VPN Fernzugang Port ändern?

[x2on]

Hi Leute,

ich habe meine Fritzbox 3170 auf die neuste Firmware, da diese endlich VPN Unterstützung hat. Leider habe ich keine Möglichkeit gefunden den Port für die VPN Verbindung zu ändern, da der Port 500 hier nicht freigegeben ist (von wo ich auf die Fritzbox will)

Jemand ne Idee ob ich das irgendwo verändern kann und wenn ja wie?

 

[LPW]

Hallo,

vergiß es und steige um auf OpenVPN. Das arbeitet mit nur einer Verbindung, deren Port konfigurierbar ist. Sofern das Ziel ein ständig laufender Rechner zu Hause ist, kannst Du OpenVPN darauf installieren. Ansonsten muß es in die Firmware der Fritz!Box integriert werden. Ob das bei Deiner Fritz!Box möglich ist, weiß ich nicht.

Mit freundlichen Grüßen
LPW

 

[x2on]

Hm das ist ja schade! Hab mir mal zum testen OpenVPN auf ner Linux Kiste installiert, bekomm es aber irgendwie nicht hin das die Fritzbox mir über VPN ne IP gibt?

Jemand ne Anleitung oder ne server.conf wie ich das realisieren kann?

Also mein Rechner soll von außen über VPN eine normale 192.168.178.x ip von der Fritzbox bekommen!

Danke

 

[LPW]

Hallo,

Hm das ist ja schade! Hab mir mal zum testen OpenVPN auf ner Linux Kiste installiert, bekomm es aber irgendwie nicht hin das die Fritzbox mir über VPN ne IP gibt?

Ich würde mir das sparen und den VPN-Clients IP-Adressen aus einem Bereich geben, der nicht vom DHCP-Server der Fritz!Box vergeben wird. Wenn also die Fritz!Box beispielsweise von 192.168.178.100 bis 192.168.178.200 vergibt, dann kannst Du den VPN-Clients doch den Bereich 192.168.178.210 bis 192.168.178.220 überlassen.

Es kommt natürlich zuerst darauf an, was Du willst: OSI-Layer 2 (wäre mit dem AVM Fernzugang (IPsec) ohnehin nicht gegangen) oder reicht OSI-Layer 3?

Jemand ne Anleitung oder ne server.conf wie ich das realisieren kann?

Wir wär's denn mit http://openvpn.net/? Und eine PKI kann komfortabel mit xca (http://www.hohnstaedt.de/xca.html) erzeugt und verwaltet werden.

Mit freundlichen Grüßen
LPW

 

[x2on]

[Edit frank_m24: Sinnfreies Fullquote vom Beitrag direkt darüber gelöscht. Lies noch mal die Forumregeln.]

Momentan benutzte ich folgende Einstellugen:

Server:

port <PORT>
proto udp
dev tun
ca certs/ca.crt
cert certs/server.crt
key certs/server.key
dh certs/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd
keepalive 10 120
client-to-client
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
push "route 192.168.178.0 255.255.255.0"

Client:

client
proto tcp
dev tun
remote <IP> <PORT>
nobind
persist-key
persist-tun
ca certs/ca.crt
cert certs/client1.crt
key certs/client1.key
comp-lzo
verb 3
route 192.168.178.0 255.255.255.0 10.8.0.1

Hab noch nicht rausgefunden was ich da genau umstellen muss... Vielleicht kann mir jemand weiterhelfen? thx

 

[LPW]

Hallo,

Momentan benutzte ich folgende Einstellugen:

Server:

port <PORT>
proto udp
dev tun

Also OSI-Layer 3, Du baust einen IP-Link auf. Vor diesem Hintergrund wird die Frage nach der IP-Adresse vom DHCP-Server der Fritz!Box vollends sinnlos. Das geht nur im Bridging Mode, also OSI-Layer 2 und dann könntest Du es so wie oben beschrieben handhaben. Und beim AVM-Fernzugang kannst Du den Clients IP-Adressen aus dem Subnetz des Servers zuteilen, weil IPsec ganz anders realisiert ist.

In der Folge müssen die Clients den Server mit seiner IP-Adresse ansprechen, denn NetBIOS geht nicht durch diesen Tunnel.

ca certs/ca.crt
cert certs/server.crt
key certs/server.key
dh certs/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

Das TUN-Device auf dem OpenVPN-Server bekommt 10.8.0.1, das auf dem zuerst verbindenden OpenVPN-Client 10.8.0.2, der nächste 10.8.0.3 usw. usf. Die Zuteilung wird in der Datei ipp.txt gespeichert. IP-Adressen aus Deinem LAN kannst Du hier nicht verwenden, denn Du mußt routen. Übrigens müssen sich auch die Subnetze der Clients von dem des Servers unterscheiden.

client-config-dir ccd

Wozu das? Das brauchst Du doch nur für clientspezifische Konfigurationen, die Du serverseitig vorgeben willst.

keepalive 10 120
client-to-client
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
push "route 192.168.178.0 255.255.255.0"

Die push-Anweisung sorgt dafür, daß auf dem System jedes Client bei Aufbau des Tunnels ein Routing-Eintrag vorgenommen wird, der ihm den Weg in Dein LAN zeigt. Die Systeme der Clients werden danach jedes Paket mit einer IP-Adresse der Form 192.168.178.x über das TUN-Device in Dein LAN leiten. Bei Abbau des Tunnels entfernt OpenVPN diesen Routing-Eintrag wieder. Gut.

Ich würde noch die float-Direktive ergänzen, weil Clients fast immer wechselnde IP-Adressen haben.

Die Direktiven user und group kann ich nicht einschätzen, da ich OpenVPN bisher nur unter Windows genutzt habe.

Client:

client
proto tcp

In der Serverkonfiguration hast Du proto udp angegeben, also mußt Du das auch clientseitig verwenden. UDP sollte man wann immer möglich einsetzen; TCP nur wenn nötig, etwa wenn Du mit einem Client auch Webproxies überwinden mußt.

dev tun
remote <IP> <PORT>

Wenn der Internetzugang des OpenVPN-Servers keine feste IP-Adresse hat, mußt Du noch ein DynDNS-Setup vornehmen und im Client anstelle von <IP> den DynDNS-Namen angeben. Die Fritz!Box kann so einen Namen automatisch aktualisieren.

nobind
persist-key
persist-tun
ca certs/ca.crt
cert certs/client1.crt
key certs/client1.key
comp-lzo
verb 3
route 192.168.178.0 255.255.255.0 10.8.0.1

Wozu diese Routing-Anweisung? Die gibst Du doch bereits serverseitig heraus.

Wenn Du noch eine TLS-Auth-Konfiguration hinfügst, schützt Du Dein Netz vor DoS-Attacken, siehe
http://openvpn.net/index.php/documentation/howto.html#security

Mit freundlichen Grüßen
LPW

 

[x2on]

Danke erstmal für die ausführliche Antwort

Hallo,
Also OSI-Layer 3, Du baust einen IP-Link auf. Vor diesem Hintergrund wird die Frage nach der IP-Adresse vom DHCP-Server der Fritz!Box vollends sinnlos. Das geht nur im Bridging Mode, also OSI-Layer 2 und dann könntest Du es so wie oben beschrieben handhaben. Und beim AVM-Fernzugang kannst Du den Clients IP-Adressen aus dem Subnetz des Servers zuteilen, weil IPsec ganz anders realisiert ist.

Hm das mit dem Layer habe ich noch nicht so ganz verstanden! Wäre es dann für meine Zwecke besser, das ganze anderes zu realisieren?

Das TUN-Device auf dem OpenVPN-Server bekommt 10.8.0.1, das auf dem zuerst verbindenden OpenVPN-Client 10.8.0.2, der nächste 10.8.0.3 usw. usf. Die Zuteilung wird in der Datei ipp.txt gespeichert. IP-Adressen aus Deinem LAN kannst Du hier nicht verwenden, denn Du mußt routen. Übrigens müssen sich auch die Subnetze der Clients von dem des Servers unterscheiden.

Wie kriege ich den OpenVPN Server dazu, das er mir eine 192.168.178.201 IP gibt?

Die push-Anweisung sorgt dafür, daß auf dem System jedes Client bei Aufbau des Tunnels ein Routing-Eintrag vorgenommen wird, der ihm den Weg in Dein LAN zeigt. Die Systeme der Clients werden danach jedes Paket mit einer IP-Adresse der Form 192.168.178.x über das TUN-Device in Dein LAN leiten. Bei Abbau des Tunnels entfernt OpenVPN diesen Routing-Eintrag wieder. Gut.

Kann ich mich damit z.B. auf die Fritzbox über OpenVPN einloggen?

In der Serverkonfiguration hast Du proto udp angegeben, also mußt Du das auch clientseitig verwenden. UDP sollte man wann immer möglich einsetzen; TCP nur wenn nötig, etwa wenn Du mit einem Client auch Webproxies überwinden mußt.

Das udp war ein c&p Fehler Muss TCP sein, da das Netz worau ich mit dem VPN will nur einen TCP Port offen hat.

Wenn der Internetzugang des OpenVPN-Servers keine feste IP-Adresse hat, mußt Du noch ein DynDNS-Setup vornehmen und im Client anstelle von <IP> den DynDNS-Namen angeben. Die Fritz!Box kann so einen Namen automatisch aktualisieren.

Das hab ich natürlich gemacht, wollte nur den Port und den dyndns Namen hier nicht posten

Danke schonmal!

 

[LPW]

Hallo,

Hm das mit dem Layer habe ich noch nicht so ganz verstanden!

Ich habe es auch nicht erklärt, sondern erwähnt, damit Du einen Ansatzpunkt zum Googlen hast. Es empfiehlt sich sehr, dies zu verstehen: http://de.wikipedia.org/wiki/OSI-Modell

Wäre es dann für meine Zwecke besser, das ganze anderes zu realisieren?

Von Deinen Zwecken hast Du bisher nichts verlauten lassen.

Wie kriege ich den OpenVPN Server dazu, das er mir eine 192.168.178.201 IP gibt?

Indem Du ihn zum einen im Bridging Mode, also auf OSI-Layer 2 betreibst und zum anderen sein TAP-Device mit seiner physischen Netzwerkkarte brückst.
http://openvpn.net/index.php/documentation/howto.html
http://openvpn.net/index.php/documentation/miscellaneous/ethernet-bridging.html

Man kann aber auch mit einem IP-Link (OSI-Layer 3) glücklich werden, zumal das effizienter ist. Bedenke, daß Dein LAN nach außen immer nur im lahmen Upload Deines ADSL-Zugangs antworten kann, Bandbreite in dieser Richtung also knapp ist. Verbindet man beispielsweise zwei LANs über gewöhnliche ADSL-Internetzugänge, ist die Bandbreite dieses Tunnels durch deren Upload-Datenraten begrenzt. Beim Windows Remote Desktop oder einer VNC-Lösung ist der Unterschied zwischen den beiden Betriebsmodi unter solchen Voraussetzungen deutlich zu spüren.

Kann ich mich damit z.B. auf die Fritzbox über OpenVPN einloggen?

Das geht auf beiden Layern, da die Fritz!Box ja über eine http- bzw. https-Verbindung, also letztlich über ganz ordinäres TCP/IP konfiguriert wird.

Das udp war ein c&p Fehler Muss TCP sein, da das Netz worau ich mit dem VPN will nur einen TCP Port offen hat.

TCP-Port 80? Vielleicht geht auch TCP-Port 443 (https, also http mit SSL). Zumindestens die Fritz!Boxen 7170 und 7270 wären dann sogar mit Bordmitteln sicher von außen zu erreichen.

Aber wie auch immer: Fritz!Box-spezifisch ist eigentlich nur die Frage, wie man OpenVPN nebst Konfiguration da reinpraktiziert. Ansonsten hast Du jetzt erstmal was zu lesen bekommen. Ich habe meinen ersten OpenVPN-Tunnel mit Hilfe der Links aufbauen können, die ich Dir in dieser Antwort gab. Eine weitere Hilfe könnte http://www.vpnforum.de/ sein, wobei ich Dir aber eher das Forum als das WiKi empfehle. Einlesen solltest Du Dich auf http://openvpn.net/.

Mit freundlichen Grüßen
LPW

 

[x2on]

Werd mir das gleich mal durchlesen!

Hab auch vor das ganze auf TCP 443 zu machen, der geht nämlich raus!
Das mit dem mageren Upload ist nicht schlimm, brauch das ganze nur um eine SSH-Verbindung und IMAPS/SMTPS zu meinem Server aufbauen zu können!

Danke für deine ausführlichen Tips...

 

[LPW]

Hallo,

Werd mir das gleich mal durchlesen!

Es lohnt sich. Ein VPN bauen zu können, macht sexy!

Hab auch vor das ganze auf TCP 443 zu machen, der geht nämlich raus!
Das mit dem mageren Upload ist nicht schlimm, brauch das ganze nur um eine SSH-Verbindung und IMAPS/SMTPS zu meinem Server aufbauen zu können!

Nun ja, solange es nur um kleine Textchen geht - aber spätestens bei HTML-Mails mit Bildern und/oder Anlagen wirst Du das bald anders sehen. Und warum sich mit der Konfiguration und dem Overhead der Secure-Varianten von Anwendungsprotokollen plagen, wenn Dir OpenVPN bereits genügend bewährte (!) Sicherheit bietet? IMAPS bedeutet IMAP mit SSL, OpenVPN ist aber selbst schon ein SSL-VPN.

Ich würde an Deiner Stelle sichere OpenVPN-Tunnel mit PKI und TLS-Auth aufbauen, im Tunnel dann aber locker bleiben und auf Secure-Varianten verzichten. Anders nur, wenn sich der "Tunnelmund" auf einem anderen Rechner als die Client-Anwendung selbst befindet oder auch auf einem Router, dessen LAN noch andere außer Dir nutzen. Niemand greift Tunnel an, weil die Endpunkte, auf denen ja der Klartext unvermeidlich wieder zutage tritt, im Moment noch unendlich viel unsicherer sind. Da nützen auch keine "SSL over SSL"-Türmchen womöglich noch in der eh schon ungünstigen TCP over TCP-Variante.

Übrigens kannst Du zumindestens aus der Sicht von Windows beruhigt zum Release Candidate 2.1 rc7 greifen, vor allem wenn Du auf OSI-Layer 3 tunnelst. Wenn alle als "fertig und getestet" verkaufte Software so zuverlässig laufen würde ...

Mit freundlichen Grüßen
LPW

 

[x2on]

[Edit frank_m24: Sinnfreies Fullquote vom Beitrag direkt darüber gelöscht. Lies noch mal die Forumregeln.]
Naja der VPN bietet mir ja nur die Verschlüsselung von meinem Rechner zu dem anderen Rechner, aber von dort zum Server wäre es ja dann unverschlüsselt.
Und da es ja wirklich nur um Texte geht (SSH Verbindung auf Server und IMAP/SMTP) und 1 Mbit Upload reicht dafür denke ich locker...
Windows nutze ich nicht OpenVPN Server ist Debian und Client Mac Leopard... Aber werde mir auch die RC ansehen! thx