehe läuft da auch eine PFSENSE, hast du damit eine funktionierende OpenVPN Verbindung zur fritzbox ??

Wie könnte hier die konfig aussehen ?

 

[grauGolz]

Nun, OpenVPN sagt:

"Full IPv6 transport and payload support is available in OpenVPN 2.3.x".

Okay, wer unbedingt einen Brigde mit OpenVPN haben will soll damit glücklich werden.
Ich habe keine Ahnung was bei "freetz" mit OpenVPN-GUI möglich ist.
Rudimentäre Funktionalität sollte in "configs" abgebildet werden können.

Ich nutze keine FB XYZ mehr als OpenVPN Gateway und schon gar nicht als Router zum Internet.

Diese "Freetzerei" wenn OpenSSL geflickt werfen muß ist doch sehr unschön.
Das geht mit pfSense in weniger als 5 Minuten wenn ein Update anliegt.

Es gibt in pfSense ein "nettes Paket" für OpenVPN. Es nennt sich: "Client Export Utility" und pappt alles für den Client erforderliche rein.

Folgende Clients werden unterstützt:

- Standard Configurations:
Archive, File Only
- Inline Configurations:
Android, OpenVPN Connect (iOS/Android) Others
- Windows Installers (2.3.8-Ix01):
x86-xp, x64-xp, x86-win6, x64-win6
- Viscosity (Mac OS X and Windows):
Viscosity Bundle, Viscosity Inline Config
- Yealink SIP Handsets:
T28, T38G (1), T38G (2)
- SNOM SIP Handset

Ob die "freetz" OpenVPN-GUI die erforderliche Konfiguration für meine OpenVPN Server liefern kann? Ich weiß es nicht.

 

[andiling]

Hast Du denn Dein openVPN tap device in der ar7.cfg zur passenden bridge hinzugefügt?

 

[grauGolz]

Wozu braucht der OpenVPN Client eine Netzwerkbrücke mit dem "tap device"? Es reicht "IP packet forwarding" auf dem Client.

 

[tuxedonet]

Viel Spaß noch beim Studium der Netzwerkgrundlagen und beim "freetzen"
...
Ich kaue Trivialitäten nicht gern vor.

@grauGolz,
wenn Du so schlau bist, Dann liefere doch den Freetz Patch für OpenVPN 2.3.x; am Besten gleich für OpenSSL-Versionen 1.0.2f und 1.0.1r ;-)
https://mta.openssl.org/pipermail/openssl-announce/2016-January/000058.html
ansonsten können wir auf "trolligen" Beiträge #3 verzichten ;-)

an die OpenVPN-Interessierte und Freetzer:
das "tap device" liefert eine Layer2-VPN-Verbindung, dies hat sich bei vielen Use-Cases sowohl im professionelen Umfeld (L2-Tunneling, z.B. bei Ausfall-Rechenzentrum) als auch im privaten Umfeld (Game-Szene) bewährt.

LG Tuxedonet

 

[grauGolz]

Warum sollte ich "mitfreetzen"? Ich unterstütze lieber pfSense. Da weiß man doch was man bekommt.

Das ist keine Werbung, nur eine Feststellung.

Meine Bewunderung für die tapferen "Freetzer" ist groß. Das ist Fakt.

 

[MaxMuster]

Um die ursprüngliche Frage aufzugreifen:
Es wird wohl am fehlenden Routing liegen. Egal ob Tunnel oder Bridge, das IP-Routing muss stimmen ;-). Vermutlich fehlt bei deiner Umgebung die "Rückrichtung" für die LAN-Geräte.


Ist die FB der VPN-Client, ist auch nur sie mit dem VPN verbunden und hat eine dem VPN-Server "bekannte" IP. Damit auch Geräte "hinter" der FB (dem VPN-Client) das VPN nutzen können, müssen sie zum einen von der FB zum VPN-Server geroutet werden aber vor allem müssen auch deren IPs vom VPN-Server wieder zum VPN-Client zurückgeroutet werden.


In Kurzform gibt es diese Möglichkeiten:
- Der VPN-Server routet "dein LAN" (die IPs der Geräte an der FB) zu deiner FB (deinem VPN-Client)
- Der VPN-Client "versteckt" das LAN per NAT
(was leider auf fast keiner FB mehr möglich ist, weil das dafür benötigte iptables-Modul von AVM für
andere Zwecke "missbraucht" wurde und daher m.W. auf der 7490 nicht genutz werden kann :-( ).

Eigentlich gibt es also mit der FB als Client nur eine Möglichkeit, wenn du den VPN-Server konfigurieren (lassen) kannst, sonst geht es vermutlich nicht...

 

[dlauinger]

Hallo Zusammen,

hab es nun doch als Bridge also als tun-device gelöst.
ist dann doch die bessere Lösung in diesem Fall.
Mein eigentliches Problem war das ich zum ersten mal mit der Fritzbox soetwas gemacht hatte, sonst verwende ich gerne die PFSense. Aber in diesem vom Kunden gewünschten Fall war die Fritzbox einfach besser.

Routing passt jetzt ebenfalls,
Danke an alle die mir geholfen haben, und auch an den Troll, sehr lustig

 

[andiling]

tun = Routing
tap = Bridging