Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

Bei OpenDNS gibt es eine Seite, auf der man abfragen kann, ob deren DNS-Server verwendet werden oder nicht: http://welcome.opendns.com
Code:
Success! You're now using OpenDNS
funktioniert also schon mal,
Edit: die andere Geschichte mit den Freigaben zu Justin ebenfalls!

danke für den Tip
 
Moin zusammen,
habe das gem. #1 ausprobiert und es scheint hervorragend zu klappen.
Als Hinweis sei erwähnt, dass die geänderte cfg-Datei für den VPN-Client nicht unter einem neuen/anderen Namen gespeichert werden darf.
Warum auch immer, aber ansonsten klappt der Import in den VPN-Client nicht.
Daher am besten die UR-cfg als Sicherungskopie abspeichern und erst dann die ursprüngliche Datei editieren und unter gleichem Namen abspeichern.

Das ist zumindest meine Erfahrung.

Die Box-Box-Kopplung werde ich bei Gelegenheit die nächsten Tage einmal testen, dann kommt ein kurzer Erfahrungsbericht.

Beste Grüße
der Anarch..
 
Zuletzt bearbeitet:
ist vpn ne reine internetgeschichte oder kann man damit auch das interne wlannetzwerk ne schüppe sicherheit höher legen?
 
Moin,
wie der Name VPN schon sagt ist es ein Virtuelles Privates Netzwerk, im Grunde also ein Netzwerk über Internet.
Dies ist eine WAN-Technik, bringt dir zu Hause rein gar nichts.
Wenn Du dein WLAN sichern willst:
- WPA2-PSK
- komplexer WLAN-Key mit mind. 20 Zeichen und Passwortkomplexität
- AES-Verschlüsselung.

Allerdings gibt es noch einen wesentlich besseren WLAN-Schutz: Abschalten und verkabelt arbeiten.

In diesem Sinne
der Anarch..
 
VPN Südafrika

Hallo @bruecke eisbaerin und @all

erst einmal ein grosses *respekt* für das Mini-Howto und die Ergänzungen.


Ich hab alle 8 Seiten duchstudiert und hoffe habe "im grossen und ganzen" die Sache verstanden.

Folgende Aufgabenstellung:

FB7170 in RSA(4064/512 kBit/s) -->VPN Tunnel-->FB7270(V3)(6909/713) kBit/s da soll es rauskommen damit ich eine 1und1 "öffendliche IP" bekomme.

soweit so gut.

nun die Feinheiten :)

genaugenommen benötige ich diesen Tunnel nur für Maxdome, JustinTV oder auch ARD und ZDF Mediatheken oder livestreams.

Normaler internetverkehr und auch meine komplette VOIP-Telefonie können ganz normal über Mweb (RSA Provider) abgewickelt werden.

RSA FB 192.168.181.xxx
GER FB 192.168.191.xxx

Der Client (ich würde einen TV-Notebook einzig dafür einrichten) der diese TV-webseiten anzeigen soll kann per LAN oder per WLAN in das Netzwerk RSA 192.168.181.xxx eingebunden werden.

DA BEIDE FRITZBOXEN 12000km ENTFERNT SIND MÖCHE ICH SICHER GEHEN.

Wie müssten meine CFG Datei für die FB in RSA aussehen ?
Wie müssten meine CFG Datei für die FB in GER aussehen ?
Wie müssten meine CFG Datei für den Client-notebook aussehen ?

..und Wie kann man alles rückgängig machen falls es nicht funktioniert ?

Viele Fragen mit Hoffnung auf antworten. Danke
PS: Ich bin z.Z in GER und ab November in RSA
 
Zuletzt bearbeitet:
Moin,
also wenn ich dich richtig verstehe, willst Du ja nur einem Notebook den Tunnel verpassen, dann musst Du im Grunde an deiner FB vor Ort (RSA) nichts einrichten.
Du musst die angepasste CFG sowohl in die deutsche FB als auch in die Fernzugriff-Software auf dem Notebook importieren.
Denn dem Notebook ists egal, in welchem WAN-Netz es hängt, Hauptsache es kommt zu der Fritzbox in DEU durch.
Meinem Kenntnisstand nach kann es sogar Probleme geben, wenn Du durch eine getunnelte Verbindung (RSA-FB<->DEU-FB) einen zweiten Tunnel (RSA-Notebook<->DEU-FB) aufbauen willst.

Daher sollte eine Client-LAN Kopplung ausreichen.

Wenn dann was nicht funktionieren sollte: Einfach die VPN-Verbindung im Fernzugangs-Client trennen und wie gewohnt weiterarbeiten.

Allerdings wage ich leichte Zweifel, ob Echtzeitstreaming via MaxDome über eine solche VPN-Verbindung klappt, da durch den Overhead doch einiges an Bandbreite verloren geht und Du keine synchronen Up- und Downstreams hast.

In diesem Sinne
der Anarch..
 
Zuletzt bearbeitet:
Hallo Anarch

vielen Dank für deine Einschätzung.

versuch macht kluch :)

sicherlich ist die Sache mit der Bandbreite die Schwachstelle des ganzen.

ARD und ZDF z.B Tagesschau funktionieren(ohne VPN)..aber es gab immer wieder eine Bildschirmanzeige "aus rechtlichen Gründen ist die Ausstrahlung für Internetteilnehmer nicht zugelassen

von meinem RSA Provider werden keine Ports geblockt

daher die Idee mit dem Tunnel.
blieni
 
Hallo,

Dies ist eine WAN-Technik, bringt dir zu Hause rein gar nichts.
Also das würde ich so nicht sagen, ganz im Gegenteil. VPN über WLAN ist als Zugangsabsicherung eine gängige Praxis, bei uns im Firmen-WLAN auch so implementiert. Viele Router, auch für den Heimbereich, bieten dieses Feature von Haus aus. In Draytek Routern kann man z.B. den WLAN Zugang so konfigurieren, dass LAN und WAN Access nur über einen zusätzlichen VPN Tunnel möglich ist.

Von daher: Ja, es ist denkbar, den WLAN Zugang einzuschränken und den weiteren Zugang ins LAN nur über VPN zu erlauben. Die Fritzbox bietet diese Möglichkeit aber nicht von Haus aus, und auch mit Modifikationen wird es einigermaßen komplex, das umzusetzen.
 
Hallo Ihr spezialisten :)

ich wollte einen kurzen Zwischenbericht abgeben.

Ich habe meine erste VPN Verbindung mit 2 clients hergestellt laut Punkt 1 aus Post #1

Fremd-Netz Client 251 und Client 252 -->AVM-VPN-->Fritzbox GER

soweit alles gut.

..Aber Warum wurden mir die Rechner (über Wlan) im Heimnetz (Fritzbox GER ) nicht angezeigt ?

Zugriff auf WebUI von Fritzbox (GER ) und Bestätigungen das 251 und 252 über VPN verbunden sind waren sichtbar.

Im Web surfen über die Fremd-Netz IP.

alles wie es soll..aber nun.

DAS ZIEL SOLL SEIN:
CLIENT 251 im Fremd-Netz -->AVM-VPN-->Fritzbox GER--> "Anfrage www mit IP von Fritzbox GER"

Ich habe Punkt 2 also die Änderung der fritzbox_xxxx_dyndns_org.cfg wiefolgt vorgenommen und in die Fritzbox GER geladen:

accesslist = "permit ip any 192.168.191.251 255.255.255.255";
NUR BEI DEM ABSATZ DES CLIENTS 251.
Der Absatz von Client 252 lies ich unverändert

Ich habe Punkt 3 also die Änderung der vpnuser_xxxx_com.cfg wiefolgt vorgenommen und in das AVM Fernzugang-Programm Importiert

accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

Ergebniss:
Client 251 und 252 verbinden sich und bauen einen Tunnel zur Fritzbox GER

Client 251 kommt zur Fritzbox GER kann aber weder über die Fremd-Netz IP noch ...wie eigendlich beabsichtigt über die Heim-Netz( Fritzbox GER ) IP im www surfen!! Was ist falsch ??

Client 252 kommt zur Fritzbox GER und surft über die Fremdnetz IP ..das ist OK.

@Anarch Bruecke oder Bärin und @all
Wo hab ich meinen Fehler gemacht ?

ach ja .. Client 251 = XP und FF Client 252 = Win7 und FF
 
Zuletzt bearbeitet:
Hej blieni!

Deine Konfiguration sieht auf den ersten Blick richtig aus. Was passiert denn, wenn du im Client 251 die originale Konfiguration lässt und nur in der FRITZ!Box die angepasste Konfiguration hast? Kommst du dann vom Client 251 auf die FRITZ!Box?

Wenn ja: Fehlersuche bei der Konfiguration für den Client...
Wenn nein: Fehlersuche bei der Konfiguration für die FRITZ!Box...

Viele Grüße
buecke
 
Danke B(r)uecke :)

hallo @all

client251 , der nicht in die Box soll ..sondern DURCH die FritzboxGER gehen soll, kann ich erst wieder morgen testen....aber WAS kann es sein? cache-speicher? oder irgendwas gespeichertes im Computer?
Die Virtuelle IP( 251 ) in der FB ist ausserhalb des DHCP.

Schaut doch mal bitte in meinem *-cfg's ob ihr was findet.
Irgend ein schalter von NO auf YES oder bei accsess= (anderer code)

oder geht es vielleicht NUR bei 192.168.178.201 ??

Soll ich grössere Adressräume freigeben? 192.168.0.0 255.255.0.0 ??

Müssen in der FB GER Portfreigaben weitergeleitet werden ?

mit allen Originaleinstellungen (von AVN-Fernwartungsprogramm) kommt man halt BIS IN die Box..aber halt nicht DURCH.

client252 mit Originaleinstellungen und modifizierter Boxeinstellung kommt BIS IN die Box..aber nicht DURCH.

client251 mit modifizierten Clienteinstellungen und modifizierter Boxeinstellung kommt auch BIS IN die Box... kann aber im gegensatz zu Client252 nicht mehr im www mit Fern-IP surfen.

somit

"Kommst du dann vom Client 251 auf die FRITZ!Box?" ( das ist Client252 der diesem Aufbau entspricht) = JA

Wenn ja: Fehlersuche bei der Konfiguration für den Client...
Code:
Client251.cfg modifiziert:


targets {
        policies {
                name = "xxxxxxxx.dyndns.org";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.191.251;
                remoteip = 0.0.0.0;
                remotehostname = "xxxxxxxx.dyndns.org";
                localid {
                        user_fqdn = "[email protected]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.191.251;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.191.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
                wakeupremote = no;

..........in Vergleich dazu das Original von AVM Client251.......

targets {
        policies {
                name = "xxxxxxxxx.dyndns.org";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.191.251;
                remoteip = 0.0.0.0;
                remotehostname = "xxxxxxxxx.dyndns.org";
                localid {
                        user_fqdn = "[email protected]";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "xxxxxxxxxxxxxxxxxxxxxxxxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.191.251;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.191.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.191.0 255.255.255.0";
                wakeupremote = no;
        }

...........modifizierte FB GER cfg...........

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.191.251;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xxxxxxxxxxxxxxxxxxxxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.191.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.191.251;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
--------->>accesslist = "permit ip any 192.168.191.251 255.255.255.255";<---------- geändert
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.191.252;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.191.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.191.252;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
--------- >>accesslist = 
                             "permit ip 192.168.191.0 255.255.255.0 192.168.191.252 255.255.255.255";<---------original gelassen da 252
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
 
Zuletzt bearbeitet:
Es wurde hier schon einmal gefragt.
Gibt es eine Möglichkeit den gesamten Internet Traffic über die Fritzbox laufen zu lassen auch mit einem MacBook? über IPSecuritas? (UMTS)
Oder vielleicht einen anderen Client?
 
Hej blieni,

also deine Konfiguration scheint zu stimmen, konnte keinen Fehler entdecken.

Nach deiner Fehlerbeschreibung scheint der VPN-Tunnel vom Client 251 zur deutschen FRITZ!Box richtig zu stehen, deswegen kannst du vermutlich auch nicht mehr über den eigentlichen Internetzugang des Clients ins Netz.

Um eine weitere Fehlerquelle auszuschließen, würde ich jetzt Folgendes ausprobieren:
In der cfg-Datei für die FRITZ!Box komplett die Konfiguration für den zweiten Client 252 heraus nehmen und dann nochmal mit Client 251 probieren.

Viele Grüße
buecke
 
danke buecke ..ich werde es versuchen und gebe bescheid.

blieni
 
kurzes feedback

es funzt..aber man muss die FB stromlos machen und neu booten lassen

habe nix geändert aber einmal stecker raus und einmal stecker rein
 
voipen

Hallo zusammen.

Nachdem ich mit meiner FB 7240 mit neuer FW (73.04.86) endlich mit meinem iPhone und Softphones voipen kann und VPN schon am laufen hatte, versuche ich jetzt mein VoIP-Anschluß auch aus der Ferne zu nutzen.
Auf der Suche nach einer Lösung bin ich auf euer Howto gestoßen, jedoch scheint nicht wirklich der komplette Verkehr über VPN zu laufen, da mein Softphone sich an meiner Fritzbox nicht anmelden kann...

Ich nutze den internen VPN-Client von MacOSX (10.6.4). Eingerichtet nach ANleitung von AVM siehe hier
Wobei ich nur die accesslist auf der FB verändert habe
(accesslist ="permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255","permit ip any 192.168.178.201 255.255.255.255";), da ich keine Möglichkeit habe/kenne diese am Client zu ändern.
Jedoch kann ich trotzdem ohne weiteres Internetseiten über die VPN-Verbindung öffnen, aber meine Softphone kann sich wie schon erwähnt nicht bei der FB anmelden!?

Wie kann ich dem Problem auf die Schliche kommen, bzw. woran kann dies liegen?

Vielen Dank im Voraus!
effeksys
 
wo dran siehst Du, dass Du "ohne weiteres Internetseiten über die VPN-Verbindung öffnen" kannst?

Warum willst Du den gesamten Internetverkehr über das VPN routen? - Das dürfte nicht notwendig sein, nur um den SIP-Registrar der FritzBox nutzen zu können. Allerdings musst Du dafür die interne IP der Fritzbox als Registrar eintragen (weil fritz.box der normale DNS-Server nicht in die interne IP der Fritzbox übersetzen wird. Sie ist normalerweise 192.168.178.1, wenn Du sie nicht geändert hast.)

Gruß,
Pfeffer.
 
Hi pfeffer.

Bei aktiver VPN-Verbindung mit dem kompletten Routing wird in meinen Netzwerkeinstellungen als DNS-Server die IP meiner Fritzbox automatisch eingetragen. Bei http-Aufruf von fritz.box wird der Name auch korrekt aufgelöst und ich komme auf die Oberfläche der Fritzbox.
Wenn ich anderseits das Standard-Routing ("permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255";) aktiviere, lassen sich keine Namen auflösen, geschweige denn Internetseiten öffnen.

P.S. Als Registrar hatte ich sicherheitshalber schon die IP der Fritzbox(192.168.178.1) statt den DNS-Namen eingetragen.

P.P.S. Ich finde die Möglichkeit den kompletten Verkehr über VPN zu routen deswegen interessant: Wenn ich in einem fremden Netzwerk bin, das ich nicht kenne oder mir gar unsicher vorkommt, möchte ich dieses ausschließlich als Tür zu meinem heimischen Netzwerk verwenden. z.B: Schutz vor mitschneiden bei der Nutzung von Onlinebanking

Gruß,
effeksys
 
Bei aktiver VPN-Verbindung mit dem kompletten Routing wird in meinen Netzwerkeinstellungen als DNS-Server die IP meiner Fritzbox automatisch eingetragen. Bei http-Aufruf von fritz.box wird der Name auch korrekt aufgelöst und ich komme auf die Oberfläche der Fritzbox.
Wenn ich anderseits das Standard-Routing ("permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255";) aktiviere, lassen sich keine Namen auflösen, geschweige denn Internetseiten öffnen.

Hej effeksys,

es kann aber genauso gut sein, dass nur die Namensauflösung über deine FRITZ!Box läuft und nicht der eigentliche Internetverkehr. Was sagt denn z.B. www.wieistmeineip.de?

Viele Grüße
buecke
 
Moin Buecke,
ich hab da mal eine kleine Frage bzgl. der Anpassung der Client-CFG:
Wenn ich als VPN-Client ein Notebook nutze, welches immer mal wieder in verschiedenen Netzwerken angemeldet ist, sollte ich dann nicht den Eintrag der accesslist
"deny ip any 192.168.0.0 255.255.255.0"
ändern in:
"deny ip any 192.168.0.0 255.255.0.0" ??

Damit erweitere ich den Adressbereich auf das 'gesamte' Klasse-C-Netz und sollte doch alle 192.168.er-Netze abgedeckt haben.
Die 10er-Netze lasse ich hier mal außen vor.

Danke und beste Grüße
der Anarch..
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.