Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

[Hulper]

Lösung für China

Hallo buecke,

vielen Dank für Deine tolle Anleitung - Du bist jetzt "schuld", dass ich mir eine Fritz-Box gekauft hab ;-)

Was ist mein Problem? Ich lebe derzeit in Peking, China. Dort ist - wie sicherlich gemeinhin bekannt - das Internet stark reglementiert. So kann ich auf viele Webseite nicht oder nur stark eingeschränkt zugreifen. Das gilt z.B. für Zattoo, Youtube, Facebook, Twitter, viele Blogs usw.

Da ich in meiner deutschen Wohnung nach wie vor einen Internetzugang habe, will ich diesen nutzen, um ins Internet zu gehen. Ich könnte natürlich einen Rechner dort laufen lassen und diesen dafür nutzen - aber dann läuft der wochenlang unbeaufsichtigt, und das ist mir zu heikel.

Also habe ich über Weihnachten eine Fritz-Box gekauft und Deine Lösung ausprobiert.

Es klappt zu 80%.
Zattoo z.B. geht, Blog.de auch. Facebook geht aber nicht, der Namen wird zwar aufgelöst, die Seite selbst aber einfach nicht geladen. Youtube geht zu 20%, die Seite wird zwar geladen, der Videostream aber nicht.

Wie kann das sein bzw. was kann ich machen, damit es funktioniert?

1000 Dank schonmal vorab und viele Grüße,

Markus.

 

[buecke]

Aber: Werden jetzt wirklich alle Internetanfragen über das VPN geleitet - wie sieht es bspw. mit DNS-Anfragen aus?

Warum wird mir bei Vertippern (http://www.xyxyxyxyxyxyxy.de/) weiterhin die Fehlerseite des WLANs (Kabel Deutschland) und nicht die von meinem Provider (T-Online) angezeigt?

DNS-Anfragen werden NICHT durch das VPN geleitet, da die entfernte FRITZ!Box nicht als DNS-Server verwendet werden kann (oder doch?). Ansonsten wird alles andere durch den VPN geroutet.

Viele Grüße
buecke

 

[buecke]

Es klappt zu 80%.
Zattoo z.B. geht, Blog.de auch. Facebook geht aber nicht, der Namen wird zwar aufgelöst, die Seite selbst aber einfach nicht geladen. Youtube geht zu 20%, die Seite wird zwar geladen, der Videostream aber nicht.

Wie kann das sein bzw. was kann ich machen, damit es funktioniert?

Sorry, ich habe keine Ahnung, woran das liegen könnte. Bei meiner Konfiguration konnte ich bislang keine Einschränkungen feststellen.
Müsstest mal ein paar mehr Informationen über deine Konfigaration posten (u.a. deine accesslists).

Viele Grüße
buecke

 

[M3CSL]

DNS-Anfragen werden NICHT durch das VPN geleitet, da die entfernte FRITZ!Box nicht als DNS-Server verwendet werden kann. Ansonsten wird alles andere durch den VPN geroutet.

Ok, das heißt der Betreiber des Netzes in dem ich als Client bin kann sehen auf welche Seiten ich zugreife, oder? Kann ich nicht einen DNS-Server im Internet verwenden, so dass die Anfragen dahin übers VPN laufen?

Thx & CU

 

[buecke]

Ok, das heißt der Betreiber des Netzes in dem ich als Client bin kann sehen auf welche Seiten ich zugreife, oder? Kann ich nicht einen DNS-Server im Internet verwenden, so dass die Anfragen dahin übers VPN laufen?

Ja, du nutzt den DNS-Server deines Providers, den der Client-PC als Anbindung nutzt. Natürlich kannst du einen x-beliebigen anderen DNS-Server verwenden und auf deinem Client-PC eintragen, aber dieser Datenverkehr läuft unverschlüsselt!

Probiere mal folgende accesslist im FRITZ!Fernzugang:

accesslist = "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

Wo landen nun die DNS-Anfragen?

EDIT: Kann so nicht funktionieren. Wenn du nun aber die lokale IP-Adresse deiner FRITZ!Box (z.B. 192.168.178.1) als DNS-Server auf deinem Client-PC einträgst und die Verbindung zur FRITZ!Box über deren externe IP aufbaust, kannst du die FRITZ!Box als DNS-Server verwenden.

Viele Grüße
buecke

 

[Hulper]

Hallo Buecke,

Müsstest mal ein paar mehr Informationen über deine Konfigaration posten (u.a. deine accesslists).

et voila:

fritzbox_*.cfg:

accesslist = "permit ip any 192.168.9.201 255.255.255.255";

User.cfg:

accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

Grüße, M.

 

[pfeffer]

zumindest mit Shrew kann man es so einrichten, dass als DNS-Server automatisch die FritzBox verwendet wird. Dazu einfach bei der Konfiguration von Shrew in dem Reiter "Name Resolution" die lokale IP der FritzBox eintragen.

Mit Deiner Einstellung in der User.cfg für FritzFernzugang geht es natürlich nicht "reject udp any any eq 53" bedeutet explizit, dass kein DNS durch die VPN-Verbindung geschickt werden soll.

Gruß,
Pfeffer.

 

[buecke]

et voila

Hej Hulper,

deine Konfiguration sieht komplett richtig aus, daher sollte eigentlich alles ohne Einschränkung funktionieren. Vielleicht gab/gibt es ja ein Problem mit dem Internetzugang der FRITZ!Box?

Noch ein anderer Hinweis bzgl. der DNS-Auflösung; du hast vielleicht auch die letzten, anderen Beiträge in diesem Thread gelesen. Denk bitte daran, dass dein chinesischer Provider deine DNS-Anfragen evtl. loggt und auswertet. Um anonym zu surfen, gibt es vermutlich bessere Lösungen als diese. Ich habe in der Anleitung auf der ersten Seite nun auch einen entsprechenden Hinweis angebracht.

Viele Grüße
buecke

 

[M3CSL]

[Edit frank_m24: Sinnfreies Vollzitat gelöscht, siehe Forumregeln.]

Danke, wie ich erst jetzt bemerkt habe, ist der DNS-Server ja keine IP im lokalen Hotspot, sondern eine im Internet. Aber auch wenn ich die lokale IP-Adresse meiner FRITZ!Box verwende, bekomme ich keine T-Com Fehlerseite. Ist aber damit für mich erledigt.

CU

 

[Hulper]

Moin,

zumindest mit Shrew kann man es so einrichten, dass als DNS-Server automatisch die FritzBox verwendet wird. Dazu einfach bei der Konfiguration von Shrew in dem Reiter "Name Resolution" die lokale IP der FritzBox eintragen.

also dank Deines Tips funiert das jetzt.

Danke!
Aber: Für den "route add" braucht man leider Adminrechte und das finde ich nicht so toll.
Hab es auch mit dem Tool "cpau" probiert, kriege es trotzdem nicht hin. Lasse ich cpau den Admin-Account nutzen, klappt's mit dem route add, aber die route wird falsch gesetzt. Lasse ich es mit dem Admin-Account und User-Profil nutzen, schlägt route add wieder fehl (Der Netzwerkzugriff wurde verweigert).

Wie kann ich "route add" ohne Admin-Rechte ausprobieren?

Mit Deiner Einstellung in der User.cfg für FritzFernzugang geht es natürlich nicht "reject udp any any eq 53" bedeutet explizit, dass kein DNS durch die VPN-Verbindung geschickt werden soll.

Was meinst Du damit? Diesen Befehl entdecke ich in keiner meiner CFGs. Wo soll der genau drin sein?

Grüße, Markus.

 

[tomdirac]

Hallo Hulper, lebe auch in Peking - für mich hat die Lösung mit FritzFernzugang nicht funktioniert - stattdessen habe ich openvpn auf der fritzbox installiert - bin sehr zufrieden mit der Lösung.

siehe: http://www.ip-phone-forum.de/showthread.php?t=200026

Gruß
thomdirac

[Edit frank_m24: Sinnfreies Vollzitat gelöscht, siehe Forumregeln.]

 

[Hulper]

jetzt klappts ;-)

Nahmd (hier ist es bereits 23:15 *g*),

ich hab's nu hinbekommen. Der Schalter "-lwp" hat gefehlt, damit geht es jetzt.

Der Befehl sieht dann wie folgt aus:

cpau -u Administrator -p Admin-PASSWORT -ex "route add %IP% mask 255.255.255.255 %r%" -lwp

und

cpau -u Administrator -p Admin-PASSWORT -ex "route delete %IP% mask 255.255.255.255 %r%" -lwp

Diese Zeilen ersetzen die jeweiligen Zeilen in der "setroutes.bat". Das CPAU kann man kostenlos im Internet runterladen:
http://www.joeware.net/freetools/tools/cpau/index.htm

@tomdirac:
Danke für den Tip. Aber das es im Moment läuft, habe ich grad keinen Bedarf weiter zu experimentieren. Aber gut zu wissen, wenn es mal nicht mehr funiert.

Grüße, Markus (科马克)

 

[derchris]

Hat einer eine Idee wie ich mit der FB 7390 den ganzen VPN Traffik meines iPhones ins Internet routen kann? Komme mit dem iPhone nur auf fritz.box.

 

[banzer]

iPhone

Hallo zusammen,
ich hab das gleiche Problem wie mein Vorgänger, in bin iPhone Nutzer und da kann man leider die VPN Confic nicht selbst anpassen.
Hat diesbzgl. jemand eine Idee? Kann man das Prob. über die FritzBox selbst lösen? Wäre echt über jeden Tipp dankbar.

 

[hoppala00]

ich hab 2 fritzboxen, verbindung zwischen boxen ist über VPN

Kompletten Internetverkehr über AVM VPN routen ist gut und funktioniert aber bei mir funktioniert VOIP nicht.

gibt es ein trick dafür
danke

 

[panaef]

Zugriff für mehere Clients

Hallo,

Ich bin neu hier und habe mit Interesse und Freude diesen thread verfolgt.
Zunächst mal vielen Dank für diese super Anleitung.
Ich wohne im Ausland und will den Interent-Verkehr über eine Firtz Box in der Schweiz routen. Dank der Anleitung am Anfang dieses Thread klappt das prima für einen Client.

Kann ich auch mit mehreren Clients im selben remote Netz gleichzeitig den Internet Verkehr über die lokale Box tunneln?
Ich habe versucht mit dem AVM Konfigurations-Tool einfach eine zusätzliche Konfiguration zu erstellen, aber es generiert mir dann wieder ein neues conf File für die Box.
Ich bin da leider kein Experte, aber wenn ich mir das conf File für die Box anschaue, dann sehe ich dort 2 Einträge, die die IP-Adresse des remote Client darstellen (mein lokales Netzt ist 192.168.1.x, remote Netz 192.168.2.x):

remote_virtualip = 192.168.1.201;
phase2remoteid {ipaddr = 192.168.1.201;}

sowie die modifiziert access list Zeile gemnäss Anleitung:

accesslist = "permit ip 192.168.1.0 255.255.255.0 192.168.1.201 255.255.255.255";

Wenn ich jetzt mehere Clients gleichzeitig zugreiffen lassen möchte (i.e. 192.168.1.201 - 209), wie kann ich das machen?
Kann man anstelle einer einzelnen remote Adresse einen ganzen Bereich angeben?

Gruss

panaef

 

[buecke]

Wenn ich jetzt mehere Clients gleichzeitig zugreiffen lassen möchte (i.e. 192.168.1.201 - 209), wie kann ich das machen?
Kann man anstelle einer einzelnen remote Adresse einen ganzen Bereich angeben?

Das Einfachste wird sein, für jeden Client eine eigene Konfiguration mit unterschiedlichen IPs anzulegen.

Viele Grüße
buecke

 

[panaef]

[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]
Hall buecke,

Vielen Dank.
Das hatte ich mir auch so gedacht.
Kann ich die Konfigurationen mit dem Fritz Connection Tool genrieren oder ist es besser wenn ich das conf-File entsprechend editiere?
Welche Einträge im müsste ich dann anpassen?

Gruss

panaef

 

[eisbaerin]

Ich würde die grobe Konfig mit dem Tool machen, da passieren weniger Fehler und es geht auch schneller.
Dann hinterher die Konf wie oben beschrieben abändern.

 

[panaef]

einbaerin, welche Einträge muss ich ändern?
ich bin leider ein Greenhorn hier.
gibt es irgendwo eine Beschreibung was diese Enträge remote_virtualip, phase2remoteid etc. bedeuten?
oder soll ich einfach für den zweiten Client alle 192.168.1.201 auf 192.168.1.202 abändern etc.?