Portweiterleitung 7270 auf 0.0.0.0 für z.B. openVPN

[mcskive]

Ich habe mit grosser Freude das Freetz Image für FB 7270 gebaut, weil ich einen OpenVPN Server am Start haben will. Das ging auch sehr gut, der OpenVPN läuft auch, ich kann mich aus dem LAN verbinden, und genau da hört der Spass schon auf. Jetzt will ich ja von "draussen" rein, also in die ar7.cfg, mit nvi ja kein Problem, und die Weiterleitungsregel hinzugefügt:
"udp 0.0.0.0:1194 0.0.0.0:1194 0 # OVPN"; Aber, leider bringt das gar nichts. Der Port bleibt zu (keine Verbindung mit OpenVPN und auch nicht als offen angezeigt mit nmap), im Gegenteil, jetzt ist der Server auch aus dem Lan nicht mehr erreichbar!
Also, wer kann mir auf die Sprünge helfen, Googlen hat mich nämlich auch nicht weiter gebracht, wäre für einen hilfreichen Hinweis wirklich dankbar.

 

[Tippfehler]

Hast Du es mal mit TCP probiert?

 

[MaxMuster]

Bist du auch sicher, dass das genau die letzte Regel ist und die davor ein Komma statt Semikolon hat?

Es reicht übrigens ohne 0 und Kommentar:

"udp 0.0.0.0:1194 0.0.0.0:1194";

Jörg

 

[mcskive]

Ja, ich habe es auch mal mit TCP probiert und auf die Semikolon-/ Kommaregeln habe ich auch geachtet.

Kann es sein, dass es da noch eine Firewallregel gibt, die die Weiterleitung verhindert? Oder gibt es eine genaue "Stelle" in der ar7.cfg, wo die Weiterleitungsregel stehen muss, ich habe nämlich mehrer Stellen gefunden, wo solche Regeln stehen.
Hier habe ich "meine" Weiterleitungen (wahrscheinlich falsch?) eingetragen:

highoutput {
policy = "permit";
accesslist =
"reject ip any 242.0.0.0 255.0.0.0",
"deny ip any host 255.255.255.255",
"reject ip any 169.254.0.0 255.255.0.0",
"reject udp any any range 161 162",
"reject udp any any eq 111";
}
forwardrules = "tcp 0.0.0.0:21 0.0.0.0:21",
"udp 0.0.0.0:1194 0.0.0.0:1194",
"tcp 0.0.0.0:1194 0.0.0.0:1194",
"udp 0.0.0.0:5060 0.0.0.0:5060";
shaper = "globalshaper";

und weiter unter nochmal:

highoutput {
policy = "permit";
accesslist = "permit udp any any",
"reject ip any any";
}
forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060";
shaper = "globalshaper";

 

[MaxMuster]

Also, dann wird es das nicht sein.
Wenn du die Box im LAN nicht erreichen kannst, ist was anderes (an deiner Config?) faul.
Erst wenn es intern klappt, solltest du extern versuchen.

Jörg

 

[mcskive]

Ja, intern klappt es. Wenn gar keine Weiterleitungsregel besteht, kann ich mit openVPN Verbinden.

 

[MaxMuster]

Das einfachste, die "richtige" Stelle zu finden, ist in der Weboberfläche eine Regel einzutragen und die dann zu verändern.

Jörg

 

[mcskive]

Ja, so habe ich es gemacht

 

[MaxMuster]

Achso, ich dachte du wärst da unsicher.
Die Firewall (sofern du daran nicht "rungespielt" hast) blockt das nicht.

Aber sobald du die Regel drin hast, geht es auch intern nicht mehr?!?

Und an deiner Konfig kann es auch nicht liegen, lauscht du vielleicht nur auf einer IP?

Jörg

 

[mcskive]

Ja, sobald die Regel drin ist, kann ich auch intern nicht mehr mit VPN verbinden. Irgendwas hackt da!?

 

[MaxMuster]

Wie "aktivierst" du denn die Regeln in der ar7.cfg?
Taucht der Prozess denn noch im "ps" und der offene Port in "netstat -na" auf?

Jörg

 

[mcskive]

Der Prozess taucht auf:

1047 root 2824 S openvpn --config /mod/etc/openvpn.conf --writepid /var/run/openvpn.pid

und netstat -na zeigt den Port auch an:

udp 0 0 0.0.0.0:1194 0.0.0.0:*

hier der Vollständigkeit halber das ganze Listing:

/var/mod/root # netstat -na
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:5060 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:49000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:81 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:1011 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:8888 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:8888 127.0.0.1:1988 ESTABLISHED
tcp 0 0 192.168.10.1:23 192.168.10.20:49427 ESTABLISHED
tcp 0 0 127.0.0.1:3901 127.0.0.1:1011 ESTABLISHED
tcp 0 0 127.0.0.1:1011 127.0.0.1:3901 ESTABLISHED
tcp 0 0 127.0.0.1:1988 127.0.0.1:8888 ESTABLISHED
udp 0 0 0.0.0.0:1024 0.0.0.0:*
udp 0 0 0.0.0.0:1025 0.0.0.0:*
udp 0 0 0.0.0.0:1026 0.0.0.0:*
udp 0 0 0.0.0.0:1027 0.0.0.0:*
udp 0 0 0.0.0.0:1028 0.0.0.0:*
udp 0 0 0.0.0.0:4500 0.0.0.0:*
udp 0 0 0.0.0.0:7077 0.0.0.0:*
udp 0 0 0.0.0.0:1194 0.0.0.0:*
udp 0 0 0.0.0.0:53 0.0.0.0:*
udp 0 0 0.0.0.0:5060 0.0.0.0:*
udp 0 0 0.0.0.0:1900 0.0.0.0:*
udp 0 0 0.0.0.0:500 0.0.0.0:*
raw 0 0 0.0.0.0:2 0.0.0.0:* 7
raw 0 0 0.0.0.0:2 0.0.0.0:* 7
raw 0 0 0.0.0.0:2 0.0.0.0:* 7
raw 0 0 0.0.0.0:2 0.0.0.0:* 7
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ] DGRAM 1563 /var/tmp/me_multid.ctl
unix 2 [ ACC ] STREAM LISTENING 1825 /var/tmp/pbctrl
unix 2 [ ACC ] STREAM LISTENING 1827 /var/tmp/pb_event
unix 2 [ ] DGRAM 1833 /var/tmp/me_phonebook.ctl
unix 2 [ ACC ] SEQPACKET LISTENING 2129 /var/tmp/dect_manager
unix 2 [ ] DGRAM 1902 /var/tmp/me_voipd.ctl
unix 2 [ ] DGRAM 902 /var/tmp/me_logic.ctl
unix 2 [ ] DGRAM 912 /var/tmp/me_ctlmgr.ctl
unix 2 [ ] DGRAM 1433 /var/tmp/me_usermand.ctl
unix 2 [ ] DGRAM 2213 /var/tmp/me_igdd.ctl
unix 2 [ ] DGRAM 1747 /var/tmp/me_dsld.ctl
unix 2 [ ACC ] SEQPACKET LISTENING 1786 /var/tmp/foncontrol
unix 3 [ ] STREAM CONNECTED 2191 /var/tmp/pb_event
unix 3 [ ] STREAM CONNECTED 2190 /var/tmp/pbctrl
unix 3 [ ] STREAM CONNECTED 2189
unix 3 [ ] STREAM CONNECTED 2188
unix 3 [ ] STREAM CONNECTED 2139 /var/tmp/pb_event
unix 3 [ ] STREAM CONNECTED 2140 /var/tmp/pbctrl
unix 3 [ ] STREAM CONNECTED 2138
unix 3 [ ] STREAM CONNECTED 2137
unix 3 [ ] SEQPACKET CONNECTED 2136 /var/tmp/foncontrol
unix 3 [ ] SEQPACKET CONNECTED 2135

 

[MaxMuster]

Tja, im Moment fällt mir wenig dazu ein. Ist mir zumindest nie untergekommen, dass eine funktionierende Koniguration durch die Portweiterleitung "rausfliegt".

Wie ist denn dein Internetzugang? Über DSL oder über LAN? Geht denn die FTP Weiterleitung?

Jörg

Edit: Was mir noch einfällt: Wie ist es, wenn du den externen Port 4711 (oder was auch immer ;-)) auf 1194 weiterleitest und nicht den gleichen Port durchleitest?

 

[mcskive]

Ja, die FTP- Weiterleitung geht.

 

[MaxMuster]

Momentan bin ich mit meinen Ideen "am Ende". Vielleicht kannst du die anderen Fragen noch beantworten? Ich werde mal drüber schlafen, vielleicht hilft es ja...

Jörg

 

[mcskive]

Also, die Änderungen habe ich immer mittels Neustart aktiviert, ins Internet gehe ich via DSL, natürlich übers LAN.

 

[MaxMuster]

Könntest du das mit dem "anderen Eingangsport" noch testen (0.0.0.0:4711 0.0.0.0:1194) ?

Ansonsten: Welche FW-Version hast du?

Jörg

 

[mcskive]

Hallo Jörg,
also, mit dem ist es das gleiche, ich habe die Portweiterleitung erstmal über das Webinterface an

0.0.0.0:4711 192.168.10.20:1194

eingerichtet, und habe es dann mit nvi auf

0.0.0.0:4711 0.0.0.0:1194

geändert. Wieder kein openVPN Server mehr erreichbar. Möglicherweise liegt es doch an der Firmware-Version

54.04.57-freetz-devel-2238

, möglicherweise hat Feetz sich die neueste gezogen, habe aber keine Ahnung, wie ich einen älteren und stabileren Build hinbekomme. Auch interessant ist, dass das Webinterface von Fritz währen bestehen der Weiterleitungsregel in der ar7.cfg nicht erreichbar war und die Box nach Eingabe des Kennwortes abstürzte, die Freetzoberfläche war aber zu erreichen. Erst nachdem die Regel wieder in

0.0.0.0:4711 192.168.10.20:1194

benannt war, konnte man das Fritzinterface wieder erreichen. Ein reines Löschen der Regel, bewirkt übrigens auch, dass man die Fritz Oberfläche nicht erreicht. Bin ratlos!

Ich muss mich auch noch in einem weiteren Punkt korrigieren: Ich kann mich von innen NUR mit openVPN Verbinden, wenn ich mich auf die äussere IP verbinde, nicht jedoch wenn ich auf die LAN Adresse der Box verbinde, dass habe ich bis jetzt nur nicht gemerkt!
Grüße Marcus!

 

[MaxMuster]

Moin,

viel ist mir auch nicht mehr eingefallen. Auch in diesem Thread ging es um Probleme mit der .57-er Firmware (allerdings für die 7170) die aber, wenn ich das richtig überflogen habe, gerade mit den 0.0.0.0-Einträgen liefen.
Du könntest mal den dort genannten Neustart des ctlmgr beobachten, der die Regeln "parsed":

ctlmgr -s
ctlmgr -fv

Das einzige, was mir sonst noch als Möglichkeit einfiele wäre der "umgekehrte Weg", also eine eigene "virtuelle IP" einrichten und dann die Regel dafür im Webif eintragen:

ifconfig
# hier sollten deine Interfaces stehen, wenn z.B. lan dein "normales" ist 
# und das Fallback-Interface lan:0 und das Interface 
# "lan:1" sowie die IP 192.168.10.222 [B]nicht existieren[/B] dann eingeben 
ifconfig lan:1 192.168.10.222

Und dann halt die Weiterleitung auf 192.168.10.222:1194
Wenn das geht, kannst du die zusätzliche IP ja in die debug.cfg mit aufnehmen.

Jörg

EDIT: Zu deinem Nachsatz: Du hast aber keinen "local" Parameter in deiner Config mit aufgenommen???

 

[mcskive]

Danke für die Tips, werde sie mal testen und mich wieder melden. Nee, ein local Parameter habe ich nicht aufgenommen, wüsste gar nicht, was das ist