OpenVpn mit 2 Fritzboxen!

deify

Neuer User
Mitglied seit
18 Jan 2011
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
Hi liebes Forum!

Ich habe hier mal eine allgemeine Verständnisfrage! Und zwar sitze ich hier im Moment in meinem Universitätsnetzwerk in dem generell alle UDP-Verbindungen blockiert werden. Da kam mir die Idee meine alte Fritzbox 7170 mit einem openvn-server auszustatten. Die Pakete sind erfplgreich installiert und die box läuft auch stabil nachdem ich tr069 entfernt habe.

Ich wollte mich mal über die genau konfiguration informieren. In meinem Fall habe ich eine Fritzbox 7390 als Hauptrouter in meinem Heimnetzwerk, hier würde ich jetzt einfach die 7170 als Server direkt anklemmen und eine portweiterleitung von der 7390 auf den entsprechenden port der 7170 machen, oder?

Läuft die Verbindung mit Static Key ohne weiteres wenn ich den Server über TCP betreibe? Die Möglichkeit die in der FAQ beschrieben ist mit portfreigabe auf die eigene box wird leider nicht klappen, aus mir unverständlichen Gründen ist die Portfreigabe im AVM webif ausgegraut ):


Bin ich auf dem richtigen weg? ich würde mich sehr über konstruktive Kritik freuen!


mfg deify
 
Also, die "Serverbox" muss (und kann) nur dann eine Weiterleitung auf sich selbst machen, wenn sie auch selbst die Verbindung ins Internet herstellt. Nur auf der Internetschnittstelle sind eingehende Verbindungen "verboten", solange keine solche Regel da ist. Im LAN muss/kann man das nicht. Da reicht die Weiterleitung der 7390 auf die 7170, die Verbindungen dann (im LAN) direkt annimmt.

Du solltest aber im Hinterkopf haben, dass meist in einem Netz "generell blockierte" Verbindungen von den Netzwerk-Verantwortlichen schon mit Absicht so gesperrt sind. Das "Umgehen" solcher Sperren könnte durchaus ernste Konsequenzen haben.
 
Danke für die Antwort! Das System steht jetzt soweit! Ich komme auch mit dem OpenVPN-Clienten auf den Server, eigentlich problemlos... aber ich kann das andere netzwerk nicht anpingen und von einem ip wechsel merke ich auch nicht! (;

LZO ist auf beiden Seiten Aktiv, ich verwende TCP als Protokoll...

Ich habe die Vermutung es hängt mit dem routing der ipadressen zusammen, wobei nichtmal eine Fehlermeldung beim verbinden auftritt!

Wie muss ich die client/server config machen wenn ich den oben beschriebenen Aufbau vorliegen habe?
Im Moment bin ich mir nicht im klaren wie ich die Verbindung genau definieren muss dass ich ins Netzwerk rein komme!


EDIT:
Ok es funktioniert!... ich hatte die Client und SeverIP in der config vertauscht!

EDIT2:
Also ich habe jetzt einen Ping zum VPN-Server! allerdings kann ich die anderen Geräte im Netz nicht anpingen! Und ich würde auch gerne meinen kompletten Traffic über diesen tunnel laufen lassen können! wie bekomme ich das zustande?
 
Zuletzt bearbeitet:
Das eine ist vermutlich Routing: Die Geräte im Netz müssen auch zur "VPN-IP" kommen. Vermutlich fehlt die Route vom Default-Gateway zur VPN-Box für das VPN Netz.

Dein zweiter Punkt sollte damit auch erledigt sein, wenn die Default-Route auf den VPN-Server zeigt (selbst eingetragen oder per "redirect-gateway").
 
Hi Max,

das habe ich bereits probiert. Ich habe an der "Internet-Box" eine Route für die VPN-Box angelegt.

In der Form:

172.16.0.0
255.155.0.0
172.16.178.9

Die Subnetmask ist tatsächlich so konfiguriert. die untere ip entspricht dem VPN-Server.

Sobald ich das mache ist die VPN-Box nichtmehr nach außen erreichbar! wieso das?


EDIT:
So sieht meine clientconfig im Moment aus:
remote mydyndns.org

proto tcp-client
dev tun
dev-node openvpn

redirect-gateway
route 172.16.0.0 255.255.0.0

ifconfig 172.16.178.10 172.16.178.9
secret "...\\fritzbox.key"
tun-mtu 1500
float
mssfix
nobind
verb 3
keepalive 10 120

comp-lzo

172.17.178.9 ist der VPN-Server

das sind die settings in freetz:

ovpn.png


mfg deify
 
Zuletzt bearbeitet:
Hm, wo sind denn welche Netze?

172.16.0.0/16 schickt die "Internet-Box zur "VPN-Box" und der VPN-Client schickt es durch das VPN?!?
Auch ist 255.155.0.0 keine gültige Netzwerkmaske...

Eigentlich müsste das Defaultgateway eigentlich nur die VPN-IP des Clients (172.16.178.10) oder das gesamte Transfernetz zur VPN-Box routen; das ganze 172.16.-er Netz könnte "zu viel" sein ;-)
 
Hi!
Also hier am PC habe ich eine 141.xx.xx.69 adresse. Das Heimnetz ist aufgebaut mit 172.16.0.0 und 255.255.0.0 (155 war natürlich vertippt sry)

d.h. ich schicke in der Internetbox nur 172.16.178.10 mit dem subnet 255.255.0.0 an den gateway 172.16.178.9?

ich denke ich habe das bereits einmal probiert! dann liegt der fehler wohl an der serverkonfiguration! Was muss ich am server denn genau einstellen? spielt die Ip-Adresse von hier denn eine rolle?


mfg
deify
 
Also, die IPs des VPN sollten sich schon von denen des LAN unterscheiden (zumindest, wenn du nicht weitere Änderungen wie Bridging machst).
172.16.0.0/16 (Netzmaske 255.255.0.0) umfasst alle IPs von 172.16.0.1 bis 172.16.255.254 und damit auch 172.16.178.xx.
Das ist zwar prinzipiell möglich, aber zumindest "sehr unschön".
Brauchst du denn wirklich so ein großes Netz?
Es ginge z.B. prima mit einem LAN 172.16.0.0/24 (also Netzmaske 255.255.255.0) und einem "VPN-Netz" 172.16.178.0/24.

Um nur eine IP zu routen (z.B. nur 172.16.178.10) müsstest du die Netzmask 255.255.255.255 angeben.
 
Ok ich verstehe! Habeg erade mal via ssh nachgeschaut und natürlich sind die ips gleich...

für den reinen zugriff ins netzwerk würde ein 255.255.255.0 subnet locker reichen :) ich dachte ich muss die einstellungen 1zu1 übernehmen! SRY! :)

Geben ich für den tun0 einfach in der openvpncfg eine andere ip an? dann muss ich doch aber auch die route auf diese ip legen oder? :) z.b. 10.0.0.1 für den server selbst (so habe ich es zumindest in einigen anderen konfigurationen gesehen)
 
Klar, ein anderer IP-Bereich geht auch. 10-er IPs gehen, oder auch 192.168.x.-Netze.

Muss dann aber in Server- und Client-Konfig geändert werden und die "Internetbox" muss dann dieses Netz (oder zumindest die IP des VPN-Clients) zur VPN-Server-Box schicken.
 
Also ich habe jetzt folgende clientkonfiguration:
remote mydyndns.org

proto tcp-client
dev tun
dev-node openvpn

redirect-gateway def1

ifconfig 192.168.2.2 192.168.2.1
secret "...\\fritzbox.key"
tun-mtu 1500
float
mssfix
nobind
verb 3
keepalive 10 120

comp-lzo

Der Server ist so eingestellt:
ovpn.png

in der Internet-box ist folgende Route:
192.168.2.0 255.255.255.0 172.16.178.9

die portweiterleitung für den vpn geht weiterhin auf das lan0 device also 172.16.178.9


in dieser konfiguration ist es mir nicht möglich einen ping auzuführen. Bin ich total auf dem Holzpfad? Kannst du mir eine beispielcfg an hand dieser werte geben? ich denke ich stelle einfach einige sachen falsch ein


mfg deify
 
Also ist die IP 172.16.178.9 die LAN-IP der FB?!?
Als IP für die Weiterleitung und das Routing müsste die LAN-IP der VPN-Box angegeben werden.
Wird denn das VPN aufgebaut? Erster Test wäre ein Ping vom Client auf den Server per 192.168.2.1.

Blöde Nachfrage zur Sicherheit: Auf der Box wurden die Änderungen auch "übernommen"?
 
Also das lan0 der VPN-Box ist 172.16.178.9 der Server Selbst ist 192.168.2.1
Wie du oben siehst ist das routing auf diese lanip gerichtet. (denke ich zumindest :) ) die portweiterleitung geht auch immernoch auf diese ipadresse.
Ein Ping auf den VPN/dielanip ist im gegensatz zu der alten konfiguration nichtmehr möglich
 
Was sagt das Log beim Client zum Verbindungsaufbau? Kann es sein, dass der die "alte" IP weiter nutzt? Wenn es Windows-Client ist, mache für das Interface mal ein "ipconfig /release" vor dem nächsten Start.

Vista/Win7 mögen übrigens auch

route-method exe
route-delay 2

in der Konfig.
 
Zuletzt bearbeitet:
Wed Nov 14 12:24:20 2012 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul 1 2011
Wed Nov 14 12:24:20 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Nov 14 12:24:20 2012 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Nov 14 12:24:20 2012 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 14 12:24:20 2012 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Nov 14 12:24:20 2012 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 14 12:24:20 2012 LZO compression initialized
Wed Nov 14 12:24:22 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Nov 14 12:24:22 2012 ROUTE default_gateway=141.24.55.254
Wed Nov 14 12:24:22 2012 TAP-WIN32 device [openvpn] opened: \\.\Global\{9E026671-5A01-4DA6-A857-D7740BB136F6}.tap
Wed Nov 14 12:24:22 2012 TAP-Win32 Driver Version 9.8
Wed Nov 14 12:24:22 2012 TAP-Win32 MTU=1500
Wed Nov 14 12:24:22 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.2.2/255.255.255.252 on interface {9E026671-5A01-4DA6-A857-D7740BB136F6} [DHCP-serv: 192.168.2.1, lease-time: 31536000]
Wed Nov 14 12:24:22 2012 Successful ARP Flush on interface [31] {9E026671-5A01-4DA6-A857-D7740BB136F6}
Wed Nov 14 12:24:22 2012 Data Channel MTU parms [ L:1547 D:1450 EF:47 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Nov 14 12:24:22 2012 Local Options hash (VER=V4): 'c1e7a98b'
Wed Nov 14 12:24:22 2012 Expected Remote Options hash (VER=V4): '13abacb5'
Wed Nov 14 12:24:22 2012 Attempting to establish TCP connection with xx.xx.xx.xx:1194
Wed Nov 14 12:24:22 2012 TCP connection established with xx.xx.xx.xx:1194
Wed Nov 14 12:24:22 2012 TCPv4_CLIENT link local: [undef]
Wed Nov 14 12:24:22 2012 TCPv4_CLIENT link remote: xx.xx.xx.xx:1194
Wed Nov 14 12:24:23 2012 Peer Connection Initiated with xx.xx.xx.xx:1194
Wed Nov 14 12:24:29 2012 TEST ROUTES: 1/1 succeeded len=0 ret=1 a=0 u/d=up
Wed Nov 14 12:24:29 2012 C:\WINDOWS\system32\route.exe ADD xx.xx.xx.xx MASK 255.255.255.255 141.xx.xx.xx
Wed Nov 14 12:24:29 2012 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Wed Nov 14 12:24:29 2012 Route addition via IPAPI succeeded [adaptive]
Wed Nov 14 12:24:29 2012 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 192.168.2.1
Wed Nov 14 12:24:29 2012 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Wed Nov 14 12:24:29 2012 Route addition via IPAPI succeeded [adaptive]
Wed Nov 14 12:24:29 2012 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 192.168.2.1
Wed Nov 14 12:24:29 2012 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Wed Nov 14 12:24:29 2012 Route addition via IPAPI succeeded [adaptive]
Wed Nov 14 12:24:29 2012 Initialization Sequence Completed

denke das log sieht eigentlich vernünftig aus oder?


EDIT:

Hier das log nach den beiden zusätzlichen cmds
Wed Nov 14 12:29:00 2012 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul 1 2011
Wed Nov 14 12:29:00 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Nov 14 12:29:00 2012 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Nov 14 12:29:00 2012 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 14 12:29:00 2012 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Nov 14 12:29:00 2012 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 14 12:29:00 2012 LZO compression initialized
Wed Nov 14 12:29:00 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Nov 14 12:29:00 2012 ROUTE default_gateway=141.24.55.254
Wed Nov 14 12:29:00 2012 TAP-WIN32 device [openvpn] opened: \\.\Global\{9E026671-5A01-4DA6-A857-D7740BB136F6}.tap
Wed Nov 14 12:29:00 2012 TAP-Win32 Driver Version 9.8
Wed Nov 14 12:29:00 2012 TAP-Win32 MTU=1500
Wed Nov 14 12:29:00 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.2.2/255.255.255.252 on interface {9E026671-5A01-4DA6-A857-D7740BB136F6} [DHCP-serv: 192.168.2.1, lease-time: 31536000]
Wed Nov 14 12:29:00 2012 Successful ARP Flush on interface [31] {9E026671-5A01-4DA6-A857-D7740BB136F6}
Wed Nov 14 12:29:00 2012 Data Channel MTU parms [ L:1547 D:1450 EF:47 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Nov 14 12:29:00 2012 Local Options hash (VER=V4): 'c1e7a98b'
Wed Nov 14 12:29:00 2012 Expected Remote Options hash (VER=V4): '13abacb5'
Wed Nov 14 12:29:00 2012 Attempting to establish TCP connection with xx.xx.xx.xx:1194
Wed Nov 14 12:29:00 2012 TCP connection established with xx.xx.xx.xx:1194
Wed Nov 14 12:29:00 2012 TCPv4_CLIENT link local: [undef]
Wed Nov 14 12:29:00 2012 TCPv4_CLIENT link remote: xx.xx.xx.xx:1194
Wed Nov 14 12:29:01 2012 Peer Connection Initiated with xx.xx.xx.xx:1194
Wed Nov 14 12:29:03 2012 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Wed Nov 14 12:29:03 2012 C:\WINDOWS\system32\route.exe ADD xx.xx.xx.xx MASK 255.255.255.255 141.24.55.254
OK!
Wed Nov 14 12:29:03 2012 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 192.168.2.1
OK!
Wed Nov 14 12:29:03 2012 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 192.168.2.1
OK!
Wed Nov 14 12:29:03 2012 C:\WINDOWS\system32\route.exe ADD 192.168.2.0 MASK 255.255.255.0 192.168.2.1
OK!
Wed Nov 14 12:29:03 2012 Initialization Sequence Completed
 
Zuletzt bearbeitet:
Das sieht auf jeden Fall gut aus. Aber ein Ping vom Client auf 192.168.2.1 geht nicht?
Ist das "neue Netz" auch im Windows7 als "vertrauenswürdiges Netz" (Heim- oder Arbeitzplatznetz) eingestuft?!?
 
Hey, nein in der oben geposteten Konfiguration geht das nichtmehr :(
 
Und das Netz ist auch als "Heim-Netz" oder "AP-Netz" eingestuft?

Wie sieht denn das Log auf dem Server aus?
 
Also der ping ging ja schonmal unter der anderen Konfiguration, da wurde das Netz auch identifiziert

Momentan ist es öffentlich glaube ich


Bon gerade noch in der Uni, kann dir die logdatei schicken wenn ich daheim bin
 
Stell es mal lieber von "öffentlich" auf AP oder Heimnetz.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.