FritzBox als OpenVPN Client

Hallo Jörg, hab gestern noch eine Weile rumprobiert und dann hab ich das openvpn wieder starten können! Ich hab dir mal den debug.log angehängt. Kannst du mir sagen ob der log in Ordnung ist? Ich glaub das es klappt, vielleicht kannst du mir sagen welche ip adressen ich den Clienten hinter der Client Fritzbox geben muß. Oder muß ich denen meine dyndns geben?

Tue Apr 6 18:00:10 2010 OpenVPN 2.1.1 mipsel-linux [SSL] [LZO2] [EPOLL] [MH] built on Mar 17 2010
Tue Apr 6 18:00:10 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Apr 6 18:00:10 2010 Diffie-Hellman initialized with 1024 bit key
Tue Apr 6 18:00:10 2010 WARNING: file '/tmp/flash/box.key' is group or others accessible
Tue Apr 6 18:00:10 2010 TLS-Auth MTU parms [ L:1589 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Apr 6 18:00:10 2010 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Tue Apr 6 18:00:10 2010 OpenVPN ROUTE: failed to parse/resolve route for host/network: 192.168.200.0
Tue Apr 6 18:00:10 2010 TUN/TAP device tap0 opened
Tue Apr 6 18:00:10 2010 TUN/TAP TX queue length set to 100
Tue Apr 6 18:00:10 2010 /sbin/ifconfig tap0 192.168.200.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.200.255
Tue Apr 6 18:00:10 2010 Data Channel MTU parms [ L:1589 D:1450 EF:57 EB:4 ET:32 EL:0 ]
Tue Apr 6 16:00:10 2010 chroot to '/tmp/openvpn' and cd to '/' succeeded
Tue Apr 6 16:00:10 2010 GID set to openvpn
Tue Apr 6 16:00:10 2010 UID set to openvpn
Tue Apr 6 16:00:10 2010 Socket Buffers: R=[108544->131072] S=[108544->131072]
Tue Apr 6 16:00:10 2010 UDPv4 link local (bound): [undef]
Tue Apr 6 16:00:10 2010 UDPv4 link remote: [undef]
Tue Apr 6 16:00:10 2010 MULTI: multi_init called, r=256 v=256
Tue Apr 6 16:00:10 2010 IFCONFIG POOL: base=192.168.200.100 size=51
Tue Apr 6 16:00:10 2010 Initialization Sequence Completed

Gruß Rainer
 
Sieht "halbwegs" o.k. aus, die Routing-Einträge sind scheinbar noch nicht so ganz korrekt, sieht so aus, als hättest du eine Route für 192.168.200.0 angegeben?!?

Die Clients bekommen als "remote" die offizielle Internet-IP der Serverbox, bzw. die dyndns-Adresse. Die VPN-IP sollen sie sich "holen" ("auch IP-Adresse vom Server beziehen), denn die trägst du ja bei den erweiterten Clienteinstellungen ein.

Jörg
 
Wie kann ich dir mein freetz Gui anhängen? Dann kannst du dir meine Einstellungen anschauen?
 
Poste einfach das "Ergebnis":
Nach dem Start des OpenVPN in der RudiShell "cat /mod/etc/openvpn.conf" ausführen und das Ergebnis anhängen.

Jörg
 
openvpn.config

# OpenVPN 2.1 Config, Tue Apr 6 18:53:03 CEST 2
proto udp
dev tap0
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
port 1194
mode server
ifconfig-pool 192.168.200.100 192.168.200.150
push "route 192.168.200.1"
route 192.168.200.0 255.255.255.0
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway 192.168.200.1"
push "route 192.168.178.0 255.255.255.0"
max-clients 5
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
daemon
cipher AES-128-CBC
keepalive 10 120
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key
/var/mod/root #
 
Also, mein "Rat":

- Nutze Tunnel
- Nimm statt "DHCP-Range" die "festen" Einträge bei den erweiterten Clienteinstellungen

Der Rest sieht ganz gut aus, so sollte zumindest erstmal eine Verbindung möglich sein. Die "Fehlermeldung" ist ohne Belang, die kommt durch eine ungeschickte Abfrage im Skript, was die Konfig erzeugt und stört nicht.

Jörg
 
Ok, ich stell dann um auf Tunnel, trage meine zwei Clienten bei erweiterten Clienteinstellungen ein und was soll ich für eine IP den clienten geben? Oder soll ich da schon meine dyndns eintragen?

Meine Fritzbox hat die Standard IP, bei lokale IP hab ich die 192.168.200.1 Ist das so richtig?

Gruß Rainer
 
Zuletzt bearbeitet:
Wenn du jetzt die "erweiterte Konfig" wählst und den ersten Client anlegst, ändert sich die GUI (es steht da "lokale IP" und "Maske" statt "lokale IP" und "entfernte IP").
Lass lokale IP auf 192.168.200.1 (Maske 255.255.255.0) und gib den Clients dann z.B. IPs ab 192.168.200.10 immer aufsteigend.

Jörg
 
Soll ich die IP im Fenster Client-VPN-IP oder im Fenster Netz b. Client eintragen?

Und im Lokales Netz? Soll da was drinstehen? Im Moment steht 192.168.178.0 255.255.255.0 drin
 
Die IP (etwa 192.168.200.10) kommt bei "Client-IP" rein, beim "Netz" kommt ggf das Netz rein, was vor Ort beim Client ist. Wenn also (nur als Besipiel) bei deinem Bruder 192.168.2.x genutzt wird, sollte bei dem "Netz b. Client" stehen 192.168.2.0 255.255.255.0
Das siehst du auch schon so auf dem Screenshot, den ich angehängt hatte (Beitrag #34).

Das "lokale Netz" ist so richtig, wenn deine Box den Standard nutzt.

EDIT Wenn sich die Geräte in den Netzen bei den Clients auch gegenseitig sehen sollen (also z.B. vom "Eltern-Netz" in das "Bruder-Netz") mach noch den Haken bei "Client zu Client"

Jörg
 
ok, jetzt hab ichs soweit verstanden. Dann ist es aber schon möglich das sich der client an meinem Server anmeldet und die Daten die er abfragt zurüchbekommt?
Auf der Clientseite ist der Router auch auf Standard IP 192.168.178.1! Funktioniert das?
 
Zuletzt bearbeitet:
Die Frage verstehe ich nicht ganz?!?
Wenn der Cleint auch per freetz-GUI konfiguriert wird, gibt es da mit Zertifikaten den Punkt "Optionen vom Server beziehen", und den Unterpunkt "auch IP-Adresse vom Server empfangen".
Damit bekommt der Client (abhängig vom Namen, der über das Zertifikat unterschieden wird) alle die Dinge "mitgeteilt", die du da einträgst.

Jörg

EDIT Die Netze aller Clients und des Servers müsssen verschieden sein, wenn Geräte aus den Netzen untereinander kommunizieren wollen.
VORSICHT: Allein das Eintragen eines Routings zu einem Client für das Netz, was auch dein lokales Netz ist, kann die Box unerreichbar machen!!
EDIT2: Du kannst natürlich auch das Netz bei dir ändern, z.B. auf 192.168.150.x, dann kann es bei einem Client auf 192.168.178.x bleiben.
 
Zuletzt bearbeitet:
Hallo Jörg,kann ich leider nicht genauer erklären da diese Angelegenheit unerwünscht ist hier im Board. Vielleicht kann ich dir ja eine PN schicken was ich genau damit meine. Sofern du mir da einen Tipp geben willst dazu!

Gruß Rainer
 
Ich kann es mir vermutlich denken :-Ö
Aber soweit ich weiß gehen eigentlich sämtliche Protokolle auch über Routing, und dafür müssen die Netze verschieden sein.

EDIT Zu TAP würde ich nie raten, wenn es um die Verbindung von ganzen Netzen geht, höchstens wenn sich ein Client beim Server einwählt.
Ist denn für die von dir geplante Anwendung ein gebrücktes Netz erforderlich? Kann man nicht als "Gegenstelle" eine IP eintragen, die nicht im LAN ist??

Jörg
 
Zuletzt bearbeitet:
:groesste: Das heißt also das mein Routing Eintrag in der freetz Gui 192.168.178.0 255.255.255.0 ausreicht für mein Vorhaben?!? Bei meinem clienten geb ich dann in der config eine IP von 192.168.178.0 bis xxx ein

Mein Vorhaben hab ich bis jetzt einwandfrei erreicht indem icgh eine dyndns adresse bei meinem clienten in der config eingetragen habe der sich dann auf meine fritzbox connectet hat!
Die Portfreigabe hierfür war über tcp

Bei den clienten im freetz Gui hab ich jetzt verschiedene Netze eingetragen
 
Zuletzt bearbeitet:
Ja, es sollte gehen, wenn die LAN-Netze nur unterschiedlich sind.

Beim "Anwendungsclient" gibst du dann die IP des Anwendungsservers ein. Wenn das die FB selbst ist, nimm die VPN-IP (192.168.200.1), wenn es ein Gerät im LAN der Serverbox ist, ist die IP des Anwendungs-Clients 192.168.178.x.

Die Problematik dabei ist ja, dass der Anwendungs-Client wohl nicht mit dem VPN-Client übereinstimmt. Also muss deine VPN-Server-Box wissen, wohin sie denn den Verkehr für den "Anwendungsclient" schicken soll. Das darf sich nicht mit dem normalen Netz beißen, denn sonst wäre das nicht eindeutig.

Einfacher wäre es übrigens, wenn Anwendungs- und VPN-Client übereinstimmten, denn dann reichen jeweils die VPN-IPs (hier die 192.168.200.x) aus, in welchem LAN die sind wäre dann egal.

Jörg

EDIT Nicht das wir uns falsch verstehen, die LANs müssen verschieden sein, d.h. du muss in der AVM-GUI für dein "normales Fritzbox-Netz" (oder das Netz beim Client) so einstellen, dass 192.168.178.x nur auf einer Seite ist...
 
Zuletzt bearbeitet:
Hallo Jörg, bin am verzweifeln! War gestern bis um 3 Uhr früh bei meiner Mutter um den clienten ein zurichten! Fehlanzeige!!! Bekomm es einfach nicht hin! Was spricht eigentlich dagegen das man eine Konfiguriation nimmt wo alle beteiligten im selben Subnetz sind? WEäre das nicht leichter zu realiesieren?

Gruß Rainer
 
Wenn du komplette LANs verbindest, geht jedes Paket, dass "an alle" geht, auch über das VPN, und zwar in beide Richtungen.

Mir ist noch nicht klar, warum das einfacher sein soll?!?
Ob du als Ziel-Server bei deiner Anwendung nun "192.168.178.12" oder "192.168.2.12" einträgst, wo ist da der Unterschied?!?!?

Jörg
 
Wenn alle im gleichen Subnetz sind, wäre es möglich das ich dann auch auf die Geräte (PC,Reciever) hinter der Clientbox zugreifen kann und was bearbeiten?
 
Nein, ganz so einfach ist das nicht, selbst wenn du die x-fach angesprochenen Probleme mit der Performance von gebrückten LANs ausser Acht ließest.
Oder hast du jetzt schon wirklich komplett unterschiedliche Netzabschnitte in einem Netz genutzt??

Du: FB 192.168.178.1 alle PCs, Drucker, ... 192.168.178.10-49
Mutter: FB 192.167.178.51 alle PCs, Drucker, ... 192.168.178.60-99
Bruder: FB 192.167.178.101 alle PCs, Drucker, ... 192.168.178.110-149
...
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.