VPN Box <-> Box; Konfiguration Iptables

[Max]

Hallo,

leider kenne ich mich mit IP-Tables nicht so gut aus, daher diese Frage.

Ich habe zwei Fritz!Boxen per VPN miteinander verbunden. Jetzt will ich von der einen Box A auf die andere Box B zugreifen. Habe schon gelernt, dass dies nur aus dem lokalen Netz, jedoch nicht von Box zu Box möglich ist.

Box A: 192.168.1.0/24
Box B: 192.168.2.0/24

Jetzt die Frage: Kann ich Iptables so konfigurieren, dass ich von meiner Box A direkt Box B zugreifen kann??

Firmware ist schon entsprechend modifiziert. Nur mit den Iptables komme ich noch nicht so ganz klar... ;((

Danke für eure Hilfe!

Viele Grüße,
Max

 

[sf3978]

Box A (wenn 192.168.1.1):

iptables -t nat -A POSTROUTING -s 169.254.0.0/12 -d 192.168.2.1 -o dsl -j SNAT --to-source 192.168.1.1

Box B (wenn 192.168.2.1):

iptables -t nat -A POSTROUTING -s 169.254.0.0/12 -d 192.168.1.1 -o dsl -j SNAT --to-source 192.168.2.1

 

[Max]

Super. Vielen Dank! Das funktioniert schon mal.

Und was muss ich einstellen, wenn ich im Netz der Box B einen PC von Box A aus ansprechen will??

Box A: 192.168.1.1
Box B: 192.168.2.1
PC in Netz von Box B: 192.168.2.10

Vielen Dank!

MfG,
Max

 

[sf3978]

Dann auf der Box A nur:

iptables -t nat -A POSTROUTING -s 169.254.0.0/12 -d 192.168.2.0/24 -o dsl -j SNAT --to-source 192.168.1.1

oder zusätzlich auf der Box A:

iptables -t nat -A POSTROUTING -s 169.254.0.0/12 -d 192.168.2.10 -o dsl -j SNAT --to-source 192.168.1.1

 

[Max]

Hi sf3978,

Klasse! Vielen Dank! - Hier sind echte Profis. Super Forum.

Viele Grüße,
Max

PS: Eine Anfänger-Frage noch: Was hat es mit "-s 169.254.0.0/12" auf sich? Ist "169.254.0.0" eine Dummy-IP-Adresse??

 

[sf3978]

[...] Was hat es mit "-s 169.254.0.0/12" auf sich? Ist "169.254.0.0" eine Dummy-IP-Adresse??

Nein, es ist ein Netzwerk, dass die source-IP-Adresse des o-interface dsl beinhaltet. Diese IP-Adresse (169.254.2.1) könnte man auch verwenden.

 

[Max]

Ahh.... okay. Klar. Ich habs entdeckt:

dsl       Link encap:Point-to-Point Protocol
          inet addr:169.254.2.1  P-t-P:169.254.2.1  Mask:255.255.255.255

Danke Dir für die Hilfe!!

 

[RalfFriedl]

Besser als iptables und SNAT ist es , den src-Eintrag der entsprechenden Route richtig zu setzen.

 

[MrVenus]

Hallo RalfFriedl

wenn ich fragen darf was meinst Du mit dem hier:

src-Eintrag der entsprechenden Route richtig zu setzen

bzw. wie macht man sowas ....???

Es wurde hier schon gefragt...
http://www.ip-phone-forum.de/showthread.php?t=193996


vielen Dank vorab...

venus

 

[RalfFriedl]

Mit dem Kommando "ip route" kann man sich die Routen anzeigen lassen. Eine Eigenschaft dieser Einträge ist die Source-Adresse.
Beim Versand eines Pakets wird entsprechend der Ziel-Adresse des Pakets der passende Eintrag aus der Routing-Tabelle ausgewählt. Die Source-Adresse des Pakets wird von der Source-Adresse im Tabellen-Eintrag bestimmt. Für normale LAN-Interfaces setzt der Kernel die src-Einträge normalerweise automatisch korrekt. Bei VPN-Verbindungen ist dies oft nicht der Fall, man muß dann von Hand nachhelfen. Das ist aber eleganter als die Lösung mit iptables, weil so der Kernel direkt die korrekte Adresse generiert, während sonst der Kernel eine falsche Adresse wählt, iptables das Paket umschreibt, und alle weiteren Pakete der Verbindung auch durch iptables müssen.

# ip ro
192.168.178.0/24 dev lan  [B]src 192.168.178.1[/B]
169.254.0.0/16 dev lan  [B]src 169.254.1.1[/B]

Die Source-Adresse kann man entweder beim Erstellen der Route mit "ip ro add" angeben, oder nachträglich ändern mit "ip ro change". In der man-Page von ip ist das genauer beschrieben.

PS:
Wenn es eine Frage zu diesem Beitrag gibt, ist es sinnvoll, diese auch hier zu stellen und nicht anderswo.

 

[zoomy84]

hört sich gut an...

Was macht man wenn IP nicht vorhanden ist, kann diese Änderung auch mit ROUTE vorgenommen werden?

 

[RalfFriedl]

Im Manual von route steht nichts dazu. Das Programm ip ist sowieso der flexiblerer Nachfolger von ifconfig, route, arp usw.

 

[zoomy84]

Also nicht möglich oder nur mit Freetz? Lässt sich IP einbinden oder liegt das am verwendeten Kernel?

Möchte an der original Firmware wenig Änderungen vornehmen und auf Freetz möglichst verzichten.

Danke schonmal für die Hilfe...

 

[RalfFriedl]

Man kann ip in der Busybox aktivieren. Diese Busybox kann Bestandteil von Freetz sein, oder auf anderem Weg in eine Box geladen werden. Zum Erstellen dieser Busybox kann man Freetz verwenden, auch ohne nachher die Freetz Firmware auf die Box zu bringen. Das ist auf jeden Fall eine kleinere Änderung, als iptables zu nutzen.

 

[eisbaerin]

Bei mir geht "ip route" mit der Busybox 1.9.1 und 1.13.0 vom USB-Stick.

Ich hab da aber noch eine Frage: Hier geht es doch um AVM-VPN, oder nicht?

Ich habe aber für dieses AVM-VPN keinen Eintrag in der Routingliste und es geht aber trotzdem.
Anders beim OpenVPN, da muß ein Eintrag sein, sonst geht es nicht.

Was muß ich jetzt in der Routingliste eintragen oder ändern ???

 

[RalfFriedl]

Wenn für das AVM-VPN kein Eintrag in der Routing-Liste ist, wann wird es vermutlich auch vom dsl/kdslmod übernommen. Dann kann man da vermutlich nichts beeinflussen. Andererseits kann man sich dann bei AVM beschweren, wenn es nicht funktioniert.

 

[trueter]

Hallo liebe Forenmitglieder

ich habe ein kleines Problem.
Ich kann die Funktion "ip" obwohl ausgewählt im menuconfig nicht unter Freetz 1.1.3 bauen.

Andere Funktionen wie "less" werden gebaut.

Ein busybox Aufruf zeigt:

BusyBox v1.12.4 (2010-06-13 13:47:27 CEST) multi-call binary

und bei den "Currently defined functions:" ist ip nicht aufgeführt (less ist z.B. aber dabei)

Habt Ihr ein Tipp, was ich hier tun kann?

 

[RalfFriedl]

Was sagt denn auf dem Build-System

grep _IP .config

 

[trueter]

Was sagt denn auf dem Build-System

grep _IP .config

Sieht eigentlich gut aus:

FREETZ_BUSYBOX_IP=y
FREETZ_BUSYBOX_FEATURE_IP_ADDRESS=y
FREETZ_BUSYBOX_FEATURE_IP_LINK=y
FREETZ_BUSYBOX_FEATURE_IP_RULE=y
FREETZ_BUSYBOX_FEATURE_IP_ROUTE=y
FREETZ_BUSYBOX_FEATURE_IP_TUNNEL=y

 

[RalfFriedl]

Probiere mal "make busybox-dirclean" und erstelle dann nochmal die Firmware neu.