OpenVPN-Paket

[koerli]

Danke, nun scheint er ne vpn Verbindung aufbauen zukönne aber wenn ichdann per Firefox ins Netz geh, kann er keine seite aufrufen auch ping bringt Zeitüberschreitung.

Sun Jan  5 09:56:00 2014 us=781564 OpenVPN 2.3.2 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [IPv6] built on Dec 30 2013
Sun Jan  5 09:56:00 2014 us=782477 WARNING: file 'userpass' is group or others accessible
Sun Jan  5 09:56:00 2014 us=782984 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info
Sun Jan  5 09:56:00 2014 us=791700 LZO compression initialized
Sun Jan  5 09:56:00 2014 us=798338 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Jan  5 09:56:00 2014 us=802006 Socket Buffers: R=[204800->131072] S=[204800->131072]
Sun Jan  5 09:56:00 2014 us=810558 Data Channel MTU parms [ L:1558 D:1300 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Jan  5 09:56:00 2014 us=811269 Fragmentation MTU parms [ L:1558 D:1300 EF:57 EB:135 ET:1 EL:0 AF:3/1 ]
Sun Jan  5 09:56:00 2014 us=814715 NOTE: chroot will be delayed because of --client, --pull, or --up-delay
Sun Jan  5 09:56:00 2014 us=815189 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay

Sun Jan  5 09:56:00 2014 us=867077 TLS: Initial packet from [AF_INET]*ip*:*port*, sid=682e8142 134e12a3

Sun Jan  5 09:56:00 2014 us=869883 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

Sun Jan  5 09:56:01 2014 us=211780 VERIFY OK: depth=1, C=DE, O=*ip* VPN, OU=*ip*, CN=*ip*
Sun Jan  5 09:56:01 2014 us=218704 VERIFY OK: depth=0, C=DE, O=*ip* VPN, OU=*ip*, CN=Server

Sun Jan  5 09:56:05 2014 us=888628 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Jan  5 09:56:05 2014 us=889519 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Sun Jan  5 09:56:05 2014 us=889915 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sun Jan  5 09:56:05 2014 us=890223 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Sun Jan  5 09:56:05 2014 us=891265 UDPv4 WRITE [22] to [AF_INET]*ip*:*port*: P_ACK_V1 kid=0 [ 38 ]
Sun Jan  5 09:56:05 2014 us=892078 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Jan  5 09:56:05 2014 us=892926 [Server] Peer Connection Initiated with [AF_INET]ip:*port*
Sun Jan  5 09:56:08 2014 us=194638 SENT CONTROL [Server]: 'PUSH_REQUEST' (status=1)

Sun Jan  5 09:56:08 2014 us=274659 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS *ip*,dhcp-option DNS *ip*
Sun Jan  5 09:56:08 2014 us=278081 OPTIONS IMPORT: timers and/or timeouts modified
Sun Jan  5 09:56:08 2014 us=278984 OPTIONS IMPORT: LZO parms modified
Sun Jan  5 09:56:08 2014 us=279716 OPTIONS IMPORT: --ifconfig/up options modified
Sun Jan  5 09:56:08 2014 us=280022 OPTIONS IMPORT: route options modified
Sun Jan  5 09:56:08 2014 us=280481 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Jan  5 09:56:08 2014 us=314378 TUN/TAP device tun0 opened
Sun Jan  5 09:56:08 2014 us=314749 TUN/TAP TX queue length set to 100
Sun Jan  5 09:56:08 2014 us=315046 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Jan  5 09:56:08 2014 us=315424 /sbin/ifconfig tun0 *ip* pointopoint *ip* mtu 1500
Sun Jan  5 09:56:08 2014 us=353933 /sbin/route add -net *ip* netmask 255.255.255.255 dev dsl
route: SIOCADDRT: File exists
Sun Jan  5 09:56:08 2014 us=376153 ERROR: Linux route add command failed: external program exited with error status: 1
Sun Jan  5 09:56:08 2014 us=376841 /sbin/route add -net 0.0.0.0 netmask *ip* gw *ip*
Sun Jan  5 09:56:08 2014 us=387496 /sbin/route add -net *ip* netmask *ip* gw *ip*
Sun Jan  5 09:56:08 2014 us=395500 /sbin/route add -net *ip* netmask 255.255.255.255 gw *ip*
Sun Jan  5 09:56:08 2014 us=403250 chroot to '/var/tmp/openvpn' and cd to '/' succeeded
Sun Jan  5 09:56:08 2014 us=403548 GID set to openvpn
Sun Jan  5 09:56:08 2014 us=403863 UID set to openvpn
Sun Jan  5 09:56:08 2014 us=404084 Initialization Sequence Completed

Sun Jan  5 09:57:19 2014 us=542014 event_wait : Interrupted system call (code=4)
Sun Jan  5 09:57:19 2014 us=543847 TCP/UDP: Closing socket
Sun Jan  5 09:57:19 2014 us=544982 /sbin/route del -net *ip* netmask 255.255.255.255
Sun Jan  5 09:57:19 2014 us=570061 ERROR: Linux route delete command failed: could not execute external program
Sun Jan  5 09:57:19 2014 us=570523 /sbin/route del -net ip netmask 255.255.255.255
Sun Jan  5 09:57:19 2014 us=588228 ERROR: Linux route delete command failed: could not execute external program
Sun Jan  5 09:57:19 2014 us=588697 /sbin/route del -net 0.0.0.0 netmask *ip*
Sun Jan  5 09:57:19 2014 us=609382 ERROR: Linux route delete command failed: could not execute external program
Sun Jan  5 09:57:19 2014 us=610200 /sbin/route del -net *ip* netmask *ip*
Sun Jan  5 09:57:19 2014 us=615484 ERROR: Linux route delete command failed: could not execute external program
Sun Jan  5 09:57:19 2014 us=634044 Closing TUN/TAP interface
Sun Jan  5 09:57:19 2014 us=634386 /sbin/ifconfig tun0 0.0.0.0
Sun Jan  5 09:57:19 2014 us=640712 Linux ip addr del failed: could not execute external program

 

[MaxMuster]

Ja, das ist eine Folge der Config. Du routest von der Fritzbx aus alles durch das VPN, aber der Server hat nur eine Verbindung zu der Fritzbox und kennt nur die Box.
Alles was "hinter" der Box ist, ist für den Server "unbekannt", er kann mit den IP-Adressen der PCs aus deinem LAN nichts anfangen.

Da du wohl keinen Zugriff auf den Server hast (dann müsstest du auf dem Server dein LAN zu deinem VPN-Client routen [lassen]), kann jetzt nur die FB selbst das VPN nutzen.

Damit "dahinter" liegende Geräte das VPN nutzen können, musst du entweder das Routing auf dem Server einrichten, oder dukannst versuchen, dein LAN hinter der VPN-Adresse der FB zu "verstecken", per NAT.

Bis vor kurzem hätte ich noch behauptet, das geht nicht, weil es eine Unverträglichkeit zwischen der AVM-Firmware unf iptables gab, aber es gibt hier Berichte, dass NAT per iptables auch mit aktuellen Boxen geht.

Ist wirklich die Frage, ob es nicht einfacher ist, auf dem PC das OpenVPN zu starten, auf dem du den Zugriff brauchst.
Wenn es um die Herausforderung geht, dann los ;-)

 

[SpecialAgentX]

Freetz & OpenVPN mit hide.me -> Windows Clients erhalten keine Pakete mehr

Hey,

meine FritzBox (mit Freetz) kann sich nun über OpenVPN an einem anderen VPN-Server anmelden. Der gesamte Traffic der FritzBox (nicht den der Windows-Clients!) läuft auch über den VPN Server (geprüft mit ping und tracerote auf der FritzBox).

Nun habe ich das Problem, dass alle meine Windows-Clients keine Pakete mehr empfangen können. Habe verschiedene Routings mit "route add" versucht, hatte aber keinen Erfolg.
Ich habe keine IP-Tables installiert und würde diese am liebsten auch nicht verwenden.

Hier mal meine Routing-Tabelle wenn sich die FritzBox mit dem OpenVPN-Server verbunden hat:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
62.109.121.1    *               255.255.255.255 UH    2      0        0 dsl
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
185.5.175.50    *               255.255.255.255 UH    0      0        0 dsl
93.129.81.136   *               255.255.255.255 UH    2      0        0 dsl
62.109.121.2    *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.178.0   *               255.255.255.0   U     0      0        0 lan
192.168.179.0   *               255.255.255.0   U     0      0        0 guest
entferntesNetz  *               255.255.255.0   U     0      0        0 tun0
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         entfernteIP     0.0.0.0         UG    0      0        0 tun0

entfernteIP = eine IP-Adresse des Netzes vom OpenVPN-Server
entferntesNetz = Das Netz des OpenVPN-Servers (also ein IP-Adresse mit .0 am Ende)

Jetzt bleibt nur noch die Frage, wie ich meinen gesamten Traffic (WLAN+LAN der FritzBox) aller Clients über den OpenVPN-Server leiten kann?

Vielen Danke schonmal

 

[RalfFriedl]

Damit die Clients auf das VPN zugreifen können, muss die Box NAT durchführen.

 

[SpecialAgentX]

Hey Ralf,

danke für die Antwort. Eigentlich macht die FritzBox doch NAT... ist ja standardmäßig so (mit DHCP). Wie kann ich das denn ohne die IPTables umsetzen?

Danke.

 

[koerli]

Danke für deine Hilfe und Unterstützung. Muss nun erstnmal usbroot zum laufen bringen dann mach ich mit iptables weiter


@admins/mods: Thema als gelöst markieren

 

[RalfFriedl]

NAT hat nichts mit DHCP zu tun.
Ja, die Box macht standardmäßig NAT, aber nur auf dem dsl Interface. NAT ohne IPTables ist schwierig.

 

[SpecialAgentX]

Ok, da iptables mit Freetz und dem FritzOs anscheinend nicht läuft bzw. sehr schwer einzurichten ist, kann ich also mein Vorhaben knicken?

 

[RalfFriedl]

Je nachdem, was Du vorhast, könnte ein Proxy auf der Box helfen.

 

[SpecialAgentX]

Ich habe vor meinen gesammten Internet-Traffic über das VPN zu betreiben. Das soll für die (Windows-)Clients transparent geschehen. Ein Proxy ist, denke ich mal, nicht ausreichend.

 

[b0wtie]

Problem mit Routen

Liebe OpenVPNler auf einer Fritzbox, hoffentlich könnt ihr mir den letzten Hinweis geben:

Ich habe in meinem Fall ein W503V mit einer gefreetzten 7270_v1 Firmware. Dieser Router hängt hinter einer 7390. Es ist "Internetverbindung selbst über LAN-1 aufbauen" und "IP" ausgewählt. Das klappt super. Die 7270 baut ein eigenes Subnetz auf, ist aber trotzdem im Internet.
Dropbear und OpenVPN haben gerade so draufgepasst und ich habe dank diesem Thread soviel geschafft, dass die Box eine VPN-Verbindung aufbaut.

Aus SSH heraus läuft VPN durch bis zu "Sequence Completed" und danach ist die Box auch im VPN: Wenn ich die index.html von "dnsleaktest.com" herunterlade wird die Remote IP angezeigt. Das zeigt mir, dass die Verbindung funktioniert und auch Daten hin- und hergeleitet werden. Die 7390 kann also eigentlich nicht Pakete blockieren und damit Probleme machen - sonst könnte ich doch gar keine Verbindung hinbekommen, oder?

Leider kann ich machen was ich will: Angeschlosse Clients können nicht mehr in's Internet. MaxMuster hat ja oben geschrieben, dass das bei ansonsten unveränderter Config eigentlich gehen müsste; tut es aber nicht.

Meine Vermutung: Die Default-Route wird falsch gesetzt. Es ist übrigens egal ob ich einen Client per LAN oder WLAN anschließe. Mit openVPN geht kein Internet, ohne schon.

Hier einmal meine Routen (die vom Server gepusht werden):

1. Ohne openVPN
   Kernel IP routing table
   Destination Gateway Genmask Flags Metric Ref Use Iface
   192.168.180.1 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
   192.168.180.2 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
   192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
   192.168.133.0 0.0.0.0 255.255.255.0 U 2 0 0 dsl
   169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 lan
   0.0.0.0 0.0.0.0 0.0.0.0 U 2 0 0 dsl
2. Mit VPN
   Destination Gateway Genmask Flags Metric Ref Use Iface
   10.12.0.169 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
   192.168.180.1 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
   192.168.180.2 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
   10.12.0.1 10.12.0.169 255.255.255.255 UGH 0 0 0 tun0
   93.115.83.250 0.0.0.0 255.255.255.255 UH 0 0 0 dsl
   192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
   192.168.133.0 0.0.0.0 255.255.255.0 U 2 0 0 dsl
   169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 lan
   0.0.0.0 10.12.0.169 128.0.0.0 UG 0 0 0 tun0
   128.0.0.0 10.12.0.169 128.0.0.0 UG 0 0 0 tun0
   0.0.0.0 0.0.0.0 0.0.0.0 U 2 0 0 dsl

Es ist zu Testzwecken jetzt ein Zugang von freevpn.me, daher habe ich jetzt mal keine IP Adressen rausgefiltert.

Habt ihr eine Idee, warum ich von den Clients nicht durch den Tunnel nach draußen komme?

 

[MaxMuster]

Ich bin nicht sicher, dass ich deinen Aufbau verstanden habe, ich versuche es mal:

Die 503-Box soll als Client eine Verbindung zu einem Server aufbauen, alle Geräte "hinter" 503 sollen das VPN nutzen.

Es ist dann entscheidend, was für einen Server du nutzt. Beim Themenstarter war es ein "selbst verwalteter" VPN-Server. Damit ist das gewünschte leichter zu erreichen, denn der Server kann (muss) für die Nutzung aus dem LAN passend konfiguriert werden. Letztlich muss der VPN-Server dein LAN zu deinem VPN-Client routen.

Wenn du den Server nicht verändern kannst, finden die Pakete aus deinem LAN zwar den Weg durch das VPN zum Server, der kann aber nicht "antworten", weil er dieses Netz nicht kennt, sondern nur die VPN-IP des VPN-Clients. Dann geht das nur. indem du die Geräte aus dem LAN "versteckst" hinter der VPN-IP. Dazu benötigst du "iptables" auf der Box (ggf. geht es auch mit einem Proxy).

 

[b0wtie]

Hi MaxMuster,

vielen Dank für die Erklärung. Genau so wie von Dir verstanden möchte ich es gerne haben.

Ich hatte mir immer vorgestellt, die VPN Verbindung träte an die Stelle der Internetverbindung (resp. der öffentlichen IP meines ISP) und der Router würde eine Verbindung zwischen dem Tunnel und meinem LAN herstellen. Da ich aber natürlich mit VPN zwei Netzwerke verbinde verstehe ich jetzt, warum es nicht klappt.

Kannst du mir bei den iptables-Regel(n) unter die Arme greifen? Zumindest bei der wörtlichen Beschreibung, von welchem Interface Pakete wohin weitergeleitet, akzeptiert oder gedropt werden müssen?!

Ich versuche bis dahin mal, OpenVPN, Dropbear und iptables auf die Box zu kriegen.

 

[MaxMuster]

Die Regel sollte reichen:

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Wenn du das in der GUI auf der "Regeln" Fenster eingibst, lässt man das "iptables" vorn weg ("-t nat -A POSTROUTING -o tun0 -j MASQUERADE")

 

[b0wtie]

Ich habe es selbst mit Freetz erst heute Abend hinbekommen. Ich könnte mir vorstellen, das mit dem Proxy hast du falsch verstanden. Es geht nicht darum, dass du deinen Internetverkehr anstatt durch einen Tunnel zu schicken über einen selbst gemachten Proxy leitest. Das wäre in etwa so, als wenn man sich unter seinem eigenen Schatten verstecken wollte und das ist Ralf auch ganz sicher klar.

Gemeint ist folgendes: Du "bohrst" mit deiner Fritzbox einen Tunnel in das entfernte VPN von hide.me. Der hide.me Server ist dafür konfiguriert, die VPN-Verbindung zwischen EINEM GERÄT und sich selbst herzustellen. Es ist für den Server nicht dasselbe, wenn plötzlich ein Router ankommt und mehrere Geräte hinter sich im Schlepptau hat. Warum genau das so ist (sag ich dir ganz ehrlich) habe ich auch nicht verstanden, das war "MaxMuster" hier im Forum klick mich.

Er hat auch gleich die Lösung mitgeliefert. Du brauchst iptables auf der Box und musst die verlinkte Regel in die NAT-Tabelle eintragen. Dadurch "versteckst" du die Pakete deiner Clients hinter der IP, mit der die Box sich bei hide.me angemeldet hat. Das funktioniert bei mir tadellos, allerdings benutze ich einen gefreetzten Speedport W503V. Dieser läuft mit der 7270_V1 Firmware. Für diese Firmware gibt es einen alternativen Kernel, der die iptables-Module laden kann. Dazu musste ich "replace kernel" in freetz auswählen. Ich weiß nicht ob es einen replace kernel für deine FB-Version gibt.

 

[b0wtie]

Ja! Diese Regel reicht aus.

Ich habe etwas gebraucht um zu checken, warum iptables mich mit "can't initialize table 'nat'" befeuert. Ich musste mein image mit "replace kernel" bauen. Iptables wird zwar auch ohne fehlerfrei in die Box eingebaut, allerdings fehlen überlebenswichtige Kernelmodule. Jetzt hat's geklappt, vielen Dank für deine Hilfe.

Sowohl openVPN als auch iptables wollen sich partout nicht über das GUI konfigurieren lassen - aber dann starte ich sie halt aus einem Script heraus.

 

[SpecialAgentX]

Ich danke dir für diesen sehr hilfreichen Beitrag!

Es gibt anscheinend für meine 7360 einen alternativen Kernel (Liste aller Configs). Falls es dennoch nicht funktionieren wird, könntest du mir bitte sagen, welchen Datendurchsatz du in MBit/s auf dem Speedport W503V mit OpenVPN und hide.io hinbekommst (Welche Verschlüsselung hast du gewählt)? Wenn ich mir einen anderen Router kaufe, auf dem DD-WRT läuft, dann brauche ich natürlich einen schnellen... und leider ist dein Router in den Router Charts nicht gelistet

Vielen Dank nochmal!

 

[b0wtie]

Hi!
Kein Problem! Ich verbreite ja nur MaxMusters Weisheit . Ich dachte auch, dass ein Router immer und überall mit seiner eigenen IP Adresse auftaucht und der Server gar nicht merkt, dass da nicht ein Laptop per VPN ankommt, sondern ein ganzer Gerätezoo.

Mir ist die Sicherheit viel wichtiger, als der Downloadspeed. Das ist auch ein Glück, denn verglichen mit meinen 5,6 MB/s ist es durch das VPN (NL.hide.me Premium) nur noch bei 500-600 kb/s. Dann liegt der openvpn-Prozess bei 87% CPU-Last. Ich schätze der Kernel reserviert den Rest, damit die Box lauffähig bleibt. Ich habe die Voreinstellung (128-Bit) gelassen.

Für mehr Speed würde ich auf jeden Fall einen Router mit openWRT nehmen (irgendeinen TP-Link oder so).

 

[gagamicha]

Ich hätte dazu mal eine Frage:

Wie bekomme ich openvpn ohne Freetz auf der 7490 zum laufen???? kann mir da jmd weiterhelfen?

 

[MaxMuster]

Suche dir das passende statisch gelinkte Programm (für die 7490 wohl mips), z.B. von hier.

Dann muss es auf die Box und kann dort wie auf einem PC genutzt werden (mit der eingeschränkten CPU natürlich).