[Gelöst] VPN zw. DSL-Box in D und UMTS-Box in ES - ES-Verbindung hat 2 IPs (1 priv 1 öffentl)?

[Docmarten]

Ich warte vielleicht noch ab, bis ich mir genug Mut angetrunken habe, um DSL in ES zu deaktivieren. Normalerweise sollte das ja klappen, aber...

 

[PeterPawn]

Prost (o bien: ¡Salud) ... :bier:

Es ist ja in Ordnung, wenn man sich vorher Gedanken über den Rückweg macht ... aber es ist ja nun kein Hexenwerk, einen Mechanismus einzubauen, der nach max. 30 Minuten den vorhergehenden Zustand wiederherstellt, wenn man ihn nicht vorher abstellt, weil alles funktioniert.

 

[Docmarten]

Das geht? Und ist kein Hexenwerk? Ich hatte mir schon die Finger wundgegoogelt, ob es nicht irgendeinen Hack gibt, mit dem ich à la "Bei Anruf Mord" durch einen Anruf in ES und einen Zahlencode DSL wieder aktivieren könnte.
Wie geht das - über ein Skript o.ä.?

 

[PeterPawn]

Wie geht das - über ein Skript o.ä.?

Ja. Schau Dir mal in der /etc/init.d/rc.tail.sh der Box (Telnet ist natürlich Pflicht, aber darüber rede ich nicht in diesem Thread, dafür gibt es genug andere) an, wie AVM das z.B. mit einer 10-minütigen Verzögerung beim Ermitteln des Speicherbedarfs der geladenen Module nach dem Start realisiert.

In genau dieser Weise kann man mithilfe des Programms "tr069fwupdate" (configimport und configexport habe ich irgendwo mal analysiert/beschrieben) nach einer einstellbaren Verzögerung das Wiederherstellen einer älteren Einstellungsdatei mit anschließendem Neustart ausführen lassen.

Notfalls editiert man das bei der 7490 in den Startprozess mit hinein, dafür gäbe es ja modfs und wenn man das erst einmal an einer lokal erreichbaren Box ausführlich testet, ist das Risiko praktisch zu vernachlässigen. Man muß nur dafür sorgen, daß der Task zum "Warten" auf tatsächlich gestartet wird auf der Box in ES (und das eben auch nach einem unerwarteten Neustart, z.B. beim Umkonfigurieren des Zugangs).

 

[Docmarten]

VPN zw. DSL-Box in D und UMTS-Box in ES - ES-Verbindung hat 2 IPs (1 priv 1 ö...

Das klingt aufregend. Ich fürchte nur, dass mir die (DSL-)Zeit nicht reicht, um das zu durchdringen und hier zu testen (DSL endet am 13.8.).
Ich denke, dass ich morgen mal den Hebel umlege. So kann ich im Notfall nochmals meine remote hand bitten, Hand anzulegen (war BTW doch nicht der Hirte, sondern mein Freund Mariano, der nicht nur PC kann, sondern einer der begnadetsten Künstler ist, die ich kenne.

 

[Docmarten]

Ich hab's getan, und es hat funktioniert - ohne dass eine Unterbrechung der VPN-Verbindung bemerkbar gewesen wäre.
Muss man die Option "Internettelefonie über die mobile Internetverbindung - Internetrufnummern über mobile Internetverbindung nutzen..." eigentlich aktivieren, damit das mit dem Sipgate-Wachhaltedienst funktioniert?

 

[PeterPawn]

Muss man die Option "Internettelefonie über die mobile Internetverbindung - Internetrufnummern über mobile Internetverbindung nutzen..." eigentlich aktivieren, damit das mit dem Sipgate-Wachhaltedienst funktioniert?

Ich denke, das ist POTS?

Die erwähnte Option dient nur dazu, konfigurierte SIP-Accounts auch über die Mobilfunkverbindung (per IP wohlgemerkt) zu nutzen, was wg. Bandbreite (GSM/EDGE) und Verbrauch (bei Volumenabrechnung) nicht immer ein gute Idee ist.

EDIT: Quatsch, Du schreibst ja "sipgate", ich war mit dem Verständnis bei diesem 50 Cent-Call.

Ja, die Option braucht es, damit das sipgate-Konto bei Internet über Mobilfunk überhaupt verwendet wird.

 

[Micha0815]

...Muss man die Option "Internettelefonie über die mobile Internetverbindung - Internetrufnummern über mobile Internetverbindung nutzen..." eigentlich aktivieren, damit das mit dem Sipgate-Wachhaltedienst funktioniert?

Jau wie PeterPawn schrieb. Du kannst Die Mobilfunknummer von Yoigo gleichfalls aktivieren im Mobilfunkbereichund bist dann über die in *13# registrierte +346*** zu erreichen. Ganz nützlich für Support-Kurzwahlen zu Yoigo (falls kostenfrei) aus DE. Und wenn Du wieder vorort bist, kannst Du den Movistar-Router abbauen. Der Microfiltro oder Noisefiltro (Im Grunde ein Splitter) reicht eingeschleift von der Anschluss-Dose zur grauen DSL/TEL-Buchse mit einem präpariertem Kabel völlig aus, wenn Du keine DSL-Pläne mehr verfolgst. Es müssen nur die richtigen 2 (a/b) Pins am "Filtro-Ausgang" mit den richtigen Pins (nach meiner Erinnerung die mittleren 4+5) an der grauen Buchse verbunden sein. (Gibt es im Forum etliche Beiträge zu 7270/7390 + Spanien) Dann bist Du eingehend auch auf der Movistar-Festnetz-Nummer erreichbar, bzw. kannst den Quartalsanruf rausgehend tätigen, um die Nummer am Leben zu halten? Zumindest klappt es bei mir mit LAN-LAN 7240 DE<->(7240<->7340 Verbund-intern vorort-ES LAN<->LAN) sehr gut. Die 7240 DE steht auch z.Zt. entfernt (vgl. bei Dir Büro-Home) und ich greife darauf als VPN-Client zu. Dort habe ich die ES-Nummern via IP-Phone eingerichtet. Ob das mit der 7490 und Deiner Labor-FW aus dem Stehgreif klappt? In den Changelogs las ich was von IP-Phone-Sperren aus dem Heimnetz?
Dazu wird Dir (würde mich auch interessieren, wenn ich eine 7490 in ES an den Start bringe beim nächsten Besuch) PeterPawn oder andere Cracks hier sicherlich kurz einen Abriss geben können?

LG

P.S.: OT-Tip. Investiere mal in einen FVD (Free-Voip-Deal) Account und registriere darauf Deine Movistar-Festnetz-Nummer. Einheimische und sonstige Spanier rufen eher auf eine bekannte ES-Festnetznummer zurück - da oft selbst ES-Landes-Flat (Mobil+Fetsnetz), als irgendeine mit +49 beginnend

OT-Nachtrag: Eine Sperrliste von ES-Plagegeistern empfiehlt sich auf der ES-Fritz-Box, bevor lästige Cold-Aquise in DE Dich aus dem "Büroschlaf" reissen

Bekanntermassen liegt der Weltrekord in Silben/Minute in der spanischen Sprache (irgendein Mexikanischer Sportreporter?) obschon ich spanisch halbwegs verstehe, gerate ich wohl stets an Fitzerekordverdächtige Callcenter-MA`s

 

[Docmarten]

Hi Micha0815,
ich glaube, da gibt es ein Missverständnis: Ich hatte den Movistar-Router noch nie im Einsatz (und musste ihn nun BTW nach vier Jahren beim Kündigen des Vertrags auch zurück geben...).
Ich hatte von Anfang an eine 7270 für Tel. und DSL (Deutsche Version, auf Annex A gepatched) mit dem umgebauten Y-Kabel-Stecker an der Movistar-Doppelbuchse. Da hängt jetzt halt die 7490 dran, und die Festnetznummer geht natürlich auch über diese Box.
Und Labor-Firmware habe ich ja gerade nicht drauf, weil meine 7490 die internationale Version ist (da geht die Labor nicht zu installieren). Das Telefonieren über die FritzApp, verbunden per VPN mit der ED-Box, hat schon bei der 7270 leidlich geklappt. Ob es jetzt in dieser neuen Konstellation auch klappt, werde ich mal testen.

 

[Docmarten]

Noch ne Idee, ich frag mal lieber, bevor ich das Erreichte zerschieße:
Müsste es nicht möglich sein, auch über eine in der DE-DSL-Box registrierte DynDNS-Adresse samt entsprechendem Port direkt auf (beispielsweise) ein WebUI eines Geräts aus dem ES-UMTS-Box-Netz zu kommen, wenn man in der DE-DSL-Box die Portfreigabe auf die IP aus dem spanischen Netz einrichtet? So aus dem Stand geht es nicht: "Die Portfreigabe kann nicht erstellt oder aktiviert werden, da das Ziel nicht im Heimnetz liegt."

 

[andiling]

Eine reine Weiterleitung wird schwierig, da das Routing zurück aufgrund des unterschiedlichen Gateways nicht funktioniert. Da bräuchtest Du NAT.

 

[PeterPawn]

@Docmarten:
Wie andiling schon schrieb ... das geht nicht. Das Ziel einer Portfreigabe muß sich hinter dem "dev lan" befinden, das einer VPN-Verbindung hinter "dev dsl". Damit ist das mit der AVM-Implementierung nicht zu bewerkstelligen.

Was geht, ist das "Aufbohren" der DE-Box und das Hinzufügen eines "reverse proxy", der auf einem lokalen Port der FRITZ!Box lauscht und dann von dieser Box aus wieder die Verbindung nach ES herstellt (der hat dann eben die Absenderadresse der Box). Dafür kämen mehrere Tools in Frage, das ist aber in jedem Falle mit der Stock-Firmware so nicht machbar und braucht eine Erweiterung.

Aber Du solltest dann schon prüfen bzw. in Dich gehen, wie weit das noch gehen soll ... der einzige "Vorteil", den Du damit erzielen würdest, wäre der "clientfreie Zugriff" auf ein Gerät hinter der Box in ES oder die Box dort selbst. Ob sich der Aufwand dafür lohnt, wenn man doch am Smartphone bloß den VPN-Schalter betätigen muß, würde ich vorher genau überlegen.

 

[Docmarten]

Dafür kämen mehrere Tools in Frage, das ist aber in jedem Falle mit der Stock-Firmware so nicht machbar und braucht eine Erweiterung.

Ja, im PoolController-Forum hatten wir über PageKite diskutiert, aber da müsste man wohl in der Tat eine alternativ-Firmware auf die Box bringen (oder evtl. einen Raspi daneben hängen).

Aber Du solltest dann schon prüfen bzw. in Dich gehen, wie weit das noch gehen soll ... der einzige "Vorteil", den Du damit erzielen würdest, wäre der "clientfreie Zugriff" auf ein Gerät hinter der Box in ES oder die Box dort selbst. Ob sich der Aufwand dafür lohnt, wenn man doch am Smartphone bloß den VPN-Schalter betätigen muß, würde ich vorher genau überlegen.

Es geht mir weniger um den "clientfreien" Zugriff oder dass mir das Schalterumlegen zu viel wäre als vielmehr über die Option, Dritten Zugang zu bestimmten Geräten zu ermöglichen, ohne dass sie gleich voll sowohl im hiesigen als auch im dortigen Netzwerk unterwegs sind. Z.B. der erwähnte PoolController: Die Jungs, die ihn bauen, sind so freundlich und schauen bei Bedarf auf Stati und Konfiguration (da läuft ja einiges an chemischen Prozessen inkl. Salz-Elektrolyse). Ohne DynDNS müsste ich sie hier bei mir ins Netzwerk lassen, in dem nicht alle Geräte noch einmal eine separate Zugangskontrolle haben.

 

[PeterPawn]

Es geht mir weniger um den "clientfreien" Zugriff oder dass mir das Schalterumlegen zu viel wäre als vielmehr über die Option, Dritten Zugang zu bestimmten Geräten zu ermöglichen, ohne dass sie gleich voll sowohl im hiesigen als auch im dortigen Netzwerk unterwegs sind.

Dafür bietet die FRITZ!Box die Möglichkeit, eine VPN-Verbindung gezielt auf einen einzelnen LAN-Port zu beschränken. In so einem Fall hängt man dann dieses Gerät an so einen reservierten Port und die FRITZ!Box baut eine (IPSec-Standard-)VPN-Verbindung irgendwo zum Hersteller auf. Dann hat der seinerseits vollen Zugriff - aber eben nur auf die an diesem Port angeschlossenen Geräte. Ob und wie der dann einen solchen "VPN-Server" betreibt oder ob man das irgendwo noch umleiten muß, hängt konkret von den Gegebenheiten beim Hersteller ab.

Mit ein wenig Handarbeit könnte es sogar möglich sein, für so einen reservierten Port zwei verschiedene VPN-Verbindungen gleichzeitig zu starten, damit man selbst auch noch Zugriff hat ... ansonsten ist dieser Port eben auch komplett vom LAN isoliert. Wenn man einen eigenen Redirector betreibt, braucht es natürlich nur die VPN-Verbindung dorthin und keine zweite.

EDIT: Und "Pagekite" ist für die FRITZ!Box und dieses relativ simple Ansinnen total überdimensioniert, denn das basiert auf Python und dieses hat einen nicht unerheblichen "foot print" auf der FRITZ!Box. Für solche simplen Sachen reicht ggf. schon "nc" und event. noch "tcpsvd" - beides in einer eigenen Busybox problemlos möglich und diese auf eine 7490 zu bringen, dauert max. 10 Minuten.

EDIT2: Ich habe das gerade mal ausprobiert, das funktioniert mit "tcpsvd 192.168.x.1 40081 nc 192.168.y.z 80" wunderbar, den Port 40081 der ersten Box auf eine Adresse in einem per VPN gekoppelten Netzwerk umzuleiten ... nur das Freigeben eines IPv4-Ports auf der Box braucht die entsprechende Modifikation an der ar7.cfg, der Rest kann ggf. sogar direkt vom USB-Stick laufen, da braucht es keine Modifikation der Firmware (außer der, die notwendig ist, damit man überhaupt an die "Innereien" kommt). Wenn man das wieder auf einen TLS-gesicherten Port umleitet, ist die Verbindung eben auch gesichert, nur daß logischerweise ein Zertifikat-Fehler moniert wird, wenn das vom Ziel präsentierte Zertifikat nicht zum DynDNS-Namen der Box paßt.

 

[Micha0815]

Sorry

Hi Micha0815,
ich glaube, da gibt es ein Missverständnis: Ich hatte den Movistar-Router noch nie im Einsatz (und musste ihn nun BTW nach vier Jahren beim Kündigen des Vertrags auch zurück geben...).
Ich hatte von Anfang an eine 7270 für Tel. und DSL (Deutsche Version, auf Annex A gepatched) mit dem umgebauten Y-Kabel-Stecker an der Movistar-Doppelbuchse. Da hängt jetzt halt die 7490 dran, und die Festnetznummer geht natürlich auch über diese Box.
...

dass ich das aus diesem und dem anderen GSM-Gateway-Thread anders auf dem Schirm hatte, ohne alles profund nochmals zu Durchforsten.

Ich wäre fast geneigt, Dir zu empfehlen, die YOIGO-Nummer nicht fix zu registrieren. Egal welcher voicefähige Stick installed, neigen zumindest FB 72XX/73XX sich nach geraumer Zeit mal aufzuhängen. Mit einer 7490 und aktueller FW habe ich keine Langzeiterfahrung!
Ich hoffe daher, dass Du eine Zeitschaltuhr oder Vergleichbares -Dect200- für gelegentliche Neustarts vorgesehen hast.

Von den Anforderungen einer PoolSteuerung und dessen Aufgaben ... Pumpe/Filtern ... k.A. wie wichtig oder autark das Laufen kann.

Ich selbst lasse eine Wasserpumpe 1mal/Woche kurz anlaufen, um Druck in der Hauswasserversorgung via Deposito aufzubauen- Die Vorort-Wasserversorgung und dort der Druck fallen schonmal Tagelang aus, was einige WC-Wasserkästen mit Druckabschaltschwimmer-/Überlauf-Ventilen garnicht mögen. Dann plätschert ggfs. unnütz Wasser in den Pozzo-Negro

Es wäre bitter, eines Tages erkennen zu müssen, dass ohne Vorort-Stecker-Ziehen an der ES-Box nixmehr geht.

Ich freue mich für Dich, dass es bisher so gut klappt und habe selbst wieder Einiges für die eigene Konstellation hier dazugelernt.

LG

 

[Docmarten]

"tcpsvd" - beides in einer eigenen Busybox problemlos möglich und diese auf eine 7490 zu bringen, dauert max. 10 Minuten.

Also BusyBox auf USB Stick und in die DE-DSL-Box einbinden, so dass Dritte über DynDNSort auf eine Zieladresse im Netz der ES-UMTS-Box weitergeleitet werden, korrekt? Und...

EDIT2: Ich habe das gerade mal ausprobiert, das funktioniert mit "tcpsvd 192.168.x.1 40081 nc 192.168.y.z 80" wunderbar, den Port 40081 der ersten Box auf eine Adresse in einem per VPN gekoppelten Netzwerk umzuleiten ... nur das Freigeben eines IPv4-Ports auf der Box braucht die entsprechende Modifikation an der ar7.cfg

Nicht die normale Weiterleitungseinrichtung auf dem WebUI, sondern manuell in der ar7.cfg editieren? So etwas wie:

forwardrules = "tcp 192.168.50.1:40081 192.168.0.123:80 # poolcontroller",

der Rest kann ggf. sogar direkt vom USB-Stick laufen, da braucht es keine Modifikation der Firmware (außer der, die notwendig ist, damit man überhaupt an die "Innereien" kommt).

Ist mit "Rest" die BusyBox mit tcpsvd gemeint?

 

[Docmarten]

Ich wäre fast geneigt, Dir zu empfehlen, die YOIGO-Nummer nicht fix zu registrieren. Egal welcher voicefähige Stick installed, neigen zumindest FB 72XX/73XX sich nach geraumer Zeit mal aufzuhängen. Mit einer 7490 und aktueller FW habe ich keine Langzeiterfahrung!
Ich hoffe daher, dass Du eine Zeitschaltuhr oder Vergleichbares -Dect200- für gelegentliche Neustarts vorgesehen hast.
...
Es wäre bitter, eines Tages erkennen zu müssen, dass ohne Vorort-Stecker-Ziehen an der ES-Box nixmehr geht.

Ich hatte die Hoffnung, dass die Instabilitäten/das Aufhängen nicht die 7490 beträfen und daher keine Zeitschaltuhr aktiviert. Aber es schaut einmal pro Woche jemand vorbei, und das FB-Stecker-Ziehen habe ich ihm schon vor langer Zeit beigebracht

 

[PeterPawn]

Also BusyBox auf USB Stick und in die DE-DSL-Box einbinden, so dass Dritte über DynDNSort auf eine Zieladresse im Netz der ES-UMTS-Box weitergeleitet werden, korrekt? Und...

Ja, das hast Du soweit richtig verstanden ... aber

forwardrules = "tcp 192.168.50.1:40081 192.168.0.123:80 # poolcontroller",

wird m.E. nicht funktionieren (mußt Du halt probieren).

Was ich gemacht habe, ist das Hinzufügen von

internet_forwardrules = "tcp 0.0.0.0:40081 0.0.0.0:40081 0";

, womit der Port auf die Box (ja, ich meine hier "wohin", daher "auf die Box") selbst freigegeben wird.

Dann braucht es noch den Aufruf von "tcpsvd" aus #54, um eingehende Verbindungen auf Port 40081 automatisch über eine gestartete "nc"-Instanz an die andere Box weiterzuleiten.

Ob das mit der direkten Weiterleitung per Firmware schon klappt, kannst Du zwar versuchen, ich bin aber nicht sehr optimistisch. Da müßten die Pakete nach dem R-NAT erst einmal durch das Routing (nur dann landen die wieder auf "dev dsl" für die IPSec-Kapselung) und ob das tatsächlich der Fall ist, weiß ich nicht (und habe ich so auch nicht getestet).

 

[Micha0815]

Falls

Zweckdienlich? zu #53

Ich habe auf meiner DE-FB7240 (Nr.1) verbunden via VPN-LAN-LAN mit meiner ES-UMTS-Box zusätzlich einen VPN-Client (ich selbst von anderem Standort) eingerichtet.
Durch Eingabe einer IP nach start des VPN-Proggies komme ich auf die Start-GUI der entfernten DE-FB (Nr.1), der ES-UMTS-FB und auch hinter der ES-UMTS-FB per LAN/WLAN angeschlossene FBs und STB usw.

Ergo, wenn Dein Poolcontroller oder was auch immer als Raspi ... eine eigene IP hinter der ES-FB hat, sollte diese erreichbar sein, via VPN-Client-Account auf der DE-FB verbunden mit Deiner ES-UMTS-FB. Wer was wie auf dem Poolcontroller tun darf oder nicht ... k.A.

Soll umgekehrt der Poolcontroller selbstständig irgendwelche Daten an irgendwelche Server liefern ... müsste dies doch eigentlich schon laufen? Zumindest bei mir schickt eine nachgelagerte FB in ES Pushmails.

LG

 

[Docmarten]

Danke Micha0815, das klappt bei mir auch so. Aber wenn ich die VPN-Zugangsdaten zur DE-Box Dritten überlasse (was ich ja gern täte), so wären die wie beschrieben mit allen Rechten sowohl im DE-Netzwerk als auch im ES-Netzwerk unterwegs, und das will ich natürlich nicht. Daher der Ansatz, Dritte nur auf ganz bestimmte IPs im Zielnetzwerk zu lassen.
Den von PeterPawn geschilderten Weg werde ich mal ausprobieren, wenn ich mich ausreichend in das Thema BusyBox & Co. eingelesen habe.