[Problem] Port Freigabe für OpenVPN

[pitzz]

Hallo, könnt Ihr mir helfen?
Ich bekomm die Portweiterleitung für einen OpenVPN Server unter Freetz nicht hin. Folgendes System habe ich:
FRITZ!Box Fon WLAN 7360 SL
Firmware: 109.06.20 rev29220
Freetz: devel-13065

Mit Linux und ssh komm ich ein wenig zurecht. Folgendes habe ich schon versucht:
1. Per vi habe ich erfolglos an der /var/flash/ar7.cfg geändert.
2. Das Paket avm-firewall oder avm-Forwarding kann ich für einen neuen Build in der menuconfig nicht finden.

Frage an euch: Welche Möglichkeiten gibt es und was würdet ihr mir empfehlen?
Danke und Gruß Pitzz

 

[koyaanisqatsi]

Moins

Mit einen Trick gehts doch.

Bringe deine Freigaben in den VoIP Forwardrules unter.

Beispielhaft für den TCP Port 8088...

/var/flash/ar7.cfg

        voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
                            "tcp 0.0.0.0:5060 0.0.0.0:5060",

[B]                            "tcp 0.0.0.0:[COLOR=#ff0000]8088[/COLOR] 0.0.0.0:[COLOR=#ff0000]8088[/COLOR]",[/B]

                            "udp 0.0.0.0:7078+32 0.0.0.0:7078";

        tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";

[B]        voip_ip6_forwardrules = "udp 5060,7078-7109", "tcp 5060,[COLOR=#ff0000]8088[/COLOR]";[/B]

Nach abspeichern sofort ar7cfgchanged ausführen.
Ein Neustart ist, glaub ich, nicht notwendig.

Im AVM Webinterface einsehbar auf der Seite: "http://fritz.box/system/security.lua"

PS: Willkommen im Forum

 

[pitzz]

kein Erfolg

Hallo koyaanisqatsi,
Danke für deine Antwort. Ich denke ich bin ein Stückchen weiter aber funktionieren will es trotzdem noch nicht.
Hier mal ein Protokoll von dem, was ich gemacht hab:

cat /var/flash/ar7.cfg > /var/tmp/ar7.cfg
 vi /var/tmp/ar7.cfg

        #vor Änderung:
        voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
                            "tcp 0.0.0.0:5060 0.0.0.0:5060",
                            "udp 0.0.0.0:7078+32 0.0.0.0:7078";
        tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";    
        voip_ip6_forwardrules = "tcp 5060", "udp 5060,7078-7109";

   
       #nach Änderung:
        voip_forwardrules = [B]"udp 0.0.0.0:1194 0.0.0.0:1194",[/B]  
                            "udp 0.0.0.0:5060 0.0.0.0:5060", 
                            "tcp 0.0.0.0:5060 0.0.0.0:5060",   
                            "udp 0.0.0.0:7078+32 0.0.0.0:7078";
        tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";    
        voip_ip6_forwardrules = "tcp 5060", "udp [B]1194[/B],5060,7078-7109";

      
cat /var/tmp/ar7.cfg > /var/flash/ar7.cfg
ar7cfgchanged

   
# Die Einstellungen sind nun unter [URL]http://192.168.2.1/system/security.lua[/URL] im AVM Interface einsehbar.
# Port 1194 wird als geöffnet angezeigt.
# Portscan mit nmap
nmap 192.168.2.1
Starting Nmap 6.40 ( [URL]http://nmap.org[/URL] ) at 2015-05-18 23:34 CEST
Nmap scan report for fritz.box (192.168.2.1)
Host is up (0.013s latency).
Not shown: 992 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
53/tcp   open  domain
80/tcp   open  http
81/tcp   open  hosts2-ns                                                                                              
443/tcp  open  https                                                                                                  
2002/tcp open  globe                                                                                                  
5060/tcp open  sip
8080/tcp open  http-proxy

Ein Neustart löscht alle Änderungen in der /var/flash/ar7.cfg

Wie Du siehst wird der Port 1194 beim Portscan nicht als geöffnet angezeigt. Was mach ich falsch?

Gruss Pitzz

 

[koyaanisqatsi]

Wenn du einen UDP Port freigibst, solltest du auch UDP scannen: nmap -sU -Pn -p1194 [Öffentliche IP]

Bei der ar7.cfg ist die F!B pingelig.
...was Leerzeichen Tabstops und so angeht.
Mach deine Freigabe lieber nicht als Erstes hinter dem Gleichheitszeichen.
Kopiere lieber eine vorhandene, füg die ein und ändere die ganz vorsichtig.
...und nimm nvi, als Wrapperskript macht es im Prinzip genau das,
was du am Anfang und am Ende mit cat gemacht hast.
Nach Speichern und ar7cfgchanged dann doch besser einen Reboot/Neustart?
...oder ohne ar7cfgchanged und gleich einen Reboot?
...oder wars Steckerziehen?
...bin mir nicht mehr sicher.

Bei mir hält die Freigabe schon etliche Neustarts, nicht aufgeben also.
...und berichte dann bitte die richtige Vorgehensweise für eine: 7360SL

 

[pitzz]

7360sl Portfreigabe hat funktioniert

Danke koyaanisqatsi
Meine 7360sl läuft jetzt

Folgendes Vorgehen war richtig:

ssh root@[FritzboxIP]
nvi /var/flash/ar7.cfg
       mit "/voip_f" die richtige Stelle zum Editieren suchen
       "Y" und "P" für Yank(copy) und Paste 
       "i" zum Editieren
       
        #vor Änderung:
        voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
                            "tcp 0.0.0.0:5060 0.0.0.0:5060",
                            "udp 0.0.0.0:7078+32 0.0.0.0:7078";
        tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";    
        voip_ip6_forwardrules = "tcp 5060", "udp 5060,7078-7109";
 
       #nach Änderung:
        voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
                            "tcp 0.0.0.0:5060 0.0.0.0:5060",
                            "udp 0.0.0.0:1194 0.0.0.0:1194",
                            "udp 0.0.0.0:7078+32 0.0.0.0:7078";
        tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";    
        voip_ip6_forwardrules = "tcp 5060", "udp 5060,7078-7109";

       "esc" ":wq" zum Schreiben und Quitieren

#speichern bestätigen mit "y"

Achtung: ar7cfgchanged + reboot und die Einstellungen waren wieder weg
Achtung: nur reboot und die Einstellungen waren auch wieder verloren
Netzstecker ziehen, warten, und die Port Weiterleitung funktionierte,
Reboot, warten, und die Port Weiterleitung funktioniert immer noch


Unter http://192.168.2.1/system/security.lua sind die Einstellungen im AVM Web-Interface einsehbar.
Port 1194 wird als geöffnet angezeigt.
nmap -sU -Pn -p1194 [Öffentliche IP] zeigt den Erfolg

 

[PeterPawn]

Und für's nächste Mal ... folgendes Vorgehen funktioniert auch ohne die Gefahr des Stromschlags:

1. cat /var/flash/ar7.cfg >/var/tmp/ar7_edit.cfg
2. vi /var/tmp/ar7_edit.cfg
3. Änderungen ausführen, das ist vi-Handwerk, Speichern nicht vergessen
4. ctlmgr -s
5. jetzt muß es zügig gehen, sonst schlägt irgendwann der Watchdog an
6. cat /var/tmp/ar7_edit.cfg >/var/flash/ar7.cfg
7. ctlmgr
8. der ctlmgr braucht so ca. 30 Sekunden, bis er alles wieder eingefangen hat
9. Änderungen überprüfen mit "cat /var/flash/ar7.cfg"
10. wenn nötig (hängt von den vorgenommenen Änderungen ab) jetzt noch ein "reboot", u.U. reicht auch ein "rc.net restart" (so macht es ar7cfgchanged auch bloß, das wird auch von der AVM-Firmware selbst gar nicht mehr verwendet, denn da fehlt eigentlich das Stoppen des ctlmgr, der nun mal die cfg-Files seinerseits cached)

PS: Das mit dem SSH-Login funktioniert natürlich auch nur, wenn man dropbear auf der Box hat ... von sich aus kann die FRITZ!Box nur Tel(l)net.

 

[dad401]

Ich hatte mit meiner 7490 das Problem, dass ich eine interne Portforwardregeln einfach nicht wegbekam - trotz der vorgenannten Anleitung. Wenn man zwischen Schritt 6 und 7 ar7cfgchanged aufruft klappt es jedoch. Vorher habe ich auf der Fritzbox-Oberfläche den TCP-Port für HTTPS freigegeben und danach wieder deaktiviert. Ob das zwingend notwendig war, kann ich nicht sagen.
Eventuell hilft es jemanden.
FW-Stand: FRITZ!OS 06.93-freetz-devel-14597M

 

[AdamSapfel]

Forward über "voip_forwardrules" hat leider den riesen Nachteil dass die Pakete von AVM getaggt werden und evtl nicht richtig weitergeleitet werden.
Für Hybrid heisst das konkret: DiffServ ausschalten! Was natürlich die bekannten Nachteile mit sich bringt
Das Problem ist dass Pakete über die normale Tunnel IP reinkommen, aber mit der DSL IP beantwortet werden (Telefonie über die Leitung mit niedriger Latenz) -> es kommt nie ein SYNACK beim Client an
Für bessere Vorschläge bin ich offen. Ständig Freigaben per cron offen zu halten find ich auch nicht so prickelnd

 

[koyaanisqatsi]

Hm, könnte der Nachteil in ein Vorteil gewandelt werden ?
...wirds irgendwo konfiguriert ?
...kanns für die "Separaten" separiert konfiguriert ( un/getaggt ) werden ?

 

[AdamSapfel]

Ich hab nichts gefunden, sonst hätte ich es ausgeschaltet. Kann aber schon sein.
Für mich seh ich keine möglichkeit eines Vorteile, nur den Nachteil dass ich kein SSH, Spiele etc mehr priorisieren kann wenn ich ein port öffnen möchte