"local <eine.IP.der.Box>" ist der Parameter der dafür sorgt, dass der openvpn-Prozess nicht auf alle IPs "lauscht", sondern nur auf diese bestimmte.
Jörg
Jörg
Portweiterleitung 7270 auf 0.0.0.0 für z.B. openVPN
- Ersteller mcskive
- Erstellt am
Also, ich habe es einstweilen aufgegeben, einen OpenVPN Server auf der 7270 zum Laufen zu bekommen, eine Portweiterleitung auf die Box einzurichten, ist für mich einfach unmöglich. Die in diesem Thread besprochenen Dinge, habe ich nicht verstanden und kann keine Lösung daraus herleiten. Ich habe mir jetzt erstmal ein DS-MOD auf meinen alten Speedport900V geflasht, da geht noch alles problemlos - wirklich gut gemacht, die Weboberfläche, mit der man das OpenVPN administrieren kann.
Längerfristig würde ich aber gern die 7270 benutzen, deshalb: wer weiss, wie bzw. mit welcher Firmware ich einen OpenVPN Server auf der 7270 mit Portfreigabe nach aussen zum Laufen kriege - ich wäre für einen Hinweis sehr dankbar!
Wie bereits weiter oben geschrieben, ich hatte die neueste Firmware zum bauen des Freetz Images benutzt, Freetz läd die ja automatisch. Ich habe etwas Hoffnung, dass es mit einer älteren Version gehen könnte, nur wie bekomme ich das Freetz dazu, die zu nehmen (einfach in /DL schieben?) und mit welcher Version würde es gehen?
Längerfristig würde ich aber gern die 7270 benutzen, deshalb: wer weiss, wie bzw. mit welcher Firmware ich einen OpenVPN Server auf der 7270 mit Portfreigabe nach aussen zum Laufen kriege - ich wäre für einen Hinweis sehr dankbar!
Wie bereits weiter oben geschrieben, ich hatte die neueste Firmware zum bauen des Freetz Images benutzt, Freetz läd die ja automatisch. Ich habe etwas Hoffnung, dass es mit einer älteren Version gehen könnte, nur wie bekomme ich das Freetz dazu, die zu nehmen (einfach in /DL schieben?) und mit welcher Version würde es gehen?
Keine Forwarding von Aussen auf OpenVPN, trotz Eintrag in die ar7. Weiter oben haben wir das schon diskutiert. Auch kein Zugriff von Innen auf das OpenVPN über die lokale IP, nur Zugriff von INNEN über die äussere IP, klinkt komisch - ist aber leider so.
Ein weitere interessanter Aspekt wäre noch zu erwähnen. Selbst wenn das OpenVPN auf einer 2ten Maschine läuft (in dem Fall ein Speedport900V, der erwiesenermaßen funktioniert), und ich eine Portweiterleitung darauf mache, wird es nicht weitergeleitet! Was ist da los? Klingt mir nach einer grundsätzlichen Verhinderung von OpenVPN auf dem 7270 mit neuester Firmware.
Ein weitere interessanter Aspekt wäre noch zu erwähnen. Selbst wenn das OpenVPN auf einer 2ten Maschine läuft (in dem Fall ein Speedport900V, der erwiesenermaßen funktioniert), und ich eine Portweiterleitung darauf mache, wird es nicht weitergeleitet! Was ist da los? Klingt mir nach einer grundsätzlichen Verhinderung von OpenVPN auf dem 7270 mit neuester Firmware.
Zuletzt bearbeitet:
Also so ganz aufgeben würde ich das nicht.
Bislang ließen sich noch alle diese Dinge lösen.
Ist es denn evtl auch möglich, dass es ein "Problem" mit der Config gibt? Dass du dir da mit Routen und/oder IPs ein Problem "reingebastelt" hast?
Du könntest ja mal mit einer ganz trivialen Config testen, z.B. dem von der Openvpn-Seite:
Auf der Box:
Und dazu der Client
Jörg
Bislang ließen sich noch alle diese Dinge lösen.
Ist es denn evtl auch möglich, dass es ein "Problem" mit der Config gibt? Dass du dir da mit Routen und/oder IPs ein Problem "reingebastelt" hast?
Du könntest ja mal mit einer ganz trivialen Config testen, z.B. dem von der Openvpn-Seite:
Auf der Box:
Code:
cat > /var/tmp/ovpn.conf << 'ENDCONF'
dev tun
ifconfig 10.8.0.1 10.8.0.2
secret /var/tmp/flash/static.key
ENDCONF
killall openvpn
openvpn /var/tmp/ovpn.confUnd dazu der Client
Code:
remote fritz.box
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret static.keyJörg
Indem du guckst, in welcher Revision die Firmware verwendet wurde, und mit "svn up -r $rev-nr" "updatest.
Hi,
ich versuche das mal etwas ausführlicher darzustellen:
Erste Voraussetzung ist, dass du die "alte" Firmware für die Box noch hast. Die gehört dann ins "dl" Verzeichnis, sofern sie noch nicht drin ist.
Du kannst in der Datei "Config.in" ablesen, welche Firmware benutzt wird im Punkt "config FREETZ_DL_SOURCE" bei 7270. Indem du ein paar "ältere" Revisionen einträgst kannst du raussuchen, wann eine neue Firmware eingeführt wurde.
Wenn du z.B mit http://trac.freetz.org/browser/trunk/Config.in?rev=2190 schaust, siehst du oben, dass ab Revision 2187 die .57-er Firmware nutzt, davor die .55-er.
Wenn du dann dieser Version nutzt, wird die entsprechend ältere Firmware genommen.
Alternativ kannst du versuchen, mit "override Firmware" eine ältere Firware zu nutzen, meist wird das aber an den Patches scheitern...
Jörg
ich versuche das mal etwas ausführlicher darzustellen:
Erste Voraussetzung ist, dass du die "alte" Firmware für die Box noch hast. Die gehört dann ins "dl" Verzeichnis, sofern sie noch nicht drin ist.
Du kannst in der Datei "Config.in" ablesen, welche Firmware benutzt wird im Punkt "config FREETZ_DL_SOURCE" bei 7270. Indem du ein paar "ältere" Revisionen einträgst kannst du raussuchen, wann eine neue Firmware eingeführt wurde.
Wenn du z.B mit http://trac.freetz.org/browser/trunk/Config.in?rev=2190 schaust, siehst du oben, dass ab Revision 2187 die .57-er Firmware nutzt, davor die .55-er.
Wenn du dann dieser Version nutzt, wird die entsprechend ältere Firmware genommen.
Alternativ kannst du versuchen, mit "override Firmware" eine ältere Firware zu nutzen, meist wird das aber an den Patches scheitern...
Jörg
Mit der 55er Firmware läuft alles wieder einwandfrei. Ich kann im Moment nur empfehlen "Finger weg von der 57er" Würde mich aber trotzdem mal interessieren, was die da modifiziert haben, oder ob sie einfach noch zu "jung" war, für einen vernünftigen Mod.
Portfreigabe, Portfowarding mit der Fritz!Box 7270 funktioniert bei mir folgendermaßen unter der Firmware-Version 54.04.58:
Die folgende Zeile wird beim Start der Box ausgeführt (z.B. in debug.cfg gespeichert):
ifconfig lan:1 192.168.49.253 netmask 255.255.255.0 broadcast 192.168.49.255 up
In der Fritz!Box Benutzeroberfläche (http://fritz.box/) habe ich die folgende Portfreigaben eingetragen:
Bezeichnung.....Protokoll......Port......an IP-Adresse.....an Port
OpenVPN.........TCP............1194.....192.168.49.253....1194
SSH................TCP............22........192.168.49.253.....22
Bei dieser Methode muss die ar7.cfg nicht geändert werden. Das finde ich angenehm, weil ich so an den Fritz!Box eigenen Dateien nichts ändere. Die Portfreigabe SSH ist für OpenVPN natürlich nicht nötig. Ich möchte damit nur zeigen, wie einfach mit dieser Methode weitere Portfreigaben von der Benutzeroberfläche aus eingestellt werden können. 192.168.49.xxx ist das lokale Netzwerk meiner Fritz!Box. Die Zeile "ifconfig..." sorgt dafür, dass alle an Adresse 192.168.49.253 geöffneten Ports an 192.168.49.255, das ist die Fritz!Box selber, weitergeleitet werden. Bei der Fritz!Box 7170 habe ich anstatt "lan:1" dort "eth0:1" stehen, also für die 7170:
ifconfig eth0:1 192.168.178.253 netmask 255.255.255.0 broadcast 192.168.178.255
Ob die 7170 auch mit "lan:1" funktioniert kann ich derzeit nicht ausprobieren. Die 7270 hat mit "eth0:1" nicht funktioniert.
PS: Die OpenVPN Verbindung hat mit udp nicht funktioniert. Mit tcp geht es gut. In der client.ovpn Definitionsdatei musste ich - was ich in den Vorlagen nicht gefunden hatte - noch "float" eintragen. Seit dem funktioniert es. Empfehlenswert ist es, die Fritz!Box nach solchen Änderungen einmal neu zu starten (Versorgungsspannung unterbrechen). Erst dann werden manche Änderungen sicher übernommen.
Die folgende Zeile wird beim Start der Box ausgeführt (z.B. in debug.cfg gespeichert):
ifconfig lan:1 192.168.49.253 netmask 255.255.255.0 broadcast 192.168.49.255 up
In der Fritz!Box Benutzeroberfläche (http://fritz.box/) habe ich die folgende Portfreigaben eingetragen:
Bezeichnung.....Protokoll......Port......an IP-Adresse.....an Port
OpenVPN.........TCP............1194.....192.168.49.253....1194
SSH................TCP............22........192.168.49.253.....22
Bei dieser Methode muss die ar7.cfg nicht geändert werden. Das finde ich angenehm, weil ich so an den Fritz!Box eigenen Dateien nichts ändere. Die Portfreigabe SSH ist für OpenVPN natürlich nicht nötig. Ich möchte damit nur zeigen, wie einfach mit dieser Methode weitere Portfreigaben von der Benutzeroberfläche aus eingestellt werden können. 192.168.49.xxx ist das lokale Netzwerk meiner Fritz!Box. Die Zeile "ifconfig..." sorgt dafür, dass alle an Adresse 192.168.49.253 geöffneten Ports an 192.168.49.255, das ist die Fritz!Box selber, weitergeleitet werden. Bei der Fritz!Box 7170 habe ich anstatt "lan:1" dort "eth0:1" stehen, also für die 7170:
ifconfig eth0:1 192.168.178.253 netmask 255.255.255.0 broadcast 192.168.178.255
Ob die 7170 auch mit "lan:1" funktioniert kann ich derzeit nicht ausprobieren. Die 7270 hat mit "eth0:1" nicht funktioniert.
PS: Die OpenVPN Verbindung hat mit udp nicht funktioniert. Mit tcp geht es gut. In der client.ovpn Definitionsdatei musste ich - was ich in den Vorlagen nicht gefunden hatte - noch "float" eintragen. Seit dem funktioniert es. Empfehlenswert ist es, die Fritz!Box nach solchen Änderungen einmal neu zu starten (Versorgungsspannung unterbrechen). Erst dann werden manche Änderungen sicher übernommen.
Ja, diese Methode hatte ich damals auch ausprobiert, ging aber auch nicht. Habe dann eine ältere Firmware (54.04.55-freetz-devel-2179) genommen, mit der ging es dann gut. Hoffe, die hat keine grössere Sicherheitslücken inzwischen.
Habe es wie von dsade beschrieben gemacht, einschl. Neustart. Gestern ging es, heute kommt die meldung:
Jul 25 07:33:35 dsld[935]: internet: 192.168.1.252 not an intern host, forwardrule "tcp 0.0.0.0:22 192.168.1.252:22 0 # SSH" ignored
Intern funktioniert der ssh-Zugriff auf 192.168.1.252.
Labor-Version 54.04.97-11197-freetz-1.0
Any ideas?
Danke
Jul 25 07:33:35 dsld[935]: internet: 192.168.1.252 not an intern host, forwardrule "tcp 0.0.0.0:22 192.168.1.252:22 0 # SSH" ignored
Intern funktioniert der ssh-Zugriff auf 192.168.1.252.
Labor-Version 54.04.97-11197-freetz-1.0
Any ideas?
Danke
hi,
ich hab ähnliche Probleme mit OpenVPN auf der 7270 mit FW Version 54.04.58-freetz-1.0
und stelle gerade fest, daß ich an einem zweiten Standort mit meiner alten 7170 (jetzt mit 29.04.59-freetz-1.0-stable) das gleiche Problem habe...
merkwürdiger weise ging openvpn inkl port-fwd ca eine woche, dann wieder nicht
ich hab mehrere Wege versucht: anfangs ging ich manuell in die ar7.cfg, seit längerem setze ich per Webinterface ein fwd auf die ip des openvpn adapters - das blockt das AVM Webinterface nicht und es lief mit älteren FW Versionen immer gut
VirtualIP für freetz macht da ja auch nix anderes
jedenfalls ging dann auf einmal das PortFWD nicht, lokal war der server zu erreichen
Das einzige reproduzierbare Szenario ist folgendes: wenn ich das FWD aktiviere nachdem OpenVPN gestartet wurde, gehts nicht! Aktiviere ich erst das FWD (aus/an im WebIface) und starte dann OpenVPN (als freetz Dienst) läuft die Sache wie geschmiert.
Ich vermute also mal, das da der Hund begraben liegt.
Eine Idee für einen unschönen Workaround habe ich auch, weiß alelrdings nicht wie ich den realisieren soll: Einfach den OpenVPN Dienst erst am Ende zB per Verzögerung in rc.custom oder von Hand in der debug.cfg starten.
Dann gibts nach einem reboot (zB nach Stromausfall oder sonstwas) keine Probs.
Allerdings bin ich mir nun auch nicht sicher, ob bei Reconnects oder sowas die FWD Regeln irgendwie neu verarbeitet werden - das würde dann wieder alles zu nichte machen...
Auf jeden Fall ist seit ein oder zwei Final Versionen von AVM einiges im Arsch bzgl Port Forwarding auf die Box...
ciao
KoJac
edit: ok, habe eben mal per freetz webinterface einen DSL-reconnect durchgeführt (der startet wohl dlsd neu) und zack gehts nich mehr...
openvpn neustarten reicht nich, ich muss: OpenVPN stoppen, PortFWD auf tap0 ip im AVM WebIface aus, PortFWD an, OpenVPN starten
dann gehts wieder...
ich hab ähnliche Probleme mit OpenVPN auf der 7270 mit FW Version 54.04.58-freetz-1.0
und stelle gerade fest, daß ich an einem zweiten Standort mit meiner alten 7170 (jetzt mit 29.04.59-freetz-1.0-stable) das gleiche Problem habe...
merkwürdiger weise ging openvpn inkl port-fwd ca eine woche, dann wieder nicht
ich hab mehrere Wege versucht: anfangs ging ich manuell in die ar7.cfg, seit längerem setze ich per Webinterface ein fwd auf die ip des openvpn adapters - das blockt das AVM Webinterface nicht und es lief mit älteren FW Versionen immer gut
VirtualIP für freetz macht da ja auch nix anderes
jedenfalls ging dann auf einmal das PortFWD nicht, lokal war der server zu erreichen
Das einzige reproduzierbare Szenario ist folgendes: wenn ich das FWD aktiviere nachdem OpenVPN gestartet wurde, gehts nicht! Aktiviere ich erst das FWD (aus/an im WebIface) und starte dann OpenVPN (als freetz Dienst) läuft die Sache wie geschmiert.
Ich vermute also mal, das da der Hund begraben liegt.
Eine Idee für einen unschönen Workaround habe ich auch, weiß alelrdings nicht wie ich den realisieren soll: Einfach den OpenVPN Dienst erst am Ende zB per Verzögerung in rc.custom oder von Hand in der debug.cfg starten.
Dann gibts nach einem reboot (zB nach Stromausfall oder sonstwas) keine Probs.
Allerdings bin ich mir nun auch nicht sicher, ob bei Reconnects oder sowas die FWD Regeln irgendwie neu verarbeitet werden - das würde dann wieder alles zu nichte machen...
Auf jeden Fall ist seit ein oder zwei Final Versionen von AVM einiges im Arsch bzgl Port Forwarding auf die Box...
ciao
KoJac
edit: ok, habe eben mal per freetz webinterface einen DSL-reconnect durchgeführt (der startet wohl dlsd neu) und zack gehts nich mehr...
openvpn neustarten reicht nich, ich muss: OpenVPN stoppen, PortFWD auf tap0 ip im AVM WebIface aus, PortFWD an, OpenVPN starten
dann gehts wieder...
Zuletzt bearbeitet:
Ich habe gerade gestern die aktuellste Firmware ohne Freetz auf die 7270 gespielt. Und, was soll ich sagen, der 1194 Port wird nicht mal auf ein extern installiertes OpenVPN weitergeleitet. Keine Ahnung warum.
Das IPsec VPN, was die Box mitbringt, geht aber ganz gut, leider habe ich keinen brauchbaren Client für Linux gefunden.
Das IPsec VPN, was die Box mitbringt, geht aber ganz gut, leider habe ich keinen brauchbaren Client für Linux gefunden.
falls es noch irgendwen interessiert ,-):
es scheint so, als hätte ich eine Lösung:
ich wollte versuchen, die Firewall zu öffnen (jaja.. ,-)), das ging nicht so, wie ich mir das vorgestellt hab
bin dabei aber bei den PortFWD-Einstellungen des AMV-Firewall CGI Pakets gelandet
und wenn ich da eine Weiterleitung auf IP 0.0.0.0 mach läuft der Spaß
auch anch DSLD neustalrt und reboot
tja.. manchmal liegt die Lösung so nah ,-)
es scheint so, als hätte ich eine Lösung:
ich wollte versuchen, die Firewall zu öffnen (jaja.. ,-)), das ging nicht so, wie ich mir das vorgestellt hab
bin dabei aber bei den PortFWD-Einstellungen des AMV-Firewall CGI Pakets gelandet
und wenn ich da eine Weiterleitung auf IP 0.0.0.0 mach läuft der Spaß
auch anch DSLD neustalrt und reboot
tja.. manchmal liegt die Lösung so nah ,-)
Oh ja, interessiert mich das!
Erklär das doch bitt mal genauer, wie geht das mit der CGI Geschichte?, ich weiss nämlich absolut nicht was Du meinst!
Erklär das doch bitt mal genauer, wie geht das mit der CGI Geschichte?, ich weiss nämlich absolut nicht was Du meinst!
moin,
also: das Problem war wie gesagt, daß sich die Portweiterleitung verabschiedet hat - meist nach nem reconenct (oder eben dsld neustart).
was mit jetzt geholfen hat, ist die AVM firewall CGI Erweiterung des freetz-mod, mit der man die Firewall und PortFWD Regeln bearbeiten kann.
Das manuelle Ändern der Weiterleitungsregeln in der ar7.cfg wollte ich nicht benutzen, weil das dann Probleme mit der Original Weboberfläche gibt und ich andere ("normale") Weiterl. weiterhin benutzen (und ändern) können wollte.
Was ich gemacht habe ist: In der freetz Oberfläche im AVM Firewall Paket eine FWD Regel erstellt für den OpenVPN Port auf IP 0.0.0.0
Die Regel wird dann in der normalen AVM Oberfläche versteckt - somit gibts keine Probleme.
Und bisher läuft das ganze auch nach reboot und/oder dsld Neustart.
Was nun hier anders läuft als mit ar7.cfg oder meinen FWD Versuchen auf neue Interfaces... keine Ahnung - da kann man über das AFM-FW-CGI-Paket sicherlich was rausfinden.
so
hoffentlich war das hilfreich ,-)
KoJac
also: das Problem war wie gesagt, daß sich die Portweiterleitung verabschiedet hat - meist nach nem reconenct (oder eben dsld neustart).
was mit jetzt geholfen hat, ist die AVM firewall CGI Erweiterung des freetz-mod, mit der man die Firewall und PortFWD Regeln bearbeiten kann.
Das manuelle Ändern der Weiterleitungsregeln in der ar7.cfg wollte ich nicht benutzen, weil das dann Probleme mit der Original Weboberfläche gibt und ich andere ("normale") Weiterl. weiterhin benutzen (und ändern) können wollte.
Was ich gemacht habe ist: In der freetz Oberfläche im AVM Firewall Paket eine FWD Regel erstellt für den OpenVPN Port auf IP 0.0.0.0
Die Regel wird dann in der normalen AVM Oberfläche versteckt - somit gibts keine Probleme.
Und bisher läuft das ganze auch nach reboot und/oder dsld Neustart.
Was nun hier anders läuft als mit ar7.cfg oder meinen FWD Versuchen auf neue Interfaces... keine Ahnung - da kann man über das AFM-FW-CGI-Paket sicherlich was rausfinden.
so
hoffentlich war das hilfreich ,-)
KoJac
cando
Aktives Mitglied
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
Soviel ich weiss, ist das eigendlich das gleiche.
Das AVM-Firewall CGI macht eigendlich nichts anderes, als die ar7.cfg zu patchen. Und die wird beim Start vom dsld - deamon gelesen und entsprechend angewendet.
Mit der CGI ist es nur etwas schwerer, die ar7.cfg kaputt zu machen durch falsche Einträge, da das Interface an der richtigen stelle patcht und die syntax einhält.
Das AVM-Firewall CGI macht eigendlich nichts anderes, als die ar7.cfg zu patchen. Und die wird beim Start vom dsld - deamon gelesen und entsprechend angewendet.
Mit der CGI ist es nur etwas schwerer, die ar7.cfg kaputt zu machen durch falsche Einträge, da das Interface an der richtigen stelle patcht und die syntax einhält.
hermann72pb
IPPF-Promi
- Mitglied seit
- 6 Nov 2005
- Beiträge
- 3,726
- Punkte für Reaktionen
- 16
- Punkte
- 38
Es gibt keine Probleme mit der AVM-Weiterleitung, wenn man sich an der Syntax der ar7.cfg hält. Und ja, die Regel, die du in ar7.cfg manuell einfügst werden meistens nicht in AVM-Webif angezeigt, weil dort die Adressen 0.0.0.0 und die Boxadresse ausgefiltert werden, damit man keine Weiterleitung auf die Box machen kann.
MfG
Neueste Beiträge
-
FRITZ!Box 7590 / FRITZ!OS 8.00 vom 31.10.2024
- Letzte: Thomas5
-
[Frage] Voip und VPN- Letzte: erik
-
7590 flashen stor mtd1 funktioniert nicht
- Letzte: vincentvega4
-
Fritz!DECT 302 regelt nicht mehr- Letzte: Jstessi
-
[Problem] FritzBox 7590 2,4GHz WLAN nur noch sehr sehr schwach- Letzte: Zwanzigeinundzwanzig
-
[Sammlung] Fritz!Box 5690Pro, Inhaus/Labor 7.90, Pfad 'Smart24P1FCS'- Letzte: QBiT|RAMOC
