OpenVPN-Paket

[MaxMuster]

Die Problematik ist nicht das OpenVPN selbst, das funktioniert prima. Problematisch wird es, wenn du den Server selbst nicht beeinflussen kannst und Verkehr durch den Tunnel schicken willst und dafür NAT benötigst. Die macht auf manchen Boxen mit manchen Firmwares Probleme.
Die von dir verlinkten Beiträge sind einmal die Frage, nach einem VPN-Anbieter (nicht ein "Erfolgs-Bericht"), dass es andere geht darum, wie die 7390 als Server laufen kann.
Zur Geschwindigkeit kann ich leider nichts sagen, das ist aber auch von der Konfiguration (z.B. Verschlüsselung) ab. Es gibt hier ein paar Fragen zur Geschwindigkeit im OpenVPN, wäre gut möglich, dass die 7390 deutlich weniger VPN-Durchsatz bringt.

 

[hoppala00]

Die macht auf manchen Boxen mit manchen Firmwares Probleme.

macht 7390 international v. 06.04 beta definitive probleme ? kann mann es vorher erfahren ?


Ich mag meine Fritzbox 7390 aber Ich will auch VPN anbieter benutzen...
und Ich hab wenig erfahrung mit Freetz + Nat und etc ..

deswegen suche Ich immer noch möglichkeit...Ich will nicht so einfach aufhören ..

wie ist mit diese beitrag

http://www.sephi.de/wp/2013/11/04/fritzbox-7390-mit-fritzos-6-0-und-openvpn-ohne-custom-firmware/

 

[MaxMuster]

Scheinbar war es noch immer nicht verständlich genug:

1. Die 7390 hat keine (mir bekannten) Probleme, eine VPN-Verbindung zu einem beliebigen OpenVPN aufzubauen. Egal, ob das ein eigener Server oder ein "VPN-Anbieter" ist.
2. Nach diesem Verbindungsaufbau ist nur die FB mit dem VPN-Server verbunden, im Normalfall heißt das, nur die FB kann das VPN benutzen.
3. Wenn ein Netz "hinter" der FB (dem VPN Client in diesem Fall) das VPN auch benutzen soll, muss das
   • in der Server-Konfiguration hinterlegt sein (eher unmöglich bei einem Provider) oder
   • du "versteckst" dein LAN hinter der VPN-IP der FB. Das ist auf der FB nur mit iptables NAT ("MASQUERADING") möglich.

Das für NAT benötigte iptables Modul "conntrack" führt auf einer 7390 international v. 06.04 mit "99,99% Sicherheit" (ich habe es nur auf einer "deutschen" FW getestet) zum Absturz der Box (siehe Beitrag #4).

Der von dir zitierte Beitrag bezieht sich nur auf den Punkt 1. (Aufbau einer OpenVPN-Verbindung) der, wie geschrieben, ohne Probleme möglich ist.

 

[JimX77]

Danke, funktioniert!

Sorry fürs Doppelposting, kommt nicht wieder vor

 

[cmonty14]

Frage:
Wie sieht der Aufruf von tcpdump auf der FB7570 (angeschlossen direkt hinter Kabel-Modem, Portweiterleitung auf 1194) aus?
Wäre dieser Syntax korrekt ohne Verwendung der Option -i?

root@net1-FB7570:/var/mod/root# /mod/usr/sbin/tcpdump udp and port 1194

Die Ausgabe dieses Befehls ist:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0:0, link-type EN10MB (Ethernet), capture size 65535 bytes

Wenn die Option -i verwendet würde, welches Interface müßte man dann angeben?
Die Ausgabe von ifconfig ist:

root@net1-FB7570:/var/mod/root# ifconfig
DMZ-web   Link encap:Ethernet  HWaddr BC:05:43:50:0A:DA  
          inet addr:192.168.3.1  Bcast:192.168.3.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:39 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:14500 (14.1 KiB)

cpmac0    Link encap:Ethernet  HWaddr BC:05:43:50:0A:DA  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:28974 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6759 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:5383309 (5.1 MiB)  TX bytes:2885332 (2.7 MiB)

dsl       Link encap:Point-to-Point Protocol  
          inet addr:192.168.1.1  P-t-P:192.168.1.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1476 errors:0 dropped:0 overruns:0 frame:0
          TX packets:775 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:915991 (894.5 KiB)  TX bytes:68432 (66.8 KiB)

eth0      Link encap:Ethernet  HWaddr BC:05:43:50:0A:DA  
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:3893 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2335 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:128 
          RX bytes:1578625 (1.5 MiB)  TX bytes:1097218 (1.0 MiB)

eth0:0    Link encap:Ethernet  HWaddr BC:05:43:50:0A:DA  
          inet addr:169.254.1.1  Bcast:169.254.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

eth1      Link encap:Ethernet  HWaddr BC:05:43:50:0A:DA  
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:297 errors:0 dropped:0 overruns:0 frame:0
          TX packets:132 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:128 
          RX bytes:21302 (20.8 KiB)  TX bytes:20328 (19.8 KiB)

eth2      Link encap:Ethernet  HWaddr BC:05:43:50:0A:DA  
          UP BROADCAST ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:128 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

home      Link encap:Ethernet  HWaddr BC:05:43:50:0A:DA  
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:3893 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2337 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1508551 (1.4 MiB)  TX bytes:1088002 (1.0 MiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1376 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1376 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:74946 (73.1 KiB)  TX bytes:74946 (73.1 KiB)

wan       Link encap:Ethernet  HWaddr BC:05:43:50:0A:DA  
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:24770 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2775 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:32 
          RX bytes:3781928 (3.6 MiB)  TX bytes:571577 (558.1 KiB)

wlan      Link encap:Ethernet  HWaddr BC:05:43:60:84:FA  
          inet addr:192.168.182.1  Bcast:192.168.182.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:40 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:14616 (14.2 KiB)

 

[MaxMuster]

Freut mich !
Könntest du dann bitte noch den Beitrag als "gelöst" markieren (Ersten Beitrag "Bearbeiten" -> "Erweitert" , dann kann der Titel geändert werden)?

 

[RalfFriedl]

Nimm erstmal -iany, also Interface "any". Sonst vielleicht lan oder dsl.
Schau am Besten zuerst mal nach Paketen, von denen Du weißt, dass sie ankommen, um zu prüfen, dass die Anzeige grundsätzlich funktioniert.

 

[JokerGermany]

Gibt es eine Log Datei in der man nachvollziehen kann, wo es hängt?
€dit: Der Debug Mode funktioniert irgendwie nicht...

Habe das Problem, dass ich nicht im LAN testen kann und somit gleich im kalten Wasser schwimme.
Das Problem ist, dass die eine Fritz!Box einen Proxy dazwischen hat und darüber nur spezielle ports geleitet werden können.

wenn ich unter Zusatzparameter einstelle
http-proxy 172.30.0.30 3128

und unter Server fritzbox.myfritz.net 80 (443 nutzt ja schon myfritz)

leitet er dann das über den Proxy wie z.B. cockscrew bei ssh?

 

[MaxMuster]

Hi,

Zum "Debug Mode": was meinst du genau mit "funktioniert irgendwie nicht"?
Steht in der Ausgabe-Datei nichts drin? Gibt es eine Fehlermeldung und OpenVPN startet dann nicht mehr?

Am einfachsten "debugst" du, indem du das OpenVPN in einer Konsole im Vordergrund (ohne --daemon) startest, also in etwa

openvpn /mod/etc/openvpn.conf

Evtl noch den "verb" -Wert erhöhen, wenn zu wenig sichtbar ist.

 

[JokerGermany]

Hi,

Zum "Debug Mode": was meinst du genau mit "funktioniert irgendwie nicht"?
Steht in der Ausgabe-Datei nichts drin? Gibt es eine Fehlermeldung und OpenVPN startet dann nicht mehr?

Sry, ist wie immer, aber die Datei wird nicht angelegt.
angeblich läuft openvpn usw.

Am einfachsten "debugst" du, indem du das OpenVPN in einer Konsole im Vordergrund (ohne --daemon) startest, also in etwa

openvpn /mod/etc/openvpn.conf

Evtl noch den "verb" -Wert erhöhen, wenn zu wenig sichtbar ist.

openvpn --verb 3 /mod/etc/openvpn.conf
Options error: You must define TUN/TAP device (--dev)

 

[MaxMuster]

Welche GUI nutzt du?

EDIT Blöde Frage, den "Debug" Button gibts nur in der "Standard"-GUI.
Es wird eine OpenVPN-Config erstellt, ohne "dev tun|tap" drin?
Poste doch bitte mal die Konfig (ggf. den Server-Namen/IP raus X-en...

 

[JokerGermany]

Hi,

Zum "Debug Mode": was meinst du genau mit "funktioniert irgendwie nicht"?
Steht in der Ausgabe-Datei nichts drin? Gibt es eine Fehlermeldung und OpenVPN startet dann nicht mehr?

Am einfachsten "debugst" du, indem du das OpenVPN in einer Konsole im Vordergrund (ohne --daemon) startest, also in etwa

openvpn /mod/etc/openvpn.conf

Evtl noch den "verb" -Wert erhöhen, wenn zu wenig sichtbar ist.

Welche GUI nutzt du?

EDIT Blöde Frage, den "Debug" Button gibts nur in der "Standard"-GUI.
Es wird eine OpenVPN-Config erstellt, ohne "dev tun|tap" drin?
Poste doch bitte mal die Konfig (ggf. den Server-Namen/IP raus X-en...

Jop, standard gui

root@fritz:/var/mod/root# cat /mod/etc/openvpn.conf
# OpenVPN 2.1 Config, Thu Jan 1 01:56:53 CET 1970
proto tcp-client
dev tap0
#Helperline for rc.openvpn to add tap0 to lan bridge
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
tls-client
remote x.myfritz.net 80
nobind
route 192.x.x.0 255.255.255.0 192.x.x.1
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
cipher BF-CBC
comp-lzo
float
keepalive 10 120
resolv-retry infinite
status /var/log/openvpn.log
cd /var/tmp/openvpn
chroot /var/tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key
http-proxy 172.x.x.x 3128

 

[MaxMuster]

Achso, du hattest einen Befehl vor die Config geschrieben, dann musst du "--config <Datei>" nehmen.
Ich meinte, den Wert für verb in der GUI ändern. 3 nutzt das Programm eh, so steht es in der COnfig. Für andere Werte musst du es nach der Config-Datei angeben, z.B. :

openvpn --config /mod/etc/openvpn.conf --verb 6

 

[JokerGermany]

cat /var/tmp/debug_openvpn.out
Options error: Unrecognized option or missing parameter(s) in /mod/etc/openvpn.conf:28: http-proxy (2.3.8 )
Use --help for more information.

???

Wieso kann der nichts mit http-proxy anfangen?


€dit:
OK...
http://freetz.org/ticket/2744

in der Datei make/openvpn/openvpn.mk steht $(PKG)_CONFIGURE_OPTIONS += --disable-http-proxy für OpenVPN 2.3 und $(PKG)_CONFIGURE_OPTIONS += --disable-http für OpenVPN 2.2.

Falls Du HTTP-Proxy-Support brauchst, einfach die entsprechende(n) Zeile(n) auskommentieren.

Also
--disable-http-proxy
--disable-http

rausnehmen!?

 

[MaxMuster]

Jo, einfach auskommentieren

 

[JokerGermany]

ifeq ($(strip $(FREETZ_PACKAGE_OPENVPN_VERSION_2_2)),y)
$(PKG)_EXTRA_LIBS += $(if $(FREETZ_PACKAGE_OPENVPN_OPENSSL),-ldl)
#$(PKG)_CONFIGURE_OPTIONS += --disable-http
$(PKG)_CONFIGURE_PRE_CMDS += autoreconf -f -i;
endif

ifeq ($(strip $(FREETZ_PACKAGE_OPENVPN_VERSION_2_3)),y)
#$(PKG)_CONFIGURE_OPTIONS += --disable-http-proxy
$(PKG)_CONFIGURE_PRE_CMDS += $(call PKG_PREVENT_RPATH_HARDCODING,./configure)
$(PKG)_CONFIGURE_PRE_CMDS += $(call PKG_MAKE_AC_VARIABLES_PACKAGE_SPECIFIC,lib_polarssl_ssl_init lib_polarssl_aes_crypt_cbc)
endif

 

[MaxMuster]

Es reicht "dein" Zweig, also für ein OpenVPN 2.3.X der zweite Kommentar.

Zum Testen kannst du auch das neue Binary sirekt auf die Box kopieren (z.B. per scp oder so) und dann erstmal damit testen, ohne gleich ein neues Image zu bauen.

Wenn es z.B. in /tmp/ liegt, könntest du "/tmp/openvpn ..." ausführen um das Ergebnis zu sehen.

 

[JokerGermany]

Vielen Dank schonmal, jetzt muss ich "nur" noch am Proxy vorbei:
Thu Jan 1 01:29:31 1970 us=150810 Attempting to establish TCP connection with [AF_INET]172.X.X.X:3128 [nonblock]
Thu Jan 1 01:29:32 1970 us=152808 TCP connection established with [AF_INET]172.X.X.X:3128
Thu Jan 1 01:29:32 1970 us=152982 Send to HTTP proxy: 'CONNECT x.myfritz.net:80 HTTP/1.0'
Thu Jan 1 01:29:32 1970 us=212913 HTTP proxy returned: 'HTTP/1.0 504 Gateway Time-out'
Thu Jan 1 01:29:32 1970 us=213086 HTTP proxy returned bad status

Kann es sein, dass der Proxy ein Problem mit dem Befehl HTTP/1.0 hat?

€dit:
Mal ne Frage zu der forwarding rule:
ipv4forwardrules = "tcp 0.0.0.0:82 192.x.x.x:22 0 # SSH",
"tcp 0.0.0.0:11371 192.x.x.x:11371 0 # sks"
"tcp 0.0.0.0.80 0.0.0.0:80 # openvpn";

Wieso steht bei den nicht manuell gemachten routen eine 0 dahinter?

 

[MaxMuster]

Sorry, da kann ich nicht weiterhelfen. OpenVPN mit Proxy hab ich nie genutzt.

Aber du nutzt wirklich auf der Ziel-Box Port 80 für OpenVPN? Ist das der Port, den du beim OpenVPN eingetragen hast (bzw. wird Port 80, auf der Server-Box auf den VPN-Port weitergeleitet?

Wenn ich das richtig verstanden habe, gehört der "normale OpenVPN-Port" in die Config. Und der Port muss natürlich auch aus dem Internet erreichbar sein (Portfreigabe "auf die Box selbst", wie immer bei OpenVPN aus dem Internet).

 

[JokerGermany]

Wenn ich das richtig verstanden habe, gehört der "normale OpenVPN-Port" in die Config. Und der Port muss natürlich auch aus dem Internet erreichbar sein (Portfreigabe "auf die Box selbst", wie immer bei OpenVPN aus dem Internet).

Ist bei mir gar nicht möglich, da der Proxy den 1194 Port nicht durchlässt...