[Problem] openWRT von unterwegs mit myfritz.net verbinden

[Yourdaniel]

Hallo,

nun möchte ich mich nach 8 Jahren hier doch mal zu Wort melden. Denn ich habe einen Traum, und der soll endlich Wirklichkeit werden

Da ich sehr oft in ausländischen Hotels unterwegs bin und dort nicht auf meine deutschen Inhalte im Internet, den Zugriff auf mein Festnetztelefon und mein SmartHome verzichten will, versuche ich folgendes umzusetzen:

[eigenes WLAN unterwegs] ---- [openWRT-Router] ---- [Hotel Wlan] ----[VPN] ---- [FritzBox zu Hause]

Dazu habe ich meinen Router auch erfolgreich nach dieser Anleitung eingerichtet: https://www.digitalreplica.org/2014/10/pocket-internet-privacy-shield/

Aber ich möchte nun ja nicht openVPN nutzen, sondern die Verbindung über AVM und myfritz.net

Und das krieg ich mal so gar nicht hin. Da die IP meines Routers unterwegs sich immer ändert, weiß ich auch nicht, wie ich das in der confg-Datei in der FritzBox anpassen kann.

Mit meinem Android-Handy kann ich immer wunderbar eine VPN-Verbindung nach Hause aufbauen. Gibt es nicht eine so einfache Config für StrongSwan bzw. eine andere Möglichkeit für openWRT? Ich bin am Verzeiwefeln, habe schon das ganze Netz durchsucht und finde nichts dazu


Zu meiner Ausstattung:

Auf dem Router (TP-WR710N) nutze ich OpenWrt Barrier Breaker 14.07 / LuCI Trunk (0.12+svn-r10530)
zu Hause ist es eine FB 7390 mit Fritz!OS 06.30
DSL mit 10Mb/s Upload

Zu den Motiven:

Zugriff auf Filme im Heimnetzwerk
Deutsche IP für Mediatheken
IP-Telefon zu Hause nutzen (FritzFon-App)


Hat hier jemand das schon umgesetzt oder kann mir einen Tipp geben, ob das überhaupt möglich ist?

Viele Grüße,
Daniel

 

[PsychoMantis]

Klar ist das so möglich. Nimmst einfach irgendein kleines WLAN-Gerätchen, was dann der WLAN-Client ist und stellst das im Hotel hin. Dahinter stellst du irgendeine Fritte hin (7240er, 7390er usw.). Bei der Fritte richtest du dann ein LAN-to-LAN-VPN ein (zu deiner Fritte zu Hause) und richtest so ein, dass bestimmte Clients mit bestimmten IP-Adressen dann über die Fritte zu Hause geroutet werden. Und schon hast du das, was du wolltest.

 

[Yourdaniel]

ja das stimmt natürlich, aber so muss ich immer 2 Geräte mitnehmen... eins wäre kleiner zu packen. und ich dachte, mit openWRT ist das irgendwie drin

 

[qwertz.asdfgh]

BTW:

Dahinter stellst du irgendeine Fritte hin (7240er, 7390er usw.).

Bei der 7390, 7490 und 4020 (die ist auch relativ günstig) könnte man sich das zusätzliche kleine Gerätchen als WLAN-Client sogar sparen.


@Yourdaniel
Die Unterschiede zwischen OpenVPN und IPSec IKEv1 sind dir bekannt? Du könntest dich also auch entscheiden, entweder OpenVPN auf der FritzBox zu Hause oder IPSec auf dem OpenWRT-Gerät.

 

[Yourdaniel]

ja, den Unterschied zwischen ipsec und openvpn kenne ich. lan to lan geht mit 2 fritzboxen leider nicht, wenn eine an ein ungesichertes wlan angeschlossen ist. von daher wird es wohl erstmal die kleine 4020 mit dem tplink... bis mir mal eine Anleitung für openWRT mit ipsec über den Weg läuft

 

[thtomate12]

MMn geht LAN-to-LAN auch mit NAT, falls du das mit "wlan angeschlossen" meinst.

 

[Yourdaniel]

ja, da hast du recht, aber laut der Antwort von AVM geht das nicht mit einem ungesicherten Wlan... und die meisten Hotels haben ungesichertes mit Anmeldung über eine Homepage
Und Lan-Anschluss im Zimmer ist gerade am Aussterben ...

 

[Yourdaniel]

So, für alle die es interessiert: Das funktioniert nach meinen Recherchen leider auch mit Lan-to-Lan und 2 Fritzboxen nicht. Zu Hause ist es kein Problem, da die FB ja direkt am Anschluß hängt. Aber unterwegs ist ja die Fb hinter einem anderen Router und so kann Sie die AVM-DynDNS nicht richtig zuweisen bzw. kommt hier eine Fehlermeldung. Die Box ist aus dem Netz nicht erreichbar. Ich habe mir gerade die Nacht um die Ohren geschlagen und es klappt einfach nicht...

 

[PsychoMantis]

Freilich ist deine Fritzbox, die du unterwegs hast von außen nicht erreichbar. Aber das ist auch egal. Warum soll denn die Fritte zu hause das VPN aufbauen? Deine Box zu Hause hat doch eine funktionierende dyndns-Adresse. Daher wird die Fritte unterwegs die VPN-Verbindung anstandslos aufbauen. Das funktioniert so bei mir schon lange. Z.B. habe ich eine Fritte zu Hause und eine am LTE-Anschluss. Die mit LTE ist auch nicht von außen erreichbar - die Verbindung gelingt trotzdem.

 

[PeterPawn]

@Yourdaniel:
Die VPN-Konfiguration von zwei gleichberechtigten Peers auf einen dedizierten Initiator (die "mobile" FRITZ!Box) und einen ausschließlich passiven Responder (die FRITZ!Box am DSL-Anschluß) umstellen, das geht allerdings mit dem GUI nicht. Wie es funktioniert, ist hier oft genug beschrieben.

Das ist auch kein spezielles FRITZ!Box-Problem, hinter einem Hotel-Router ist in aller Regel auch kein OpenWRT-Router oder irgendein anderes Gerät (falls hier jemand wieder "pfSense" schreien will) erreichbar.

Auf der anderen Seite verstehe ich gar nicht, wie man sich damit "die Nacht um die Ohren schlagen" kann ... außer man setzt auf "trial & error" anstelle von fundiertem Wissen als Ergebnis entsprechender Recherchen. Die Chancen, eine VPN-Konfiguration durch schrittweise Variation von Einstellungen (sicher!) zum Laufen zu kriegen, würde ich so auf ca. 2-3 Prozent schätzen ... zwar immer noch höher als ein Sechser mit Superzahl, aber auch keine Quote, bei der man allzu viel Zeit investieren sollte.

Insofern sind Deine Recherchen einfach falsch ... das Problem der WAN-Anbindung der mobilen FRITZ!Box mal außen vor gelassen, funktioniert das bei korrekten Konfigurationsdateien auf beiden FRITZ!Boxen praktisch aus dem Stand, solange das Hotel da keine Paketfilterung auf UDP 4500 verwendet.

 

[Yourdaniel]

Ok, ich nehme meine Aussage, dass es nicht funktioniert zurück. Hab es mittlerweile doch hinbekommen. Und, @PeterPawn, das war wohl eher ein Trial-and-Error, und nun hat es doch geklappt. Ich bin nicht sonderlich fit in Sachen Router, Routing etc....

Nun habe ich also tatsächlich 2 FritzBoxen miteinander verbunden. Für die einen total easy, für mich ein großer Schritt
Ich hatte da bei den IP´s der jeweils anderen Seite eine 1 anstatt eine 0 als letzte Stelle eingetragen...Naja, nun verbinden Sie sich jedenfalls und ich kann schonmal auf mein FHEM zu Hause zugreifen...allerdings frage ich mich noch, ob ich denn auch den ganzen Internetverkehr unterwegs über die VPN-Verbindung laufen lassen kann. Also dass ich mit der gleichen IP wie zu Hause surfe...der AVM-Service sagte zu mir am Telefon, das sei nicht möglich. Aber ich werde hier noch etwas recherchieren, ob ich nicht doch eine Möglichkeit finde. Bin gespannt, ob ich jetzt die richtigen Suchbegriffe finde

 

[qwertz.asdfgh]

... mein FHEM zu Hause...

Darf man mal fragen, auf welchem Device der läuft?

 

[Yourdaniel]

Darf man mal fragen, auf welchem Device der läuft?

Läuft auf meinem Raspi

 

[PsychoMantis]

der AVM-Service sagte zu mir am Telefon, das sei nicht möglich

Na und ob das möglich ist. In die VPN-Config für die unterwegs-Fritzbox fügst du folgendes hinzu (rot markiert):

                accesslist = "permit ip any 192.168.178.0 255.255.255.0"[COLOR=red], 
                              "reject udp any any eq 53", 
                              "reject udp any any eq 500", 
                              "reject udp any any eq 4500", 
                              "permit ip 192.168.174.50 255.255.255.255 any";[/COLOR]
        } 
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",

In diesem Beispiel ist die ZuhauseFritzbox die 192.168.178.0 und die unterwegs-fritte ist 192.168.174.0
Der Client, der die IP 192.168.174.50 hat surft mit der IP der Zuhause-Fritzbox. Alle anderen Clients surfen normal. Das heißt also am Ende nur, dass du noch dafür sorgen musst, dass der Client die besagte IP bekommt.

 

[qwertz.asdfgh]

Raspi

Wäre es dann nicht einfacher gewesen, auf der Himbeere neben FHEM auch einen OpenVPN-Server zu installieren und so deinen "Reise OpenWRT-Router" zu behalten?

 

[PeterPawn]

Das schaltet aber u.a. die DNS-Auflösung über den Tunnel komplett ab (ist an anderer Stelle gerade ein Thema, wo es wieder mal um die NetBIOS-Filterung an/aus geht), denn jedes UDP-Paket mit Zielport 53 wird nicht in den Tunnel gesteckt. Das ist auch einerseits sinnvoll und notwendig (denn die Adresse der FRITZ!Box daheim kann kaum über einen noch nicht aufgebauten Tunnel abgefragt werden), aber so sieht dann der Betreiber des Hotel-Netzes bzw. des DNS-Servers für den Hotel-Anschluß immer noch, auf welchen Seiten mit Erwachsenenunterhaltung der Gast denn so zugange war und zwar immer, denn DNS-Abfragen gehen dann immer direkt über die WAN-Verbindung.

Wobei das noch das geringere Übel ist ... solange da keine Prüfung der DNS-Ergebnisse auf dem Client erfolgt (DNSSEC-Client), kann der andere DNS-Server immer noch beliebige (auch falsche) Antworten liefern, was man bei einer VPN-Verbindung, über die man nach der eigenen Annahme ja auf das Internet zugreift, nicht unbedingt bemerken würde (solange da keine "end-to-end security" zum Einsatz kommt) und was - je nach den eigenen Anforderungen an das Sicherheitsniveau, wenn es z.B. um den Zugriff auf ein Firmennetzwerk geht - in einem VPN-Szenario vermieden werden sollte.

Da sorgt man dann besser dafür, daß der Client einen DNS-Server unter einer Adresse 192.168.178.x befragt (die erste Regel würde das in den Tunnel senden), das geht entweder durch die gezielte Konfiguration des Clients oder - bei neuerer Firmware - durch die Angabe der FRITZ!Box daheim als DNS-Server in der DHCP-Konfiguration der mobilen Box.

Auch das Sperren von DNS-Abfragen für bestimmte Dienste in Hotels, die es doch lieber sehen, wenn der Gast ihr eigenes Pay-TV-Angebot nutzt, würde mit der gezeigten Konfiguration noch funktionieren - auch da hilft der DNS-Server daheim.

Wenn man die gezeigte Konfguration ständig verwenden will (weil man mehrere Clients hat, die man nicht ständig auf einen anderen (festen) DNS-Server umstellen will und der DHCP-Server der FRITZ!Box noch keinen wahlfreien DNS-Eintrag erlaubt), dann bietet es sich hier an, die Zeile zum DNS einfach auszulassen. Um dann trotzdem eine Verbindung aufbauen zu können, beginnt man erst einmal mit einer deaktivierten VPN-Verbindung und startet von einem Client an der FRITZ!Box einen beliebigen Zugriff auf die DynDNS-Adresse daheim (oder auch auf die myfritz.net-Adresse, wenn man die verwendet). Kennt die Box dann erst einmal die richtige Adresse (sie cacht diese über die in der Antwort enthaltene TTL), aktiviert man die VPN-Verbindung und kann dann künftige DNS-Abfragen ganz normal über den Tunnel laufen lassen.

Ich würde mir wünschen, daß AVM irgendwann mal die DNS-Abfrage für einen VPN-Peer auch direkt über das dsl-Interface (bzw. an den "accesslist"-Einträgen vorbei) laufen lassen würde, zumindest solange keine VPN-Verbindung aufgebaut ist. Alles andere von mir Beschriebene überfordert den normalen Benutzer dann wieder etwas und dann kommen noch solche (falschen) Aussagen des AVM-Supports dazu, wie sie Yourdaniel ja offensichtlich erhalten hat.

Und noch eine letzte Bemerkung ... das mit dem Aufbau einer Verbindung auf der Basis einer über das GUI konfigurierten (gleichberechtigten) Verbindung mag hier eine Weile gut gehen, weil die Box daheim ja normalerweise keinen Grund hat, die Box "in der Ferne" zu suchen und dorthin eine Verbindung aufzubauen. Wird aber so eine bestehende VPN-Verbindung aus irgendeinem Grund kurz unterbrochen und in dieser Zeit treffen bei der Box daheim noch Pakete aus dem Internet ein, die für die entfernte Box bestimmt sind (beim Streaming wäre das die Regel), dann gibt es sehr wohl auch für die Box am DSL-Anschluß einen Grund, diese Verbindung aufzubauen und dann kann es durchaus zu den bekannten Kollisionen kommen, wo eine bereits erfolgreich aufgebaute Verbindung (wenn die mobile FRITZ!Box die Unterbrechung bemerkt und ihrerseits neu aufbaut) von einem Timeout für die zweite Verbindung (das wäre die von der festen FRITZ!Box zur mobilen) mit in den Abgrund gerissen wird. Ich wüßte nicht, daß AVM inzwischen etwas dagegen unternommen hätte, daß diese Kollisionen auftreten können.

Daher sollte (auch wenn ich mich wiederhole) eine VPN-Verbindung zu einer definitiv nicht für eingehende Verbindungen erreichbaren FRITZ!Box tatsächlich besser "passiv" eingerichtet werden, denn dann kann das beschriebene Szenario nicht auftreten, weil die feste Box ihrerseits nie eine Verbindung starten würde (bzw. kann).

@qwertz.asdfgh:
Schafft das die Himbeere tatsächlich, über den einzelnen FE-Port die (Film-)Daten von irgendeinem NAS entgegenzunehmen, für die OpenVPN-Verbindung zu verschlüsseln und dann wieder über das Ethernet-Interface zu versenden? Ich könnte mir da vorstellen, daß weniger die CPU-Performance (die reicht ja bekanntermaßen so la-la) ein Problem ist als vielmehr das "Gesamtpaket" aus dem einzelnen FE-Port für Senden und Empfangen und parallel noch die CPU-Belastung beim Verschlüsseln. Zumindest ab VDSL50 (in #1 steht was von 10 MBit/s Upload) stelle ich mir das eher weniger performant vor ... wobei man ohne Kompression (gerade Filme wären ja schon komprimiert, das wird durch die Verschlüsselung ja nur wenig beeinflußt, wie weit das noch besser zu komprimieren ist) sicherlich noch das eine oder andere Byte rausquetschen könnte aus der CPU-Performance des RasPi.

Hat das tatsächlich jemand hier im Einsatz (an einem passenden Anschluß mit größerem Upload) und kann etwas zum Durchsatz (mit AES-256-CBC und/oder BF-CBC) sagen und vor allem dazu, wie sich dann der Rest der Aufgaben des RasPi verzögert/verlangsamt?

 

[PsychoMantis]

Daher sollte (auch wenn ich mich wiederhole) eine VPN-Verbindung zu einer definitiv nicht für eingehende Verbindungen erreichbaren FRITZ!Box tatsächlich besser "passiv" eingerichtet werden, denn dann kann das beschriebene Szenario nicht auftreten, weil die feste Box ihrerseits nie eine Verbindung starten würde (bzw. kann).

Da stimme ich zu 100% zu. Nur wie richte ich das ein? Bitte um Hinweis/Link auf so eine Konfig.

 

[Yourdaniel]

Bitte um Hinweis/Link auf so eine Konfig.

Nun bin ich so ein Anfänger, dass ich immer alles über die FritzBox GUI mache. Bei der Herstellung der Lan-to-Lan-Verbindung der beiden Boxen wird auf beiden Boxen eine VPN-Verbindung erstellt. Box-zuHause und Box-unterwegs. Dabei lässt sich in der jeweiligen Konfiguration anklicken, ob die VPN-Verbindung immer automatisch aufgebaut werden soll oder nur bei einer angefragten Verbindung zur anderen Box.

Nun ist das nicht zu 100% passiv, aber immerhin weiß ich, dass von Box-zuHause nie auf Box-unterwegs zugegriffen wird. Also gehe ich davon aus, dass diese zuHause passiv bleibt. Bei der Box-unterwegs habe ich angegeben, dass die Verbindung immer und dauerhaft aufgebaut werden soll. Das klappt bisher auch ganz gut.

Mir ist es nur ein Rätsel, wie ich die

In die VPN-Config für die unterwegs-Fritzbox

die beschriebenen Zeilen einfügen kann...habe versucht mit winSCP auf die Datei zuzugreifen, aber ich komme nicht hin. Aber so ist das als Beginner - ich habe keine Ahnung, dafür Zeit :wink:

Wäre es dann nicht einfacher gewesen, auf der Himbeere neben FHEM auch einen OpenVPN-Server zu installieren und so deinen "Reise OpenWRT-Router" zu behalten?

Bestimmt ist das auch eine gute Möglichkeit, da hast Du mich tatsächlich auf eine Idee gebracht. Habe auch auf die Schnelle eine für mich verständliche Anleitung im Netz gefunden...damit könnte ich leben. http://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installieren/
Aber so nach dem ersten durchschauen weiß ich nicht, wie ich denn so einen Server von Unterwegs immer erreichen kann...gerade weil sich meine IP zu Hause ja täglich ändert.

 

[PeterPawn]

Da stimme ich zu 100% zu. Nur wie richte ich das ein? Bitte um Hinweis/Link auf so eine Konfig.

Einfach in der Konfiguration des Responders den Eintrag "remotehostname" und "remoteip" weglassen ... kennt die FRITZ!Box keine Adresse für den entfernten Host und hat auch keinen DNS-Namen, den sie abfragen kann, unterläßt sie ihrerseits alle ausgehenden Verbindungen zu diesem Peer. Das geht aber eben nicht bei einer über das GUI konfigurierten Verbindung, weil da immer remotehostname = remote_id für P1 angenommen wird und so muß man das von Hand einrichten.

 

[qwertz.asdfgh]

Schafft das die Himbeere tatsächlich, ...

Ich bin in der Tat davon ausgegangen, dass das kein Problem darstellen sollte bei 10Mb/s, probiert habe ich es jedoch mit einer Himbeere der 1. Generation nicht.
Ist die Performance der Himbeere 1 wirklich so mies? Bin nämlich durchaus davon ausgegangen, dass der Durchsatz nicht schlechter sein sollte als wenn das die FritzBox übernimmt.

Ich selbst habe das so umgesetzt, allerdings nicht mit einer Himbeere sondern mit einem x86-Prozessor basierten Device.

Aber so nach dem ersten durchschauen weiß ich nicht, wie ich denn so einen Server von Unterwegs immer erreichen kann...gerade weil sich meine IP zu Hause ja täglich ändert.

Das Problem hättest du doch auch, wenn du dafür die FritzBox verwendest, deshalb löst man dieses Problem z.B. mit einem DDNS-Service wie z.B. MyFritz (welchen du anscheinend bereits eingerichtet hast).