OpenVPN-Paket

MaxMuster · 22 Feb 2014

Wenn die Konfiguration entsprechend eingestellt ist, wird auch alles von deinem LAN durch den Tunnel geroutet werden. Das allein reicht aber nicht, wenn diese Pakete nicht vom Server wieder zurück geschickt werden. Dazu ist es aber nötig, dass der Server dieses Netz in seiner Config kennt (und ggf. das Default Gateway im "Firmen-Netz" dein lokales Netz zum VPN-Server schickt).

Ist denn in dem Server eine "Rückroute" für die IP-Adressen aus deinem LAN zu deinem VPN-Client eingerichtet? Sonst musst du das auf dem VPN-Server einrichten (lassen). Wenn der VPN-Server nicht zugleich das Default-Gateway in dem Netz ist, muss dort (im DG) eine Route zum VPN-Server eingerichtet werden.

Aufwändigere Alternative (die auch nur bei einigen Firmwares funktioniert): Deine FritzBox könnte deine LAN-Geräte "verstecken" (per "NAT Masquerading"), das dafür benötigte iptables macht aber auf vielen Boxen Probleme.

MaxMuster · 22 Feb 2014

chris_p_1982 schrieb:
push "route-gateway 192.168.xxx.1"
push "route 192.168.xxx.0 255.255.255.0"

Noch ein Hinweis dazu: Das ist in dieser Form aber nur für "einzelne Clients" sinnvoll, die sich zu einem Server verbinden.
Wenn man "Netze verbindet" ist das (besonders das Schicken des "eigenen" Defaultgateways) nicht nötig/sinnvoll, obwohl es ohne den Befehl "redirect-gateway" nicht "fatal" ist ;-). Mit "redirect-gateway" würde auch in anderen Netzen "dein" Router genutzt werden!

chris_p_1982 · 22 Feb 2014

OK, mache das über die GUI von OpenVPN in Freetz. Habe Dir mal einen Screenshot davon gemacht. Was würdest Du da ändern? Muss ehrlich sagen, habe mich damit nicht so viel befasst, war froh als es damals lief... Ansonsten hab ich immer nur Google benutzt (-:

Jetzt läuft die Brücke wieder. Die Server-Config sieht jetzt so aus:

ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 1194
ifconfig 192.168.xxx.1 255.255.255.0
push "route-gateway 192.168.xxx.1"
max-clients 2
tun-mtu 1500
mssfix
verb 3
cipher AES-128-CBC
comp-lzo
keepalive 10 120
status /var/log/openvpn.log
cd /var/tmp/openvpn
chroot /var/tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Die "push-route" bekomme ich über die Gui nicht raus... Hätte Openvpn gerne händisch in die Fritzbox integriert aber das ist dann doch etwas viel Arbeit für mich...
Eine frage noch: Kann ich jetzt bei freetz das OpenVPN einfach gegen das 2.3.2 austauschen, ein neues Image bauen, hochladen und es funktioniert?

Achja, und meine "Übersichtsseite" in der AVM Gui der FritzBox ist mit der 6.03 und anschliessendem Freetz auch komplett verschwunden )-: Kennt da jemand ne lösung?

fischefr · 22 Feb 2014

Ich hatte eine ähnliche Konfiguration schon mal für den Raspberry Pi als Client eingerichtet. Ich werde dort nochmal "spicken". Ich glaube, ich hatte damals das gleiche Problem und NAT Masquerading war die Antwort. Ich erinnere mich jetzt wieder. Danke dir!

Jetzt hänge ich allerdings an iptables. Kann mir da noch jemand einen Tipp geben?

Code:

root@TuxMachine2:/var/mod/root# iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE
iptables v1.4.11.1: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Syslog meldet

Code:

modprobe: module iptable_filter not found in modules.dep modprobe: module ip_tables not found in modules.dep modprobe: module ipt_LOG not found in modules.dep modprobe: module ipt_REJECT not found in modules.dep modprobe: module x_tables not found in modules.dep modprobe: module xt_mac not found in modules.dep modprobe: module xt_mark not found in modules.dep modprobe: module xt_MARK not found in modules.dep modprobe: module xt_multiport not found in modules.dep modprobe: module xt_tcpudp not found in modules.dep Flushing rules and unloading modules ... done. Loading modules ... done. Loading table list ... done.

Code:

root@TuxMachine2:/var/mod/root# lsmod 
Module                  Size  Used by    Tainted: P  
atmdriver_lkm        1804672  0 
ath_pktlog             16784  0 
userman_mod            67968  2 
umac                  620416  1 ath_pktlog
ath_dev               201536  2 ath_pktlog,umac
ath_dfs                48704  1 ath_dev
ath_spectral           62272  1 ath_dev
ath_rate_atheros       28656  2 ath_pktlog,ath_dev
ath_hal               646640  4 ath_pktlog,umac,ath_dev,ath_rate_atheros
asf                    10576  5 umac,ath_dev,ath_dfs,ath_spectral,ath_hal
adf                    19632  3 umac,ath_dev,ath_hal
sch_sfq                 6272  4 
sch_llq                 8736  1 
sch_tbf                 4960  1 
aae                   135632  4 umac,ath_dev,ath_dfs,ath_hal
avm_pa_fusiv           16896  0 
kdsldmod             1418368  7 userman_mod
ohci_hcd               17776  0 
ehci_hcd               31184  0 
usbcore               120512  3 ohci_hcd,ehci_hcd
ramzswap               16448  1 
lzo_compress            2048  1 ramzswap
lzo_decompress          2272  1 ramzswap
nls_utf8                1344  0 
vfat                   10560  0 
fat                    50352  1 vfat
dect_io                12768  0 
avm_dect              237968  1 dect_io
capi_codec            354096  0 
isdn_fbox_fon5        743536  7 
pcmlink               306640  4 avm_dect,capi_codec,isdn_fbox_fon5
Piglet_noemif          29264  0 
bmedrv                  7440  0 
opensrc_lkm             1632  1 bmedrv
aclap_driver_lkm       19760  2 atmdriver_lkm,umac
sysKCode_lkm           23536  0 
ethdriver_lkm          44048  1 aclap_driver_lkm
periap_driver_lkm      14848  1 ethdriver_lkm
timers_lkm              5264  2 atmdriver_lkm,ethdriver_lkm
bmdriver_lkm           12976  1 atmdriver_lkm
ap2ap_lkm              24192  7 atmdriver_lkm,umac,kdsldmod,aclap_driver_lkm,sysKCode_lkm,ethdriver_lkm,bmdriver_lkm
fusivlib_lkm           59472 11 atmdriver_lkm,umac,avm_pa_fusiv,kdsldmod,bmedrv,aclap_driver_lkm,sysKCode_lkm,ethdriver_lkm,periap_driver_lkm,bmdriver_lkm,ap2ap_lkm
rtc_avm                 5296  1 pcmlink
rtc_core               13680  1 rtc_avm
led_modul_Fritz_Box_7390    80032  6

xsapling · 24 Feb 2014

Openvpn: ifconfig: SIOCSIFNETMASK: Cannot assign requested address Starting openvpn .

Auf was könnte dies hindeuten?

RalfFriedl · 24 Feb 2014

Setzen der Netzwerkmaske.

MaxMuster · 24 Feb 2014

Nimm mal das "lokale Netz" raus. Das ist bei TAP nicht nötig.

Wenn du mit OpenVPN 2.3.2 baust, sollte das problemlos mit der vorhandenen Konfig funktionieren.

Das mit der AVM GUI ist mir nicht ganz klar.

NewMedia · 24 Feb 2014

OpenVPN zwischen zwei Fritzboxen via IPv6

Hallo,

ich stehe gerade vor dem Problem zwei Fritzboxen per OpenVPN TUN via IPv6 zu verbinden.
Beide Boxen verfügen über eine native IPv4 und IPv6 Anbindung (Dual Stack) und OpenVPN per v4 läuft problemlos.

Die Verbindung über IPv6 gelingt jedoch nicht, da die Fritzbox welche als OpenVPN Server fungiert die Anfragen der Clientbox gar nicht erst beantwortet.
Nach einiger Recherche habe ich festgestellt, dass alle aus dem Internet eingehenden Anfragen via IPv6 von der AVM Firewall geblockt werden.
Ich habe bereits versucht im AVM Webinterface unter Internet -> Freigaben -> IPv6 eine Freigabe für Port 1194 mit der Interface ID ::1 zu vergeben (keine Ahnung ob der Gedankengang auch nur im Ansatz richtig ist). Natürlich zeigt sich keinerlei Änderung und der Port ist aus dem Internet nach wie vor nicht erreichbar. IPv6 Forwarding ist auf der Box natürlich schon aktiviert.

Über Vorschläge wie man Ports für Dienste öffnet die direkt auf der Fritzbox laufen wäre ich wirklich dankbar.

Arragon · 24 Feb 2014

Hallo zusammen,

ich möchte gerne meine 7270v2 mit ein VPN Anbieter verbinden um darüber auf Netflix US zuzugreifen. Nachdem jedoch die Verbindung aufgebaut ist, können die entsprechenden Netze jedoch nicht mehr erreicht werden (bsw. ping netflix.com liefert nur noch Zeitüberschreitungen).
Es existiert nebenher noch eine FB-zu-FB-VPN-Verbindung welche über das AVM Interface konfiguriert ist.

Meine Config:

Code:

client
dev tun
proto udp
remote us2.vpn.giganews.com 1194
persist-key
persist-remote-ip
persist-tun
auth-user-pass /tmp/flash/openvpn/up.txt
comp-lzo
verb 3
route remote_host 255.255.255.255 net_gateway
ca /tmp/flash/openvpn/ca.crt


tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

route-nopull

# amazon ec2 (us)
# https://forums.aws.amazon.com/ann.jspa?annID=1528 & extended via whois
route 23.20.0.0 255.252.0.0 vpn_gateway
route 50.16.0.0 255.252.0.0 vpn_gateway
route 50.112.0.0 255.255.0.0 vpn_gateway
route 54.224.0.0 255.240.0.0 vpn_gateway
route 54.240.0.0 255.240.0.0 vpn_gateway
route 67.202.0.0 255.255.192.0 vpn_gateway
route 72.44.32.0 255.255.224.0 vpn_gateway
route 75.101.128.0 255.255.128.0 vpn_gateway
route 107.20.0.0 255.252.0.0 vpn_gateway
route 174.129.0.0 255.255.0.0 vpn_gateway
route 184.72.0.0 255.254.0.0 vpn_gateway
route 184.169.128.0 255.255.128.0 vpn_gateway
route 204.236.128.0 255.255.128.0 vpn_gateway

# amazon ec2 (eu)
# https://forums.aws.amazon.com/ann.jspa?annID=1528 & extended via whois
route 46.51.128.0 255.255.192.0 vpn_gateway
route 46.51.192.0 255.255.240.0 vpn_gateway
route 46.137.0.0 255.255.128.0 vpn_gateway
route 46.137.128.0 255.255.192.0 vpn_gateway
route 79.125.0.0 255.255.128.0 vpn_gateway
route 176.34.64.0 255.255.192.0 vpn_gateway
route 176.34.128.0 255.255.128.0 vpn_gateway

# netflix
route 108.175.32.0 255.255.240.0 vpn_gateway
route 208.75.76.0 255.255.252.0 vpn_gateway
route 64.212.0.0 255.252.0.0 vpn_gateway
route 199.92.0.0 255.252.0.0 vpn_gateway
route 206.32.0.0 255.252.0.0 vpn_gateway
route 209.244.0.0 255.252.0.0 vpn_gateway
route 68.142.64.0 255.255.192.0 vpn_gateway
route 69.28.128.0 255.255.192.0 vpn_gateway
route 69.164.0.0 255.255.192.0 vpn_gateway
route 208.111.128.0 255.255.192.0 vpn_gateway
route 128.242.0.0 255.255.0.0 vpn_gateway
route 204.0.0.0 255.252.0.0 vpn_gateway
route 204.141.0.0 255.255.0.0 vpn_gateway
route 204.200.0.0 255.252.0.0 vpn_gateway
route 208.44.0.0 255.252.0.0 vpn_gateway

route 69.53.236.0 255.255.255.0 vpn_gateway

Verbindungslog:

Code:

Mon Feb 24 21:01:02 2014 OpenVPN 2.3.2 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [IPv6] built on Feb 23 2014
Mon Feb 24 21:01:02 2014 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Feb 24 21:01:02 2014 Socket Buffers: R=[178176->131072] S=[178176->131072]
Mon Feb 24 21:01:02 2014 UDPv4 link local (bound): [undef]
Mon Feb 24 21:01:02 2014 UDPv4 link remote: [AF_INET]216.168.3.151:1194
Mon Feb 24 21:01:02 2014 TLS: Initial packet from [AF_INET]216.168.3.151:1194, sid=0c2e4710 7f22f18b
Mon Feb 24 21:01:02 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Feb 24 21:01:03 2014 VERIFY OK: depth=1, C=KY, ST=GrandCayman, L=GeorgeTown, O=GoldenFrog-Inc, CN=GoldenFrog-Inc CA, [email protected]
Mon Feb 24 21:01:03 2014 VERIFY OK: depth=0, C=KY, ST=GrandCayman, L=GeorgeTown, O=GoldenFrog-Inc, CN=us2.vpn.giganews.com, [email protected]
Mon Feb 24 21:01:05 2014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Feb 24 21:01:05 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Feb 24 21:01:05 2014 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Feb 24 21:01:05 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Feb 24 21:01:05 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mon Feb 24 21:01:05 2014 [us2.vpn.giganews.com] Peer Connection Initiated with [AF_INET]216.168.3.151:1194
Mon Feb 24 21:01:08 2014 SENT CONTROL [us2.vpn.giganews.com]: 'PUSH_REQUEST' (status=1)
Mon Feb 24 21:01:08 2014 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 216.168.3.53,dhcp-option DNS 216.168.3.54,explicit-exit-notify 5,rcvbuf 262144,route-gateway 10.11.0.1,topology subnet,ping 10,ping-restart 60,ifconfig 10.11.0.62 255.255.0.0'
Mon Feb 24 21:01:08 2014 Options error: option 'redirect-gateway' cannot be used in this context ([PUSH-OPTIONS])
Mon Feb 24 21:01:08 2014 Options error: option 'dhcp-option' cannot be used in this context ([PUSH-OPTIONS])
Mon Feb 24 21:01:08 2014 Options error: option 'dhcp-option' cannot be used in this context ([PUSH-OPTIONS])
Mon Feb 24 21:01:08 2014 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:4: explicit-exit-notify (2.3.2)
Mon Feb 24 21:01:08 2014 OPTIONS IMPORT: timers and/or timeouts modified
Mon Feb 24 21:01:08 2014 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
Mon Feb 24 21:01:08 2014 Socket Buffers: R=[131072->356352] S=[131072->131072]
Mon Feb 24 21:01:08 2014 OPTIONS IMPORT: --ifconfig/up options modified
Mon Feb 24 21:01:08 2014 OPTIONS IMPORT: route-related options modified
Mon Feb 24 21:01:08 2014 TUN/TAP device tun0 opened
Mon Feb 24 21:01:08 2014 TUN/TAP TX queue length set to 100
Mon Feb 24 21:01:08 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Feb 24 21:01:08 2014 /sbin/ip link set dev tun0 up mtu 1500
Mon Feb 24 21:01:08 2014 /sbin/ip addr add dev tun0 10.11.0.62/16 broadcast 10.11.255.255
Mon Feb 24 21:01:08 2014 /sbin/ip route add 216.168.3.151/32 via 0.0.0.0
ip: RTNETLINK answers: No such device
Mon Feb 24 21:01:08 2014 ERROR: Linux route add command failed: external program exited with error status: 2
Mon Feb 24 21:01:08 2014 /sbin/ip route add 23.20.0.0/14 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 50.16.0.0/14 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 50.112.0.0/16 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 54.224.0.0/12 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 54.240.0.0/12 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 67.202.0.0/18 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 72.44.32.0/19 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 75.101.128.0/17 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 107.20.0.0/14 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 174.129.0.0/16 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 184.72.0.0/15 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 184.169.128.0/17 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 204.236.128.0/17 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 46.51.128.0/18 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 46.51.192.0/20 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 46.137.0.0/17 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 46.137.128.0/18 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 79.125.0.0/17 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 176.34.64.0/18 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 176.34.128.0/17 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 108.175.32.0/20 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 208.75.76.0/22 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 64.212.0.0/14 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 199.92.0.0/14 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 206.32.0.0/14 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 209.244.0.0/14 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 68.142.64.0/18 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 69.28.128.0/18 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 69.164.0.0/18 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 208.111.128.0/18 via 10.11.0.1
Mon Feb 24 21:01:08 2014 /sbin/ip route add 128.242.0.0/16 via 10.11.0.1
Mon Feb 24 21:01:09 2014 /sbin/ip route add 204.0.0.0/14 via 10.11.0.1
Mon Feb 24 21:01:09 2014 /sbin/ip route add 204.141.0.0/16 via 10.11.0.1
Mon Feb 24 21:01:09 2014 /sbin/ip route add 204.200.0.0/14 via 10.11.0.1
Mon Feb 24 21:01:09 2014 /sbin/ip route add 208.44.0.0/14 via 10.11.0.1
Mon Feb 24 21:01:09 2014 Initialization Sequence Completed
^CMon Feb 24 21:01:49 2014 event_wait : Interrupted system call (code=4)
Mon Feb 24 21:01:49 2014 /sbin/ip route del 208.44.0.0/14
Mon Feb 24 21:01:49 2014 /sbin/ip route del 204.200.0.0/14
Mon Feb 24 21:01:49 2014 /sbin/ip route del 204.141.0.0/16
Mon Feb 24 21:01:49 2014 /sbin/ip route del 204.0.0.0/14
Mon Feb 24 21:01:49 2014 /sbin/ip route del 128.242.0.0/16
Mon Feb 24 21:01:49 2014 /sbin/ip route del 208.111.128.0/18
Mon Feb 24 21:01:49 2014 /sbin/ip route del 69.164.0.0/18
Mon Feb 24 21:01:49 2014 /sbin/ip route del 69.28.128.0/18
Mon Feb 24 21:01:49 2014 /sbin/ip route del 68.142.64.0/18
Mon Feb 24 21:01:49 2014 /sbin/ip route del 209.244.0.0/14
Mon Feb 24 21:01:49 2014 /sbin/ip route del 206.32.0.0/14
Mon Feb 24 21:01:49 2014 /sbin/ip route del 199.92.0.0/14
Mon Feb 24 21:01:49 2014 /sbin/ip route del 64.212.0.0/14
Mon Feb 24 21:01:49 2014 /sbin/ip route del 208.75.76.0/22
Mon Feb 24 21:01:49 2014 /sbin/ip route del 108.175.32.0/20
Mon Feb 24 21:01:49 2014 /sbin/ip route del 176.34.128.0/17
Mon Feb 24 21:01:49 2014 /sbin/ip route del 176.34.64.0/18
Mon Feb 24 21:01:49 2014 /sbin/ip route del 79.125.0.0/17
Mon Feb 24 21:01:49 2014 /sbin/ip route del 46.137.128.0/18
Mon Feb 24 21:01:49 2014 /sbin/ip route del 46.137.0.0/17
Mon Feb 24 21:01:49 2014 /sbin/ip route del 46.51.192.0/20
Mon Feb 24 21:01:49 2014 /sbin/ip route del 46.51.128.0/18
Mon Feb 24 21:01:49 2014 /sbin/ip route del 204.236.128.0/17
Mon Feb 24 21:01:49 2014 /sbin/ip route del 184.169.128.0/17
Mon Feb 24 21:01:49 2014 /sbin/ip route del 184.72.0.0/15
Mon Feb 24 21:01:49 2014 /sbin/ip route del 174.129.0.0/16
Mon Feb 24 21:01:49 2014 /sbin/ip route del 107.20.0.0/14
Mon Feb 24 21:01:50 2014 /sbin/ip route del 75.101.128.0/17
Mon Feb 24 21:01:50 2014 /sbin/ip route del 72.44.32.0/19
Mon Feb 24 21:01:50 2014 /sbin/ip route del 67.202.0.0/18
Mon Feb 24 21:01:50 2014 /sbin/ip route del 54.240.0.0/12
Mon Feb 24 21:01:50 2014 /sbin/ip route del 54.224.0.0/12
Mon Feb 24 21:01:50 2014 /sbin/ip route del 50.112.0.0/16
Mon Feb 24 21:01:50 2014 /sbin/ip route del 50.16.0.0/14
Mon Feb 24 21:01:50 2014 /sbin/ip route del 23.20.0.0/14
Mon Feb 24 21:01:50 2014 Closing TUN/TAP interface
Mon Feb 24 21:01:50 2014 /sbin/ip addr del dev tun0 10.11.0.62/16
Mon Feb 24 21:01:50 2014 SIGINT[hard,] received, process exiting

Routen nach Verbindungsaufbau:

Code:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
94.222.238.144  0.0.0.0         255.255.255.255 UH    2      0        0 dsl
178.9.191.185   0.0.0.0         255.255.255.255 UH    3      0        0 dsl
192.168.180.1   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
192.168.180.2   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
216.168.3.151   0.0.0.0         255.255.255.255 UH    0      0        0 dsl
69.53.236.0     10.11.0.1       255.255.255.0   UG    0      0        0 tun0
192.168.179.0   0.0.0.0         255.255.255.0   U     0      0        0 guest
10.2.0.0        0.0.0.0         255.255.255.0   U     0      0        0 lan
208.75.76.0     10.11.0.1       255.255.252.0   UG    0      0        0 tun0
46.51.192.0     10.11.0.1       255.255.240.0   UG    0      0        0 tun0
108.175.32.0    10.11.0.1       255.255.240.0   UG    0      0        0 tun0
72.44.32.0      10.11.0.1       255.255.224.0   UG    0      0        0 tun0
67.202.0.0      10.11.0.1       255.255.192.0   UG    0      0        0 tun0
69.164.0.0      10.11.0.1       255.255.192.0   UG    0      0        0 tun0
208.111.128.0   10.11.0.1       255.255.192.0   UG    0      0        0 tun0
69.28.128.0     10.11.0.1       255.255.192.0   UG    0      0        0 tun0
46.51.128.0     10.11.0.1       255.255.192.0   UG    0      0        0 tun0
176.34.64.0     10.11.0.1       255.255.192.0   UG    0      0        0 tun0
46.137.128.0    10.11.0.1       255.255.192.0   UG    0      0        0 tun0
68.142.64.0     10.11.0.1       255.255.192.0   UG    0      0        0 tun0
204.236.128.0   10.11.0.1       255.255.128.0   UG    0      0        0 tun0
184.169.128.0   10.11.0.1       255.255.128.0   UG    0      0        0 tun0
75.101.128.0    10.11.0.1       255.255.128.0   UG    0      0        0 tun0
79.125.0.0      10.11.0.1       255.255.128.0   UG    0      0        0 tun0
176.34.128.0    10.11.0.1       255.255.128.0   UG    0      0        0 tun0
46.137.0.0      10.11.0.1       255.255.128.0   UG    0      0        0 tun0
128.242.0.0     10.11.0.1       255.255.0.0     UG    0      0        0 tun0
10.11.0.0       0.0.0.0         255.255.0.0     U     0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 lan
204.141.0.0     10.11.0.1       255.255.0.0     UG    0      0        0 tun0
174.129.0.0     10.11.0.1       255.255.0.0     UG    0      0        0 tun0
50.112.0.0      10.11.0.1       255.255.0.0     UG    0      0        0 tun0
184.72.0.0      10.11.0.1       255.254.0.0     UG    0      0        0 tun0
64.212.0.0      10.11.0.1       255.252.0.0     UG    0      0        0 tun0
209.244.0.0     10.11.0.1       255.252.0.0     UG    0      0        0 tun0
50.16.0.0       10.11.0.1       255.252.0.0     UG    0      0        0 tun0
204.0.0.0       10.11.0.1       255.252.0.0     UG    0      0        0 tun0
199.92.0.0      10.11.0.1       255.252.0.0     UG    0      0        0 tun0
107.20.0.0      10.11.0.1       255.252.0.0     UG    0      0        0 tun0
208.44.0.0      10.11.0.1       255.252.0.0     UG    0      0        0 tun0
204.200.0.0     10.11.0.1       255.252.0.0     UG    0      0        0 tun0
206.32.0.0      10.11.0.1       255.252.0.0     UG    0      0        0 tun0
23.20.0.0       10.11.0.1       255.252.0.0     UG    0      0        0 tun0
54.240.0.0      10.11.0.1       255.240.0.0     UG    0      0        0 tun0
54.224.0.0      10.11.0.1       255.240.0.0     UG    0      0        0 tun0
0.0.0.0         0.0.0.0         0.0.0.0         U     2      0        0 dsl

RalfFriedl · 24 Feb 2014

::1 entspricht 127.0.0.1, also localhost.

NewMedia · 25 Feb 2014

Ich hatte eigentlich versucht, eine Portfreigabe unter der ID 0:0:0:0 zu vergeben (Analog zur IPv4 Weiterleitung auf 0.0.0.0), jedoch wird eine Freigabe auf ::0 im Webinterface nicht zugelassen.
Versucht habe ich ebenfalls als ID die letzten vier Blöcke der IP zu nehmen, welche die Box auf einen Ping6 ausgibt. Allerdings kann ich versuchen was ich will, der Port ist und bleibt dicht

.

Testweise habe ich auch eine Clientverbindung per IPv6 zu einem VPN Server im Internet aufgebaut - das klappt ohne Probleme. Das Problem liegt also tatsächlich darin, dass die IPv6 Ports per default
durch die AVM Firewall geblockt werden. Wahrscheinlich habe ich irgendwo einen massiven Denkfehler ...

RalfFriedl · 25 Feb 2014

Frag doch mal bei AVM nach. Oder suche in der Konfigurationsdatei, ob irgend ein Port der Box selbst freigegeben wird, VoIP zum Beispiel, oder Fernwartung.

DBuck · 25 Feb 2014

Hallo zusammen,

ich würde gerne meine 7270v3 als VPN Client konfigurieren.
Als Vorlage habe ich eine *.ovpn.

Darin steht beim Parameter "cipher" "AES-192-CBC".
In der Weboberfläche zum OpenVPN Paket steht diese Methode nicht zur Auswahl.

Wenn ich das manuell in der openvpn.cfg ändere bekomme ich beim Aufruf der Konfig
in der Weboberfläche die Meldung, dass diese Methode nicht unterstützt wird und ich
die Konfig vor dem Start neu Speichern soll.

Fragen Dazu:

1. Welchen Grund hat es, dass AES-192-CBC nicht unterstützt wird.
2. Gibt es einen Weg AES-192-CBC dennoch zu verwenden?

LG
DBuck

NewMedia · 25 Feb 2014

Jepp, VoIP ist beispielsweise freigegeben.

In der ar7.cfg befindet sich hierzu der Eintrag:
voip_ip6_forwardrules = "udp 5060,7078-7110", "tcp 5060";

Über netstat werden die Ports auch entsprechend angezeigt und hören auf "::0".

In der ar7.cfg habe ich einfach auch mal den udp Bereich durch Port 1194 ergänzt ... auch nach einem Neustart zeigt sich da keinerlei Wirkung.
Toll wäre es, die AVM Firewall komplett zu deaktivieren um anschließend einfach alles selbst mittels iptables/ip6tables zu konfigurieren.
Beschäftige mich damit heute Abend mal genauer.

NewMedia · 25 Feb 2014

Nun hat sich das Problem doch gelöst.

Habe mir die ar7.cfg noch einmal ganz genau angesehen und diese auch mal von der Server- und Clientbox verglichen.
In der Datei befindet sich der Block

ipv6
{ ... }

Hierin war auf der Clientbox der Abschnitt firewall {} enthalten, der allerdings auf der Serverbox gänzlich gefehlt hat.

Nun habe ich in der ar7.cfg der Serverbox im ipv6 Abschnitt folgendes hinzugefügt:

firewall {
enabled = yes;
exposed_host = no;
ping6_allowed = no;
rules = "UDP 1194";
}

Nun läuft die VPN Verbindung über IPv6 perfekt

.

Ich hoffe es hilft anderen weiter, die vielleicht vor einem ähnlichen Problem stehen.

MaxMuster · 26 Feb 2014

Arragon schrieb:
Nachdem jedoch die Verbindung aufgebaut ist, können die entsprechenden Netze jedoch nicht mehr erreicht werden (bsw. ping netflix.com liefert nur noch Zeitüberschreitungen).

Von wo aus? Von der FB? Bedenke, dass nur die FB mit dem VPN-Anbieter verbunden ist. Alle Geräte "dahinte" werden zwar dorthin geroutet, solange der der VPN-Anbieter "dein Netz" nicht kennt und es zurück routet. Es gibt hier viele Threads zu dem Thema "VPN zum Anbieter XY", Tenor: ohne NAT deines LAN wird das wohl nix.

DBuck schrieb:
1. Welchen Grund hat es, dass AES-192-CBC nicht unterstützt wird.
2. Gibt es einen Weg AES-192-CBC dennoch zu verwenden?

Weil es sehr ungewöhnlich ist. Das OpenVPN unterstützt alles das, was im SSL eincompiliert wird. Wenn du also im (Open)SSL den Cipher AES-192-CBC hinzufügst, sollte es klappen.
Hinweis: In der Datei "make/openssl/openssl.mk" gibt es die Zeile

Code:

OPENSSL_NO_CIPHERS := no-idea no-md2 no-mdc2 no-rc2 no-rc5 no-sha0 no-smime no-rmd160 [B]no-aes192[/B] no-ripemd no-camellia no-ans1 no-krb5

Arragon · 26 Feb 2014

@MaxMuster: ping ging direkt auf der Box nicht mehr. Und natürlich auch nicht über das LAN.

Ich werde das Board mal etwas genauer durchforsten und hoffe einen entsprechenden Thread zu finden. Gerne kannst du mir auch direkt einen Wegweiser geben.

MaxMuster · 26 Feb 2014

Löste die Box denn den Namen noch auf, also scheitert vielleicht "nur" der DNS, oder schlägt der eigentliche Ping fehl?

DBuck · 26 Feb 2014

@MaxMuster: Vielen Dank !

MysticJay2 · 2 Mrz 2014

Mit OpenVPN eine Aussenstelle anbinden

Hi,

schon seit Jahren nutzen wir OpenVPN als Lösung, um einzelne Windows Systeme (Notebooks) anzubinden. Jetzt soll aber eine kleine Außenstelle angebunden werden. Dort stehen neben einem PC auch ein Drucker und evtl ein Notebook. Die Idee ist, dass man aus beiden internen Netzen alle Rechner des anderen erreicht. Wenn ich alles richtig verstanden habe ist das am besten mit einer P2P-Verbindung und Pre-shared key zu realisieren.

Diese Voraussetzungen sind geschaffen:
- die linke Seite hat die feste externe IP 4.4.4.4, dort steht ein Debian-basiertes System mit integriertem OpenVPN
- die rechte Seite IP 5.5.5.5 (sind natürlich andere ;-) (FB7390 mit 6.03)
- die Kommunikation soll über UDP1200 erfolgen
- die internen Netze sind 192.168.0.0/24 (links) und 192.168.10.0/24 (rechts)
- Tunnel IPs: 192.168.7.1 (links) und 192.168.7.2 (rechts)

Die FB ist komplett vorbereitet. Busybox 1.20, Bugbear, sftp-Server sind installiert und funktionieren einwandfrei.
Openvpn (OpenVPN 2.3.2 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [IPv6] built on Jul 13 2013) ist prinzipiell laufähig.

client.ovpn (rechts):

Code:

# client.conf fuer openvpn
# Config-Datei fuer openvpn tun Interface
dev tun
dev-node /dev/tun
remote 4.4.4.4
ifconfig 192.168.7.2 192.168.7.1
port 1200
proto udp
secret /var/tmp/client.key
tun-mtu 1500
fragment 1400
float
keepalive 120 250
verb 4
mssfix 1350
route 192.168.0.0 255.255.255.0

mit "openvpn --config client.ovpn --cd /var/tmp" starte ist das von SSH (später mit --deamon). Es werden mir keine Fehlermeldungen (mehr) ausgegeben.
die Routen sind eingetragen.
Ein Ping auf 192.168.7.2 ist OK, aber das wars dann auch schon.

Ich habe den Eindruck dass zwar beide Seiten es versuchen, aber nicht zueinander kommen, daher vermute ich, dass ich igrendwo noch Ports öffnen muss. NAT will ich eigentlich nicht, denn die Netzen sollen sich gegenseitg sehen?!

Es fehlt bestimmt ne Info, aber mehr fällt mir gerade nicht ein.

Mystic

OpenVPN-Paket

IPPF-Promi

IPPF-Promi

Neuer User

Mitglied

Mitglied

IPPF-Urgestein

IPPF-Promi

Neuer User

Neuer User

IPPF-Urgestein

Neuer User

IPPF-Urgestein

Neuer User

Neuer User

Neuer User

IPPF-Promi

Neuer User

IPPF-Promi

Neuer User

Neuer User

Statistik des Forums