Hi,
erstmal ein dickes Lob an alle, dass hier so ein tolles Forum entstanden ist. Egal welches Problem ich mit meiner FritzBox hatte, hier wurde mir immer geholfen - es stand alles schon da
Aber jetzt komm ich nicht wirklich weiter. Auch wenn es zum Thema VPN und pingen etc. so viele Beiträge gibt verlaufen sie sich entweder im Sande oder sind nicht wirklich das was ich brauch.
Zu meinem Problem
Meine FritzBox 7050 dient als VPN-Server. Der VPN-Server läuft, die Verbindung kann ich übers Internet herstellen. Mein Rechner (Alice) der via VPN die Verbindung zur FB herstellt, kann die FB pingen und kennt die Route zu einem anderen Rechner (Bob) im internen Netz hinter der FB.
Schematisch und mit IPs sieht das so aus:
Alice (10.0.0.2) ---[ Internet ]---> FB (10.0.0.1/192.168.10.254) ---[ LAN ] ---> Bob (192.168.10.23)
Die Routen der FB
Wie man an der markierten Zeile sieht, hab ich das Routing auch in die andere Richtung eingestellt (über das Web-Konfig-Tool). Ein Ping von Bob zu Alice geht!
Die Routen von Alice
Der Ping von Alice nach Bob funktioniert aber nicht. Ein traceroute zeigt, dass die FB den request blockiert.
Der Vollständigkeit halber häng ich hier noch die Configs der VPN-Seiten an:
Server (FB):
Client (Alice)
Meiner Meinung nach blockiert die Firewall der FB den Ping. Ich verwende aber die orginal-Firewall der FB, keine iptables.
Gibt es eine Möglichkeit der FritzBox das routen zwischen den internen Interfaces tap0 und eth* zu erlauben? Kann ich irgendwie die Firewall in dem Bereich aufbohren? Oder bin ich komplett auf dem Holzweg?
Gruß,
Robert
erstmal ein dickes Lob an alle, dass hier so ein tolles Forum entstanden ist. Egal welches Problem ich mit meiner FritzBox hatte, hier wurde mir immer geholfen - es stand alles schon da
Aber jetzt komm ich nicht wirklich weiter. Auch wenn es zum Thema VPN und pingen etc. so viele Beiträge gibt verlaufen sie sich entweder im Sande oder sind nicht wirklich das was ich brauch.
Zu meinem Problem
Meine FritzBox 7050 dient als VPN-Server. Der VPN-Server läuft, die Verbindung kann ich übers Internet herstellen. Mein Rechner (Alice) der via VPN die Verbindung zur FB herstellt, kann die FB pingen und kennt die Route zu einem anderen Rechner (Bob) im internen Netz hinter der FB.
Schematisch und mit IPs sieht das so aus:
Alice (10.0.0.2) ---[ Internet ]---> FB (10.0.0.1/192.168.10.254) ---[ LAN ] ---> Bob (192.168.10.23)
Die Routen der FB
Code:
/var/mod/root # route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.180.1 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.179.0 0.0.0.0 255.255.255.0 U 0 0 0 usbrndis
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
[i]192.168.1.0 10.0.0.2 255.255.255.0 UG 0 0 0 tap0[/i]
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.36.3.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan
192.168.9.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 0.0.0.0 0.0.0.0 U 2 0 0 dsl
/var/mod/root #Die Routen von Alice
Code:
mrjingle@alice:~$ route -n
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tap0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.10.0 10.0.0.1 255.255.255.0 UG 0 0 0 tap0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth1
mrjinge@alice:~$Der Ping von Alice nach Bob funktioniert aber nicht. Ein traceroute zeigt, dass die FB den request blockiert.
Code:
mrjingle@alice:~$ traceroute 192.168.10.23
traceroute to 192.168.10.23 (192.168.10.23), 30 hops max, 40 byte packets
1 10.0.0.1 (10.0.0.1) 133.988 ms 125.553 ms 126.905 ms
2 * *Der Vollständigkeit halber häng ich hier noch die Configs der VPN-Seiten an:
Server (FB):
Code:
daemon
port 10666 # or any other port you want to use
proto udp
dev tap0
dev-node /dev/misc/net/tun
tls-server
ca /var/tmp/vpn/ca.crt
cert /var/tmp/vpn/fritzbox.crt
dh /var/tmp/vpn/dh1024.pem
crl-verify /var/tmp/vpn/crl.pem
key /var/tmp/flash/vpn/fritzbox.key
tls-auth /var/tmp/flash/vpn/ta.key 0
mode server
mute-replay-warnings
keepalive 10 120
server 10.0.0.0 255.255.255.0
#ifconfig 10.1.0.1 255.255.255.0 # openvpn gateway
#ifconfig-pool 10.1.0.2 10.1.0.11 255.255.255.0 # ip range for openvpn client
#push "dhcp-option DNS 10.1.0.1" # push DNS entries to openvpn client
#push "dhcp-option DOMAIN home.vpn"
push "route-gateway 10.1.0.1" # push default gateway
mtu-test
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
push "route 192.168.10.0 255.255.255.0" # add route to network
client-to-client
comp-lzo
#log-append /var/log/openvpn
verb 3
persist-keyClient (Alice)
Code:
port 10666 # or any other port you want to use
proto udp
remote ... 10666
dev tap
ca ca.crt
cert quarks-linux.crt
key quarks-linux.key
tls-auth ta.key 1
;ns-cert-type server
;tls-remote fritzbox
client
pull
mute-replay-warnings
mtu-test
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ping 10
ping-restart 120
comp-lzo
persist-key
status /var/log/openvpn-status.log
verb 3Meiner Meinung nach blockiert die Firewall der FB den Ping. Ich verwende aber die orginal-Firewall der FB, keine iptables.
Gibt es eine Möglichkeit der FritzBox das routen zwischen den internen Interfaces tap0 und eth* zu erlauben? Kann ich irgendwie die Firewall in dem Bereich aufbohren? Oder bin ich komplett auf dem Holzweg?
Gruß,
Robert
Zuletzt bearbeitet:
