Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

[buecke]

Hej t-master!

Hast du denn jemals eine funktionierende VPN-Verbindung ohne die in dieser Anleitung beschriebenen Anpassungen hinbekommen?

Viele Grüße
buecke

 

[t-master]

Hi
ich dachte ja, aber ich lag wohl falsch:
Das Fernzugang-Tool sagt mir, dass die Verbindung aufgebaut wurde, aber anscheinend wurde bei dem Wlan von wo aus ich das getestet habe Port 500 geblockt (oder die anderen für VPN benötigten Ports, mit meinem Ipod Touch bekam ich z.B. garkeine Verbindung, obwohl VPN + Internet dort schon funktioniert hat).
Ich werd also die Tage mal einen meiner Nachbarn fragen ob ich kurz deren Wlan zum testen missbrauchen darf.

Gruß
Tobias

PS: gibts eigentlich eine Möglichkeit, VPN-Verbindungen über andere Ports aufzubauen? Ich hab in letzter Zeit leider des öfteren bemerkt, dass öffentliche Wlans die VPN-Ports sperren

 

[xatru]

Hallo,

obwohl ich jetzt den ganzen Beitrag gelesen habe und auch schon seit Studen rumprobiere komme ich leider nicht weiter. Sinn und Zweck meiner VPN-Verbindung ist es von beliebigen Plätzen aus über meine Fritzbox 7390 surfen zu können.

Das Netzwerk sieht folgendermaßen aus:

IP: 192.168.24.xxx
Netmask: 255.255.255.0
Gateway: 192.168.24.254 (die FritzBox)
DNS: 192.168.24.150 
Wins: 192.168.24.150

DNS und Wins verweisen auf einen Windows-Server (der wiederum als DNS-Einträge die Google-DNS-Server [8.8.4.4 & 8.8.8.8] verwendet). Natürlich sollten die Rechner im LAN weiterhin untereinander erreichbar sein und auch in's Internet können (IPs von 192.168.24.1 - 192.168.24.100). Die Box bekommt meist IP's in der Range: 88.64.x.x. Die VPN-IP ist die 192.168.24.140

Alle Konfigurationen die ich bisher verwendet habe, waren leider erfolglos

Ich hoffe die Community hier kann mir weiterhelfen.

 

[buecke]

Hej xatru!

Auch hier die Frage: Hast du jemals eine funktionierende VPN-Verbindung ohne die in dieser Anleitung beschriebenen Anpassungen hinbekommen? Ansonsten wäre es noch hilfreich, wenn du deine cfg-Dateien postest...

Viele Grüße
buecke

 

[xatru]

Hallo,

jein - eine funktionierende Verbindung konnte bisher mit Shrew nicht aufgebaut werden. Mit den AVM eigenen Tools unter Windows klappt das aber völlig Problemlos (natürlich mit einem anderen Benutzer).Ein Windows (bzw. das Notebook mit Windows) habe ich nur leider sehr selten dabei, meistens das Netbook mit Ubuntu. Sobald (laut Shrew) der Verbindungsaufbau vollständig ist und ich versuche einen Rechner oder die Box zu pingen bricht das ganze mit "gateway not found" wieder ab. Wenn ich die Anleitungen hier richtig verstehe, muss ich auch wissen welche IP-Adresse der Rechner bzw. das LAN hat von welchem ich die VPN-Verbindung aufbauen will, oder liege ich da falsch? Das weiß ich im vorhinein aber leider nicht, da vieles Firmennetzwerke oder öffentliche WLANs sind. Die Firewalls in diesen Netzen lassen aber immer eine VPN-Verbindung zu, zumindest die in den Firmennetzwerken sind speziell nur dafür eingerichtet worden.

Das Config-File habe ich entsprechend der Anleitung von AVM angepasst:

/*
 * C:\Users\xatru.MIDKEMIA\AppData\Roaming\AVM\FRITZ!Fernzugang\xatru_dyndns_org\fritzbox_xatru_dyndns_org.cfg
 * Wed Jul 06 00:13:32 2011
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.24.140;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "<xxxxxx>";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.24.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.24.140;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "?";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

In accesslist habe ich bereits alle möglichen Kombinationen die irgendeinen Sinn ergeben versucht - leider alles ohne erfolg

 

[buecke]

Hej!

Die von dir gepostete cfg-Datei ist für die FRITZ!Box, richtig? Da muss es wie folgt lauten:

accesslist = "permit ip any 192.168.24.140 255.255.255.255";

Wie sieht die cfg-Datei für den FRITZ!Fernzugang aus? Oder versuchst du es ausschließlich über Shrew? Mit Shrew ist es nämlich nicht so einfach...

Viele Grüße
buecke

 

[xatru]

Hallo zusammen,

der Verbindungsaufbau klappt nun nach den von buecke gemachten Änderungen problemlos. FritzBox und Server im LAN sind erreichbar, alle Dieste drauf (ping, Nameserver, WebDienste, VNC) sind nutzbar. Auch werden Anfragen wie:

xatru@netbook:~$ nslookup
> server 192.168.24.150
Default server: 192.168.24.150
Address: 192.168.24.150#53
> google.de
...

Korrekt beantwortet. Pings auf z.B. google.de gehen auch durch (was ja auch ohne die VPN-Verbindung möglich ist), alles andere Streikt aber. Das Netz von dem aus ich das gerade Probiere (also die VPN-Verbindung aufgebaut habe) lässt zwar VPN-Tunnel und noch ein bisschen mehr (wie Ping) zu, HTTP-Verbindungen aber nicht. Ich vermute fast das etwas in der Routing-Tabelle noch nicht stimmt. Die sieht nach erfolgreichem Verbindungsaufbau so aus:

xatru@netbook:~$ route -n
Kernel-IP-Routentabelle
Ziel               Router              Genmask          Flags Metric Ref Use Iface
192.168.24.0  192.168.24.140  255.255.255.0   UG    0        0   0     tap0
192.168.24.0  0.0.0.0             255.255.255.0    U     0        0   0     tap0
10.10.0.0       0.0.0.0             255.255.128.0    U     2        0   0     eth1
169.254.0.0    0.0.0.0             255.255.0.0       U     1000   0   0     eth1
0.0.0.0           10.10.0.1         0.0.0.0              UG   0        0   0     eth1

eth1 ist das WLAN-Interface mit einer IP: 10.10.102.253.

Ich hoffe ihr könnt mir weiterhelfen.

 

[buecke]

Hej!

Du verwendest offenbar Linux und damit nicht die FRITZ!Fernzugang-Software. Schau mal in diesen Thread: http://www.ip-phone-forum.de/showthread.php?p=1432149 Vielleicht hilft er dir weiter...

Viele Grüße
buecke

 

[anonym1970]

Moin,

bei mir zerschießt das Hochladen der veränderten Config das Internet im Netzwerk der Fritzbox.

Vorgehen:
- VPN funktioniert einwandfrei
- verändern der Fritzbox-VPN-Config [ accesslist = "deny ip any 192.168.0.0 255.255.255.0", "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any"; ]
- Importieren der Config in die Fritzbox

Was passiert
- Import funktioniert einwandfrei
- Fritzbox ist von außen nicht mehr erreichbar
- Rechner im LAN der Fritzbox kommen nicht mehr ins Internet
- Fritzbox sagt, sie hätte noch Internet, aber beispielsweise der dynamische DNS-Dienst kommt auch nicht mehr nach außen
- VPN kann ich logischerweise gar nicht erst wieder aufbauen, weil ja kein Internet da ist

Erst wenn ich die VPN-Verbindung wieder deaktiviere (in der Liste auf der Fritzbox) ist der Internetzugriff wieder da.

Was mache ich falsch?

Fritzbox 7390
Firmware-Version 84.04.91

Konfiguration sieht so aus:

/*
 * C:\Pfad\zur\Config
 * Thu Jul 14 17:18:00 2011
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "[email protected]";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.100.201;
                remoteid {
                        user_fqdn = "[email protected]";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "key";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.100.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "deny ip any 192.168.0.0 255.255.255.0", "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

 

[frank_m24]

Woher hast du die accesslist? Da drin steht "deny ip any" und "reject udp any any eq 53". Kein Zugriff auf irgendeine IP und kompletter Block von DNS. Gründlicher kann man sich vom Internet nicht aussperren.

 

[anonym1970]

Jo, beim Überfliegen dachte ich das auch. Aber da das im Eingangspost steht, dachte ich, das hätte so seine Richtigkeit (edit: und würde von "permit ip any any" evtl überschrieben)

• CFG-Datei des FRITZ!Fernzugang anpassen (neue, einfachere Version dank User "DerLanWan")
  • 
    Bestehende Zeile durch folgende austauschen:
    

    accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

  
  

  • 
    Wenn der PC in einem LAN hängt, muss man folgende Zeile verwenden:
    

    accesslist = "deny ip any [COLOR="Red"]192.168.0.0 255.255.255.0[/COLOR]", "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

    Erläuterung: 192.168.0.0 255.255.255.0 ist das Subnet des LAN, an das der PC angeschlossen ist.
  • 
    Im FRITZ!Fernzugang die alte VPN-Konfiguration löschen und die angepasste Version importieren.

 

[buecke]

Hej!

Lies bitte die Anleitung noch einmal genau durch! Du hast offenbar die Konfiguration für den PC in die FRITZ!Box geladen...

Viele Grüße
buecke

 

[anonym1970]

Ah. Wer lesen kann ... Hab vielen Dank, da war ich etwas oberflächlich.

 

[xidadesign]

in der Konfiguration für fritz fernzugang soll man ja schreiben:
"reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500"

Jetzt ma ne blöde Frage:
Bedeutet das nicht, dass udp nicht durch das vpn geleitet wird?
Ich würde nämlich gerne mit nem Softphone (Phonerlite) auf den SIP Server der fritzbox über das VPN zugreifen. Das scheint mit den in diesem Thread beschriebenen Änderungen nicht zu funktionieren.

 

[buecke]

Nur die Ports 500 und 4500 (für die VPN-Verbindung selbst) werden ausgeschlossen, alles andere sollte über den VPN laufen.

Viele Grüße
buecke

 

[.Sun]

Ich habe schon mehrfach mein Problem geschildert, allerdings ging es da in Kombination mit Umts. Letztens habe ich festgestellt, dass ich meine FB nicht anpingen kann vor sowohl als auch nach dem Traffic-Mod. Muss ich noch irgendein Port weiterleiten/freigeben?
Jedesmal wird meine ein erfolgreiches Vpn angezeigt (Fritz!Fernzugang bzw auf der Fritzbox selber).

 

[Olliberlin]

Nur ein PC innerhalb des Remotenetzes?

Hallo,

ich wurde vom Freetzbereich hierhergeleitet und das hats voll gebracht. Habe zwei Fritzboxen an unterschiedlichen Orten und hatte vorher schon das VPN eingerichtet, so dass es funktionierte, dass ich die internen Adressen sah und wollte nun auch das Surfen über VPN. Also kontaktierte ich AVM und die sagten geht nicht, dann bin ich also hier gelandet und es war dann tatsächlich nur die eine Zeile der accesslist der clientbox, die geändert werden musste, und nun können alle Geräte die sich an der Clientbox anmelden, direkt ohne weitere Einstellungen an den Geräten über das VPN über die andere Box ins Netz.


Nun kommt das Aber, und wieso ich nach unzähligen Versuchen hier doch auch ein Posting aufmache: Ich möchte dass nur ein Client an der Clientbox über VPN getunnelt wird...und ich hab fast alles durchprobiert bei der accesslist der clientbox, aber immer wurden alle durchgeleitet oder nichts ging mehr.
Daher hier mal meine beiden cfgs, mit denen alle getunnelt werden.

hostfritze 7270

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "7140.hopto.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "7140.hopto.org";
                localid {
                        fqdn = "7270.hopto.org";
                }
                remoteid {
                        fqdn = "7140.hopto.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "*";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.120.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.120.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

clientfritze 7140

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "7270.hopto.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "7270.hopto.org";
                localid {
                        fqdn = "7140.hopto.org";
                }
                remoteid {
                        fqdn = "7270.hopto.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "ee";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.120.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

So damit geht alles über den VPN Tunnel. Vielleicht nochmal zur Aufschlüsselung
Hostfritz 7270 192.168.100.1
clientfritz 7140 192.168.120.1

Und nun hab ich hier ein Clienten mit fester IP 192.168.120.20 und nur dieser soll diesen Tunnel nutzen und bei ihm besteht keine Möglichkeit irgendein Clienttool zu installieren oder ähnliches, sprich es müsste eine Anpassung der cfg (ich gehe mal von aus nur an der clientfritz) sein.

Ansonsten was ich nocht mitteilen wollte, scheint es wohl egal zu sein, welchen Host man in der hostcfg für den client einträgt, denn ich habe die clientdyndns Adresse schon lange nicht mehr geupdatet, die IPs sind definitiv anders, aber ich kriege trotzdem immer eine Verbindung, es scheint also das richtige passwort das ausreichende zu sein...

Vielen Dank schonmal im Voraus für die Hilfe
OB

 

[buecke]

Hej!

Mit folgender accesslist-Zeile in der Client-FRITZ!Box sollte es gehen:

accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip 192.168.120.20 255.255.255.255 any";

Wenn alle Clients der Client-FRITZ!Box auch noch auf das lokale Netz der Remote-FRITZ!Box Zugriff haben sollen, sollte es mit folgender Zeile funktionieren:

accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip 192.168.120.20 255.255.255.255 any", "permit ip 192.168.120.0 255.255.255.0 192.168.100.0 255.255.255.0";

Viele Grüße
buecke

 

[Olliberlin]

Hi buecke,

danke, vielen Dank. Das klappt wunderbar. Schön, dass es Leute gibt, die mehr Ahnung von der Materie haben als der AVM-Support.

Thx OB

 

[eriwan1]

mit FB-Spanien über FB-Deutschland rtlnow schauen (also deutsche ip)

Hallo alle
hab hier schon alles gelesen aber bekomme es nicht hin:
die situation:
bin hier in spanien mit fb und will über meine fb in deutschland rtlnow filme sehen.
normales vpn funzt prima (auf lokale ips in deutschland zugreifen kein problem)
aber halt filme von z.b. rtlnow gehen nicht der sagt immer ich muss in deutschland sein.
wer kann helfe.