VPN-Server in Box integrieren

Multi VPN?

Hallo, ist es moeglich 3 Fritzbox-Netzwerke ueber VPN zusammenzuschalten?
Ich dachte dabei an ein Familiennetzwerk in dieser Art:
Code:
             -----------------------[Internet]------------------------
             |                           |                           |
        Fritz!Box                   Fritz!Box                   Fritz!Box
      192.168.1.201               192.168.1.202               192.168.178.203
         10.0.0.1 (VPN SRV)          10.0.0.2 (VPN C)             10.0.0.3 (VPN C)
           |   |                       |   |                        |   |
       +---+   +-----+             +---+   +-----+              +---+   +-----+
       |             |             |             |              |             |
     PC-A1         PC-A2         PC-B1         PC-B2         PC-C1         PC-C2
192.168.1.11  192.168.1.12  192.168.1.21  192.168.1.22  192.168.1.31  192.168.1.32
Heisst VPN dabei, dass es sich um eine Tunnel- (point-to-point) Verbindung handelt oder kann man wirklich ein Netzwerk aufbauen?
 
Das was Du da aufgemalt hast, ist mit OpenVPN möglich.
Wie es geht findet Du hier auf der OpenVPN Homepage
 
Code:
             -----------------------[Internet]------------------------
             |                           |                           |
        Fritz!Box                   Fritz!Box                   Fritz!Box
       192.168.1.1                 192.168.2.1                 192.168.3.1
     10.0.0.1 (VPN SRV)          10.0.0.2 (VPN C)            10.0.0.3 (VPN C)
           |   |                       |   |                        |   |
       +---+   +-----+             +---+   +-----+              +---+   +-----+
       |             |             |             |              |             |
     PC-A1         PC-A2         PC-B1         PC-B2         PC-C1         PC-C2
192.168.1.11  192.168.1.12  192.168.2.11  192.168.2.12  192.168.3.11  192.168.3.12

Hi,

Genau diesen Ausbau würde ich auch gerne umsetzen.
Allerdings fehlt mir noch ein wenig das Verständnis des ds-mod in doesem Zusammenhang. Ich habe hier mehrere 7170 mit der neuesten Firmware 29.04.29 und ds-mod 0.2.9 nach dieser Anleitung.
Bisher war auch alles kein Problem.

Muss ich nun für die Multi-Client Variante mit Zertifikaten den kompletten ds-mod (Webinterface-Einstellungen zu OpenVPN) ignorieren oder bekomme ich das auch über den "Standard" ds-mod hin.

Sorry für die eventuell dumme Frage.
Ich bin im Bereich VPN leider noch newbie.

wengi
 
Zuletzt bearbeitet:
Für Open-VPN ist der ds-mod im Grunde gar nicht zwingend erforderlich.

Es gibt neben der Variante mit ds-mod die Möglichkeit, ein openVPN Binary, das hier im Forum irgendwo herunterladbar ist, über die Datei debug.cfg bei jedem Booten der Fritzbox herunterzuladen. Die Konfigurationsdateien werden dann ebenfalls mithilfe der debug.cfg (mit echo Kommandos) geschrieben. Ich mach das immer noch so, weil zu dem Zeitpunkt, als ich das eingerichtet habe, openVPN noch nicht im dsmod integriert war und ich keine Notwendigkeit sehe, das zu ändern.

Im Grunde habe ich genau Deinen Aufbau seit etwa einem guten halben Jahr oder länger in Betrieb. Nur eins muss Dir klar sein. In den drei lokalen Netzen musst Du entweder mit einer vom Standard abweichenden Subnetzmaske (in diesem Fall z.B. 255.255.0.0) arbeiten oder Du musst die Netzwerkadressen ändern.
Andernfalls hast Du keine Chance ein Routing von einem Standort zum anderen einzurichten, da z.B. der Client PC-B1 den Rechner PC-A1 im eigenen Subnetz erwartet und daher entsprechende Datenpakete nicht an den Router senden wird.

Meine Konfiguration habe ich nach dem Howto zwei auf der openvpn.net Seite aufgebaut. Die CA habe ich auf einem Mac Rechner eingerichtet, das geht aber wohl auch unter Linux/Unix oder sogar unter Windows.

Ich hoffe, das hilft etwas weiter.
 
Vielen Dank,

mit den IPs hast Du natürlich Recht. Ich habe das von meinem "Vorredner" kopiert und nicht wirklich auf die IPs geachtet:-Ö .

Genau wie Du es aufgesetzt hst habe ich es auch vor.
Ich habe nur überlegt, ob ich auch den "einfacheren" Weg über das Webinterface gehen könnte, oder ob die Konfig über das ds-mod-Webinterface nur einen Client zulässt.

Ich werde es einfach mal versuchen.

Vielen Dank für Deine Hilfe

wengi
 
Ähm...

Hallo,

nachdem ich nun einiges probiert habe, schaafe ich es leider nicht, den OpenVPN-Server zu "instalieren", da immer beim starten mit ./openvpn folgende FM erscheint:
Code:
# chmod +x openvpn
# ./openvpn
./openvpn: can't resolve symbol '__uClibc_start_main'
Was mache ich falsch?
Ich habe die aktuellste Final-FW von AVM, keine Mods installiert. Habe alle OpenVPN-Versionen (2.0.5static, 2.1b8, 2.1b11, 2.1b12, 2_101, 2.1_beta14 & openvpn-with-lzo.tar.bz2) versucht - nichts. :(

Meine FBF: BusyBox v1.1.2 (2006.11.23-09:19+0000)

Bzw:
Warum tun oder tap? Wo ist der Unterschied?
Was bezeichnete den ATA-Modus?

Vielen Dank für eure Hilfe.

/EDIT
P.S.: Wetere Version getestet - geht nicht
 
Zuletzt bearbeitet:
Standardantwort: die Such-Funktion des Forums benutzen. Suche nach "can't resolve symbol '__uClibc_start_main'" und Du wirst ziemlisch schnell finden, dass Du wg. Kernel 2.6 einen neuere Version von openvpn benötigst, und möglicherweise auch, wo Du's herbekommen könntest.

Tschö, Jojo
 
Danke Dir, jojo-schmitz.

Falls Du zum Rest auch was sagen kannst, wäre ich Dir sehr verbunden...

Greets nach DDF...
 
Viel kann ich dazu nicht sagen. ATA ist, wenn die Box über ein weiteres externes Gerät ans Internet angeschlossen wird, also nicht selber via eingebautem DSL Modem.
Unterschiede zwischen tun und tap sollten sich ergooglen lassen, im Forum zu finden sein und/oder im wiki des Forums, habe mal was darüber gelesen, aber die Details vergssen.

Tschö, Jojo

PS: Düsseldorf kürzt sich (zumindest postalisch) zu Dssd ab, nicht DDF...
 
Männo...

siehe HIER: Noche eine Version probiert - geht aber auch nicht.

Mache ich was falsch?
Ich lade die openvpn auf die Box, mache sie dann ausführbar ("chmod +x filename") und starte sie mit ./openvpn - immer noch derselbe Fehler.

Und zur Suche: leider kann man nicht nach can't resolve symbol '__uClibc_start_main' suchen, sondern nur nach can't, resolve, symbol, '__uClibc_start_main' - und nun???

Greets...
 
Dann suche halt nur nach '__uClibc_start_main'
 
Hallo Razorworks,

zunächst mal willkommen im Forum.

Neben der schon angesprochenen Suchfunktion möchte ich dir auch noch das WIKI ans Herz legen, welches zu diversen Themen, unter anderem auch zum Thema OpenVPN existiert.
Razorworks schrieb:
Warum tun oder tap? Wo ist der Unterschied?
Denn dort und dort sind auch Infos und weitere Verweise zu der Frage, was es denn mit tap und tun so auf sich hat (Stichwort: Routing vs. Bridging)...


Jörg

EDIT: Blödsinn zur Signatur entfernt
 
Danke nochmal an jojo-schmitz & MaxMuster für die direkte Unterstützung.

Ich habe jetzt endlich ein OpenVPN-Binary gefunden, welches auch funktioniert - man höre (lese) und staune...

Jetzt geht es an die Config. Mal sehen, wie weit ich mit meinen Wünschen durch die Unterstützung hier im Forum komme.

Danke nochmals.

Greets
 
Hallo erstmal,

ich bin neu hier und wollte mal mein feedback abgeben.
Nachdem ich mit Interesse dieses (sehr mächtige) Forum durchgeackert habe, habe ich nun auch (nachdem ich fast mehrfach abgekotzt hatte) auf meiner 7170 den OVPN zum laufen gebracht.
Vorgegangen bin ich so:
Mit Friboli 29.04.29 Firmware mit ds-0.2.9_26-14 aufgebohrt.
Dann die Basics, Telnet, FTP etc, wie hier und bei tecchanel beschrieben, eingerichtet.
Openvpn war ne größere Hürde, die ich dank hellspawn's und und micalter's sehr guter doku, auch nehmen konnte. Großes Lob an die beiden :D
Der Dienst läuft nun mit Zertifikaten.

Was ich als nächstes angehen muss ist, den Dienst resistent zu machen. d.h. daß ovpn nach reboot wieder anläuft. Ich habe festgestellt, daß die Cert's nach reboot weg sind. Gibt es in der Box irgendwo einen Bereich, in dem ich die abblegen kann, so dass sie nach reboot noch da sind?
Ich arbeite (noch) ohne USB-Stick, deshalb meine Frage :ziggi:

äähm, wo ich gerade dabei bin. :oops: Ist es mögich am usb-port der 7170 einen usb-hub anzuschließen? Ich hab nämlich an der Box meinen Laser drangestöpselt.

Vielen Dank an dieses Forum

Gruß aus dem Saarland
Patrick
 
palela schrieb:
Ich habe festgestellt, daß die Cert's nach reboot weg sind. Gibt es in der Box irgendwo einen Bereich, in dem ich die abblegen kann, so dass sie nach reboot noch da sind?
Ich arbeite (noch) ohne USB-Stick, deshalb meine Frage :ziggi:
USB-Stick wäre eine Möglichkeit, uuencoded in der debug.cfg die Andere. So macht's das Pseudo Image von The Construct (z.Z. down) für dropbear/ssh

palela schrieb:
äähm, wo ich gerade dabei bin. :oops: Ist es mögich am usb-port der 7170 einen usb-hub anzuschließen? Ich hab nämlich an der Box meinen Laser drangestöpselt.
Klar geht das. Benutze ich seit langem

Tschö, Jojo
 
Hallo Patrick,
palela schrieb:
Mit Friboli 29.04.29 Firmware mit ds-0.2.9_26-14 aufgebohrt.[...snip...]
Was ich als nächstes angehen muss ist, den Dienst resistent zu machen. d.h. daß ovpn nach reboot wieder anläuft.
Wenn du den ds26-14.4 drauf hast, kannst du alle openvpn-Einstellungen in der GUI machen (auch die Keys eingeben) und diese Dinge bleiben dann beim Reboot auf der Box. Wenn du im ds dann noch den Starttyp auf automatisch stellst...

Jörg
 
Hallo Forum,

@jojo
Danke für deinen Tip und die Info.
Mir scheint es allerdings sehr aufwendig zu sein, die ganzen cert's in der default.cfg einzurichten.

@Jörg
Dir ebenfalls Danke.
Ich habe heute nebenbei herausgefunden wie man die Schreibrechte im GUI aktiviert. (bin ja noch neu hier)

code:
echo x > /tmp/flash/security
modsave
# with x being one of the following values:
# 0 : no restrictions
# 1 : only configuration files without shell commands might be edited
# 2 : no configuration files might be edited

Wenn die Certs so resistent sind, wäre das ja echt supi ;)

Ich habe 4 Dateien, die für openvpn benötigt werden. Sind die Zuweisungen so richtig? Beim fritzbox.key bin ich da nicht sicher...
ca.crt --> CA Cert
fritzbox.crt --> Box Cert
dh1024.pem --> DH Param
fritzbox.key --> Private Key (?)

Nun noch die server.conf in der default.cfg generieren lassen, dann sollte es so funzen?

Gruß Patrick
 
palela schrieb:
Hallo Forum,

@jojo
Danke für deinen Tip und die Info.
Mir scheint es allerdings sehr aufwendig zu sein, die ganzen cert's in der default.cfg einzurichten.
Man könnte si natürlich auch da ablegen, wo auch dropbear, busybox und Konsorten liegen und sie mit wget laden...
Allerding kämen da dann evtl. auch Fremde dran.

Tschö, Jojo
 
Guten Morgen,

palela schrieb:
Beim fritzbox.key bin ich da nicht sicher...
[...snip...]
fritzbox.key --> Private Key (?)
...Genau das ist richtig. Und die Keys und Einstellungen "überleben" den reboot. Du musst danach nur in der Gui openvpn starten, dabei wird die Config "von selbst" (natürlich von Startscript ;-)) erzeugt, du brauchst sie also nicht "erstellen lassen".

Jörg
 
Hi Jörg,

ich bin begeistert. Es funzt und alles bleibt nach reboot erhalten. SUPI!!!

nun probier ich noch dropbear und WOL aus.

Wenn ich das nun alles hinbekommen habe bin ich wunschlos glücklich mit der BOX.
Es hat mich schon lange genervt, daß die 7170 kein VPN kann. Ich habe auch schon überlegt mir deshalb nen anderen router zuzulegen (Vigor 2900VGI oder so)... Aber nun brauch ich das nemmer..
Danke Jungs, ihr seid echt klasse!!!!

Patrick
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.