HOWTO: Box2Box VPN ohne Modifikation

BuchIT

Mitglied
Mitglied seit
5 Okt 2005
Beiträge
355
Punkte für Reaktionen
2
Punkte
18
Hallo Forum,

nachdem mir heute viele Leute hier eine riesen Hilfestellung gegeben haben
möchte das gesammelte Wissen hier einmal zusammenfassen.

Ausgangssituation:
FRITZ!Box 1 (Server Box) - ohne Mod - IP: 192.168.178.1
FRITZ!Box 2 (Client Box) - ohne Mod - IP: 192.168.179.1

Benötigt wird:
Webspace (hier http://www.beispiel.de)
einen DynDNS Account oder feste IP
Pseudo Image von Evil Dead
Security Key (auf z.B. von Evil Dead)
Einen Ordner zum sammeln der Files :)
Ein Programm das UNIX Zeilenumbruch beherrscht (z.B. UltraEdit Trail Version)
Alle Konfigurationdateien müssen mit UNIX Zeilenumbruch geschrieben sein.
=> Bei UltraEdit unter "Datei > Konvertieren > DOS nach UNIX"


1. Schritt - Konfigurationsdatei für OpenVPN Client
Code:
ifconfig 192.168.200.1 192.168.200.2
dev tun
dev-node /dev/misc/net/tun
tun-mtu 1500
mssfix
persist-tun
persist-key

#Remote Adresse des Servers angeben
#muss entsprechend geaendert werden
remote mein-account.dyndns.org

#Pfad zum Key File
secret /var/tmp/secret.key


#Protokoll auf TCP und Port 1194
#Änderungen müssen auf Client und Server Seite gleich sein
proto tcp-client
port 1194


#da die Verbindung alle 24 Stunden getrennt wird
#soll regelmäßig kontrolliert werden ob die Verbindung noch steht
ping 15
ping-restart 120 

#der DynDNS Name soll alle 60 Sekunden neu aufgelöst werden
#da OpenVPN sonst ständig versucht über die alte IP
#zu verbinden
resolv-retry 60 

#Protokollierungseinstellung
#4 ist optimaler Modus
verb 4

#Daemon sollte erst eingeschaltet werden wenn die
#Konfiguration passt
daemon

#Route zum Server setzen
route 192.168.178.0 255.255.255.0
Diese Datei speichert man unter dem Namen "server.ovpn" unter
C:\FBFVPN\CLIENT\server.ovpn


2. Schritt - Konfigurationsdatei für OpenVPN Server
Code:
dev tun0
dev-node /dev/misc/net/tun
ifconfig 192.168.200.2 192.168.200.1
tun-mtu 1500
float
mssfix

#Pfad zum Key File
secret /var/tmp/secret.key

#Protokoll auf TCP und Port 1194
proto tcp-server
port 1194

#Protokollierung auf 4
verb 4

#daemon

#Route zum Server setzen und route zum Client pushen
route 192.168.179.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"

#Verbindung erhalten
ping 15
push "ping 15"
ping-restart 120
push "ping-restart 120"
Diese Datei speichert man unter dem Namen "server.ovpn" unter
C:\FBFVPN\SERVER\server.ovpn


3. Schritt - OpenVPN runterladen
Gibts HIER


4. Schritt - Firewall anpassen

Damit OpenVPN auch über Port 1194 verbindet muss in der FBF welche die Server Rolle spielt die Firewall von Hand umgestellt werden.
Dazu muss erstmal Telnet auf der FBF aktivert werden.
Siehe dazu Punk 6. Image für die FBF erzeugen, oder HIER
Folgende Vorgehensweise erschien mir die einfachste:
Auf der FRITZ!Box unter "Internet => Portfreigabe" folgende Regel hinzufügen:
- Aktiv: NEIN (Häkchen rausnehmen)
- Typ: Andere Anwendung
- Bezeichnung: OpenVPN
- Protokoll: TCP
- von Port: 1194
- an IP: 192.168.178.1
- an Port: 1194
Dann diese Regel speichen.
Anschließend via Telnet auf die FRITZ!Box zugreifen mit:
telnet fritz.box

Nun gibt man folgende Befehle ein:
cd var
cd flash

Nun zur Sicherheit ein Backup der Datei erstellen:
cp ar7.cfg ar7_backup.cfg

Sollte mit nvi etwas schief gehen kann man die Datei wie folgt Wiederherstellen:
cp ar7_backup.cfg ar7.cfg

Jetzt noch den nvi Editor starten:
nvi ar7.cg

Es öffnet sich das nvi Editor Fenster.
Dort scrollt man nach unten bis man einen Bereich finder der so aussieht:
Code:
forwardrules =        "tcp 0.0.0.0:0 0.0.0.0:0 1 out",
                           "udp 0.0.0.0:0 0.0.0.0:0 1 out",
                           "udp 0.0.0.0:5060 0.0.0.0:5060",
                           "udp 0.0.0.0:7078 0.0.0.0:7078",
                           "udp 0.0.0.0:7079 0.0.0.0:7079",
                           "udp 0.0.0.0:7080 0.0.0.0:7080",
                           "udp 0.0.0.0:7081 0.0.0.0:7081",
                           "udp 0.0.0.0:7082 0.0.0.0:7082",
                           "udp 0.0.0.0:7083 0.0.0.0:7083",
                           "udp 0.0.0.0:7085 0.0.0.0:7085",
                           "tcp 0.0.0.0:4662 192.168.178.101:4662 0
                           "udp 0.0.0.0:4672 192.168.178.101:4672 0
                           "#tcp 0.0.0.0:1194 192.168.178.1:1194 0 # OpenVPN";  <= openvpn
 shaper = "globalshaper";
Man geht mit dem Cursor in die markierte Zeile auf das erste '#' und drückt die Taste x.
Dan wird aus:
Alt: "#tcp 0.0.0.0:1194 192.168.178.1:1194 0 # OpenVPN";
das hier:
Neu: "tcp 0.0.0.0:1194 192.168.178.1:1194 0 # OpenVPN";

Nach der Eingabe von :wq (Doppelpunkt wq) wir die Detei gespeichert und nvi beendet.
ACHTUNG: Wird die Datei falsch editiert kann es zum Tot der FRITZ!Box kommen.

Ergänzung:
fws hat ein Script erstellt mit dem man Regeln in der ar7.cfg hinzufügn kann ohne diese mit nvi editieren zu müssen.
Das Scripts gibts HIER

Zurück in Telnet kann man die Freigabe mit einem einfachen reboot
in Telnet aktivieren, dann wird die FBF einfach neu gestartet.

5. Schritt - Dateien auf den eingenen Webserver laden
Geht per FTP auf euren Webserver/Webspace und legt folgende Ordnerstruktur an:
/fritzbox/openvpn
/fritzbox/openvpn/client
/fritzbox/openvpn/server

Die Datei openvpn schiebt ihr in den Order /fritzbox/openvpn/client/ und
in /fritzbox/openvpn/server/
In den Ordner /fritzbox/openvpn/client die Datei server.ovpn aus dem Ordner C:\FBFVPN\CLIENT\
In den Ordner /fritzbox/openvpn/server die Datei server.ovpn aus dem Ordner C:\FBFVPN\SERVER\
Wer es versteht das Image in Schritt 6 anzupassen kann die auch andere Dateinamen verwenden und somit openvpn nur einmal auf dem Server ablegen.


6. Schritt - secret key und pseudo Image erstellen
Auf der Homepage von Evil Dead könnt ihr euch HIER eine secure.key Datei erstellen lassen.
Diese Datei muss für beide pseudo Images (Client und Sever) verwendet werden, und sollte auch nicht in die falschen Hände geraten.
Jetzt baut ihr zuerst das Image für die FBF die als Server fungiert.
HIER ein Image ohne Assistenten erstellen mit folgenden Einstellungen:
X telnet
X openvpn
=> Adresse des Webservers, auf dem 'openvpn' und die Konfig-Dateien liegen (ohne http://): www.beispiel.de
=> Verzeichnis auf dem Server, in dem 'openvpn' und die Konfig-Dateien liegen: fritzbox/server
=> Key-File: Hier wählt ihr das vorhin erstelle Key File aus

Jetzt könnt ihr das Image erstellen lassen und runterladen.
Speichert es unter den Namen pseudo_ovpnserver.image ab.

Für das Client Image gilt das gleiche wie oben ausser:
=> Verzeichnis auf dem Server, in dem 'openvpn' und die Konfig-Dateien liegen: fritzbox/client

Image erstellen lassen und runterladen.
Speichert es unter den Namen pseudo_ovpnclient.image ab.

Natürlich können alle weiteren Einstellungen der Homepage auch verwendet werden. Ich möchte hier nur das wichtige für OpenVPN erläutern.


7. Schritt - OpenVPN auf die Box bekommen
Jetzt müsst ihr nur noch auf den einzelnen FRITZ!Boxen die entsprechenden
pseudo Images einspielen (Über System => Firmwareupate)
Nach dem reboot der beiden Boxen sollte die VPN Verbindung sofort
aufgebaut werden.
Testet es einfach in dem ihr von der Server Seite einen PC auf der Client Seite anpingt oder umgekehrt.

Der Autor (also ich) ist nicht für irgendwelche Schäden verantwortlich, die direkt oder indirekt durch die Verwendung und Anwendung dieser Software und Modifikationen entstehen!

Mit dieser Konfiguration läuft das ganze bei mir !
Danke an interhubi für die Unterstützung !
Danke an Evil Dead für den pseudo Image Generator !
Danke an das ganze Forum dafür das ihr uns das hier alles ermöglicht !!

Gruß Mike

#################################################
Änderung vom 17.02.2006
- Config Dateien auf DynDNS optimiert
#################################################
Änderung vom 16.02.2006
- Beschreibung zur Änderung der Firewall optimiert
#################################################
 
Zuletzt bearbeitet:
Hi,

ich prüfe nächste Woche ob man sich Punkt 4 - Firewall modifizieren -
dank Evil Dead sparen kann.

Gruß Mike
 
cooles tut ...hast dir nen lob verdient!
 
Hallo Forum, das hört sich ja super an, VPN mit ner Fritz, cool. Ich würde gerne wissen ob anstatt des keys auch Zertifikate verwendet werden könnten? Dafür müsste aber wohl --askpass mit in openvpn einkompiliert sein. Ich bin nämlich gerade auf der Suche nach einem VPN fähigen Router und leider ist der Linksys WRT54g mittlerweile mit Linux nicht mehr zu gebrauchen, bleibt also nur der Asus und jetzt vielleicht die Fritz.. Danke klingeljoe

Bin gerade erst neugierig geworden und hierauf gestoßen

http://www.ip-phone-forum.de/showpost.php?p=531364&postcount=192
 
Zuletzt bearbeitet:
klingeljoe schrieb:
... Ich würde gerne wissen ob anstatt des keys auch Zertifikate verwendet werden könnten?...
Auch Zertifikate funktionieren!
Hast ja auch schon
http://www.ip-phone-forum.de/showpost.php?p=531364&postcount=192
gesehen.
klingeljoe schrieb:
... Dafür müsste aber wohl --askpass mit in openvpn einkompiliert sein.
askpass funktioniert auf jeden Fall, wenn Du openvpn von
http://www.ip-phone-forum.de/showpost.php?p=527338&postcount=180
nimmst. Bei mir funktioniert es mit der 2.0.5er Version!

askpass benötigst Du ja nur, wenn du ein Passwort für Deinen Gateway- bzw. Client-Schlüssel vorgegeben hast, was ja zu empfehlen ist ;)
Dann kannst du openvpn als daemon starten und bevor openvpn in den Hintergrund geht, fragt es das Passwort ab.

Das funktioniert eigentlich hervorragend.

Gruß
interhubi
 
Sollte statt "4. Schritt - Firewall anpassen" nicht inzwischen (mit aktuellem Pseudo-Image von Evil Dead) eine einfache (im Webinterface aktivierte) Portfreigabe an 192.168.178.253:1194 genügen?
 
Mal ne blöde Frage - können sich da auch mehr als 1 Client verbinden und funktioniert das VPN dann zwischen allen verbundenen Clients einwandfrei?
 
@BuchIT: Glückwunsch und vielen Dank für diese "easy-to-do" Anleitung!!!
Dank dieser funktioniert sogar bei mir der VPN-Tunnel wunderbar.:rock:

Nur ist mir aufgefallen, dass er bei einer Anfrage über die IP geht, die hier
ifconfig 192.168.200.1 192.168.200.2
an 2. Stelle eingetragen ist geht:confused: Diese IP-Adressen sind ja aus einem ganz anderen Subnet, wie die anderen der Router, also was soll diese Zeile bewirken?

Und was bewirkt es, wenn die "Server-Fritz!Box" mit
#Route zum Server setzen und route zum Client pushen
route 192.168.179.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"
push die Route auf sich selbst setzt?
 
...vielleicht eine dumme Frage....

1. Ist das Internet "Surfen" nach der VPN-Kopplung noch genau so erreichbar ?

2. Existiert noch ein weiteres Subnetz ( also über das 192.168.178.0 ) durch die VPN-Kopplung ?

3. Wie schaffe ich den Zugriff auf Laufwerksresourcen hinter einer MS-Firewall ( s.h. nachfolgendes Schema ) ( ggf. Firewall auf MS-Server dafür öffen, noch anderen Alternativen ? )

Ort A : Fritz-VPN Client >------- INTERNET -----< Ort B : Fritz-VPN Server 192.168.178.0>---< MS-Server ( SBS inkl. Firewall + 2 Netzwerkkarten ) >--- INTERNES NETZ ( 192.168.100.0 PCs, Netzlaufwerke )
 
Ich würde gerne nach dieser Anleitung OpenVPN auf meine Box machen allerdings funktionieren 2 Links oben bei mir nicht , das wären :

Pseudo Image von Evil Dead
Security Key (auf z.B. von Evil Dead)
 
Hallo CAB,
ja würde ich versuchen, eventuell noch mit einer Virtuellen IP auf der Box. ;)
 
Was ?Ich wollte eignetlich nur das jemand die Links Oben aktualisiert weil sie nichtmehr funktionieren ?!
 
Leider gehen die Images da nicht für die 7141 gibts da auch ne Seite ?
 
CAB schrieb:
Ich würde gerne nach dieser Anleitung OpenVPN auf meine Box machen allerdings funktionieren 2 Links oben bei mir nicht , das wären :

Pseudo Image von Evil Dead
Security Key (auf z.B. von Evil Dead)

Hi,

die Homepage von Evil Dead ist leider in unregelmäßigen Abständen offline.
Versuchs einfach zwischen durch mal wieder.
 
Habe auf the-construct.com beim pseudoimage diese virtuelle karte ausgewählt.

Vorher habe ich nur das genommen und es hat der Zugriff auf dei Box wunderbar funktioniert.

Jetzt habe ich die selbe virtuelle Karte ausgewählt mit OpenVPN und es geht nicht mehr.

Die Portfreigabe auf die IP 192.168.178.253 bleibt wirkungslos.

Zum Glück kann man das über telnet editieren und eine Portfreigabe einfach auf 192.168.178.1 erstellen.

Leider kann man danach nicht mehr irgendwelche Portfreigaben über das Webinterface der FritzBox ändern.

Wie könnte man das Problem beseitigen?
 
Hallo,

also ich denke schon, dass ich es auf meiner FirtzBox (als Server) richtig hinbekommen habe, aber mein "VPN - Partner" hat eine Eumex 504. Zur FritzBox umModden fält aus, da Schwiegerpapa davon nicht begeistert ist. Gibt es denn sonst noch eine Möglichkeit auf einfachen (!) Wege den Openvpn Client auf die Eumex zu bekommen? Meine Suche war bisher nicht so ganz erfolgreich..
Grüße
 
Bist du sicher dass es eine Eumex504 ist? Dann hast du keine Chance irgendetwas mit OpenVPN zu realisieren, das ist eine alte ISDN TA der Telekom mit USB-Anschluß. Das ist kein Router für Ethernet bzw. DSL. Wählt sich dein Partner denn per ISDN ins Internet?
Es gibt eine OpenVPN-Client Software, die du direkt auf dem Rechner installieren kannst, damit könnte sich dein Partner auf deiner FritzBox einwählen!
 
stimmt, hatte mich da voll vertan. Es ist die Eumex 300IP.

Über die Box wählt man sich per DSL ein. Ich würde es schon recht gerne über die Box realisieren. Zum einen weil bei meinen Schwiegereltern zwei Rechner eine Mininetzwerk haben und ich so die Softwar eventuell auf mehrere Rechner installieren müsste, zum anderen, weil ich die Konfig vom OpenVPN nicht so ganz hinbekommen habe. Übers PseudoImage ging es bei mir auf der FritzBox relativ leich. Ich hatte ein wenig die Hoffnung, dass es etwas vergleichbares auch für die Eumex gäbe.

Grüße, Sebastian
 
Die einfachste Lösung, die mir einfällt ist, den jenigen zu überzeugen und das zu FB ummoden.
Wo sind denn die Nachteile der FB gegenüber der Eumex?

Mir fällt kein einziger ein.
 

Statistik des Forums

Themen
246,195
Beiträge
2,247,822
Mitglieder
373,748
Neuestes Mitglied
fanti88
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.