Zwei FB verbinden und gesamten Inet Verkehr über VPN?

Docmarten

Mitglied
Mitglied seit
11 Jul 2011
Beiträge
269
Punkte für Reaktionen
8
Punkte
18
Guten Tag zusammen,
ich habe bei der Suche jedwede Info zur VPN-Verbindung zwischen zwei FB sowie zwischen PCs und FBs gefunden (beides praktiziere ich seit Jahren), aber nicht zu der Frage, die mich momentan umtreibt: Wie kann ich zwei FBs (Standort D und Standort ES) per VPN so miteinander verbinden, dass der gesamte Internetverkehr über den VPN Tunnel läuft und auch die Geräte im Netzwerk ES mit der IP aus dem Netzwerk D versehen werden? Bei der PC-FB-Verbindung geht das ja, früher über das AVM-Tool, unter Win10 manuell bzw. mit dem Shrewsoft Client.
Es handelt sich bei mir konkret um zwei FB 7490 mit aktuellem OS, beide per (A)DSL mit öffentlicher. IP im Internet. Ich vermute mal, das geht mit den FB-Bordmitteln garnicht bzw. nur über den Import einer VPN-Konfigurationsdatei?
Vielen Dank für Tipps &
Viele Grüße
Martin
 
  • Like
Reaktionen: Micha0815
Hallo Eisbär,
vielen Dank für den Hinweis, aber mein Nachname ist "Googlen" (Vorname: "Posten Erst-Nach Zwei Stunden") ;)
Dabei war ich als allererstes auch auf den Thread aus Deinem Google-Link gestoßen. Der darin abgebürstete TE hatte tatsächlich dieselbe Frage wie ich, und er bekam eine ähnliche Antwort - und keine Hilfe bei der Lösung, außer dem Hinweis auf einen anderen Thread: Auch dieser enthielt keine Lösung, aber einen Hinweis auf ein Mini-Howto. Dieses fußt darauf, dass man mit den AVM Tools Config-Dateien erstellt (wobei die im Howto enthaltenen Linkziele z.T. nicht mehr existieren (z.B. https://avm.de/service/vpn/praxis-t...de-fernzugang-fuer-einen-benutzer-einrichten/).
Da ich, wie geschrieben, wg. Win10 kein AVM Tool (Fernzugang einrichten...) mehr nutze, habe ich auch keine cfg meiner bestehenden VPN-Verbindungen, die ich exportieren und editieren könnte.
Bevor ich nun die (seinerzeit mit Hilfe von PeterPawn) mühsam handgestrickten VPN-Verbindungen kpl. lösche und neu erstelle, wollte ich daher fragen, ob evtl. noch ein anderer Weg bekannt ist, die cfgs zu editieren (Telnet ist ja m.W. nicht mehr).
Sorry, falls ich den Eindruck erweckt hatte, vorher nicht ausreichend recherchiert zu haben &
Viele Grüße
Martin
 
Danke, das ist mal ein Hinweis! Anscheinend kann man die .export-Datei ja auch dann, wenn man sie passwortschützt, einfach in einem Texteditor öffnen.
Ich vermute aber mal, dass das direkte Editieren, Sichern und wiedereinspielen nicht so einfach funktionieren dürfte. Taugen denn da Tools wie etwa FBEditor?
Oder würdet Ihr mir raten, aus der .export-Datei den betreffenden VPN-Part herauszukopieren, entsprechend zu editieren und als VPN-Config in die Box zu importieren? Also die Sektion
Code:
**** CFGFILE:vpn.cfg
/*
 * /var/tmp.cfg
 * Mon Jul 10 16:38:15 2017
 */

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "...
Scheint aber ebenfalls tricky zu sein, wenn man etwa https://www.ip-phone-forum.de/threads/wie-muss-eine-vpn-einstellungsdatei-aussehen.274117/ liest.
Danke & Grüße
Martin
 
In einer *.export - Datei sind die entscheidenden Abschnitte Access-list durchaus im Clear-Text erkennbar bzw. änderbar. An Deiner ursprünglichen UMTS-VPN-Config in ES musst Du nicht viel ändern. Eben die Access-list für die dortigen Clients, die über eine DE-IP ins I-Net sollen anpassen. Ob dies nun für alle Clients hinter der ES-Box notwendig ist, musst Du selbst entscheiden. Der heimische (DE-Box) Upload wird dadurch stark beansprucht, wenn alle ES-Clients mit der dort anliegenden Downloadrate daran zerren. Ich habe es schon länger nicht mehr provoziert, nur kam es schon vor, dass die Telefonie bei Vollast im Upload via VPN nicht mehr nutzbar war.

Btw las ich an anderer Stelle vom Schwenk YOIGO-UMTS -> Movistar-DSL. Die 7490-ES läuft mit der Deutschen FW (avm-Branding) oder Internationaler FW (avme-Branding)? Imho ist ES Annex A Land.

LG
 
Inzwischen ist es auch kein Problem mehr, eine Export-Datei komplett entschlüsseln zu lassen, bevor man sie bearbeitet - da sind dann tatsächlich alle Daten im Klartext ersichtlich.

Man nimmt also eine Sicherungsdatei, läßt sich die dekodieren und extrahiert dann die VPN-Datei. Je nachdem, wieviele VPN-Verbindungen man ansonsten noch so hat, kann man die komplette Datei nehmen oder man erstellt sich für jede VPN-Verbindung eine gesonderte Datei (dann natürlich mit dem Klimbim um einzelne "vpncfg"-Abschnitte herum).

Beim "Einzelimport" werden VPN-Verbindungen anhand ihnres Namens (name-Attribut) unterschieden und ggf. überschrieben ... für eine "catch all"-Verbindung braucht es dann halt passende "accesslist"-Einträge. Da die aber bereits beim Aktivieren der entsprechenden VPN-Verbindung wirksam werden (und nicht erst dann, wenn die Verbindung aufgebaut wurde - das ist ein erheblicher Unterschied zu den anderen "Clients"), muß halt mit gesonderten Regeln dafür Sorge getragen werden, daß sowohl der eigentliche IPSec-Verkehr als auch der für die initiale Auflösung eines DNS-Namens für den Peer notwendige UDP-Traffic genau nicht durch den Tunnel übertragen werden. Das heißt im Endergebnis eigentlich auch immer, daß sämtlicher DNS-Verkehr nicht durch den Tunnel geht - es ist also keine 100%ige "Umleitung" ... aber die brauchen die meisten auch nicht, denn i.d.R. geht es fast immer um das Umgehen von Regionalsperren o.ä. und solange die vom DNS gelieferten Adressen nicht vom Standort des Abfragenden abhängig sind, macht das keinen wirklichen Unterschied.

Das war's dann auch schon ... Beispiele für derartige "accesslist"-Einträge gibt es genug in anderen Threads.
 
Ob dies nun für alle Clients hinter der ES-Box notwendig ist, musst Du selbst entscheiden.
Eigentlich nur für die, die ansonsten kein Bild zeigen würden ;)
Der heimische (DE-Box) Upload wird dadurch stark beansprucht, wenn alle ES-Clients mit der dort anliegenden Downloadrate daran zerren. Ich habe es schon länger nicht mehr provoziert, nur kam es schon vor, dass die Telefonie bei Vollast im Upload via VPN nicht mehr nutzbar war.
Das kann ich mir vorstellen. Andererseits dreht die DE-Box sowieso nur Däumchen, außer ein bissl Haussteuerung hat sich nichts zu tun.
Btw las ich an anderer Stelle vom Schwenk YOIGO-UMTS -> Movistar-DSL. Die 7490-ES läuft mit der Deutschen FW (avm-Branding) oder Internationaler FW (avme-Branding)? Imho ist ES Annex A Land.
Ja, Spanien ist Annex A. Früher hatte ich eine selbst "umgepolte" 7270; Danach (weil das mit UMTS-Modem und Telefonie über UMTS nicht stabil klappte) hatte ich mir dann die internationale 7490 geholt, weil die damals gerade dasselbe kostete wie die D-Version

Inzwischen ist es auch kein Problem mehr, eine Export-Datei komplett entschlüsseln zu lassen, bevor man sie bearbeitet - da sind dann tatsächlich alle Daten im Klartext ersichtlich.
Ich nehme an, mit den Fritz!Box Tools?

Danke für den Hinweis mit dem DNS Traffic, daran hatte ich nicht gedacht. Ich hatte gerade überlegt, dass ich ja eigentlich mit der AVM Fernzugang-einrichten-Software einen Satz Konfigurationsdateien erzeugen (mit der Option "Gesamten Internetverkehr...") und in die DE- und ES-Box importieren könnte - oder spricht da etwas dagegen? Wäre vielleicht narrensicherer, falls da das DNS-Thema bereits berücksichtigt wäre... Werde dennoch mal nach passenden accesslist-Beispielen suchen.
i.d.R. geht es fast immer um das Umgehen von Regionalsperren o.ä.
In der Tat...
 
Ich habe zum Thema "FRITZ!Box-Einstellungen dekodieren" eine komplett neue Software bereitgestellt (https://github.com/PeterPawn/decode_passwords), die vollkommen ohne FRITZ!Box und ohne weitere Tools auskommt.

Der fehlt zwar noch der "Feinschliff" (ein paar zusätzliche Funktionen will ich noch einbauen), aber jeder mit einem Linux-Rechner sollte die C-Variante übersetzen können und bei den Shell-Skripten braucht es auch nur Zeit (deutlich mehr als bei der C-Variante), eine Linux-Shell und eine passende OpenSSL-Version.

Die Binärdateien in "/bin" sind allerdings "alt" ... wenn ich Langeweile habe, erneuere ich die mal.
 
Interessant, vielen Dank. Ich habe aber an Linux hier nur einen Raspi mit kastriertem Raspbian vor Ort und kein CD Laufwerk, um Linux mal eben auf dem Laptopzu starten. Daher wird das wohl warten müssen oder ich versuche einen der anderen Wege.
 
Das C-Programm sollte zwar auch auf dem RasPi unter ARMv7 laufen, aber das habe ich im Moment tatsächlich nicht getestet (64-Bit vs. 32-Bit). Da ich das auch auf einem RasPi benutze (zumindest die "Originale", aus denen das als "Zusammenfassung" entstanden ist), kommt da auch wieder irgendwann eine RasPi-Version als direkter Download ... aber nicht mehr heute (vielleicht noch im Verlauf der Woche).

Ansonsten sollte jeder RasPi ja auch ein OpenSSL haben und auch irgendeine Shell ... hier habe ich sogar darauf geachtet, die Skripte alle POSIX-kompatibel zu halten. Damit braucht das auf dem RasPi ggf. etwas Zeit (die hat man im Urlaub ja aber in aller Regel), sollte aber auch da laufen (die Variante mit den Shell-Skripten).
 
Interessiere mich zwar auch mittlerweile für Raspberry - allerdings habe ich mir noch keinen zugelegt - Raspbian stellt ja eine (mehrere ? - hab ich jetzt nicht weiter geschaut) Möglichkeit um ein BS von einem USB Stick zu booten - daher ist ja ein CD-Laufwerk überflüssig (habe schon Jahre lang kein CD/DVD Laufwerk mehr - auch wenn man es manchmal echt gut gebrauchen könnte)

https://www.google.de/?gws_rd=ssl#q=raspberry+von+usb+stick+booten
 
Schon klar und weise dem S**- Receiver halt immer dieselbe IP zu.
Die alte Kathi Ufs910 zickt nicht (kann ja auch nur live TV), eher dieser Feuerstock TV ... dürfte aber dasselbe sein bzw. Auf identischem Weg zu beheben.
 
Ansonsten sollte jeder RasPi ja auch ein OpenSSL haben und auch irgendeine Shell ... hier habe ich sogar darauf geachtet, die Skripte alle POSIX-kompatibel zu halten. Damit braucht das auf dem RasPi ggf. etwas Zeit (die hat man im Urlaub ja aber in aller Regel), sollte aber auch da laufen (die Variante mit den Shell-Skripten).
Da ich hier nur ein (Pi)Core auf dem Raspi laufen habe (PiCorePlayer), werde ich mal schauen, ob ich noch eine MicroSim auftreiben und ein normales Raspbian installieren kann. Und dann warte ich geduldig, bis Du eine RasPi-Version hast, denn bei meinen sehr überschaubaren Linux-Kenntnissen wäre alles andere Abenteur(-Urlaub).
 
Raspbian stellt ja eine (mehrere ? - hab ich jetzt nicht weiter geschaut) Möglichkeit um ein BS von einem USB Stick zu booten - daher ist ja ein CD-Laufwerk überflüssig
Wieso vom USB Stick booten? Der RasPi bootet alles problemlos von der Sim-Karte, d.h. Du kannst x Betriessysteme auf x Sim-Karten haben und je nach Bedarf das eine oder das andere booten.
CD-Laufwerk meinte ich für ein Win10-Laptop, um nicht alles auf dem Headless RasPi machen zu müssen.
 
Ähem, SIM ?
...ich denke mal eher: SD-Karte
 
Wieso vom USB Stick booten? Der RasPi bootet...
Weil so einige festgestellt haben, dass die SIM, durch zu häufiges Schreiben auf diese, nicht mehr funktioniert.
USB-Sticks sind da dann wohl doch robuster.

Man kann entweder den PI-3 so umstellen, dass er keine SD-Karte mehr braucht, oder den PI-2, und auch den ersten, so, dass er nur noch /boot auf der SD-Karte nutzt, und den Rest vom USB-Stick verwendet.
Der 'PXE-'Netzboot funktioniert wohl nur mit dem PI-3 brauchbar.
 
Weil so einige festgestellt haben, dass die SIM, durch zu häufiges Schreiben auf diese, nicht mehr funktioniert.
Hihihi, jetzt fängst auch Du mit SIM an...
Da ist sicher etwas dran, aber da sich bei den Core-Varianten (wie eben PiCore) nach dem Booten alles im RAM abspielt (deswegen kann man da auch im laufenden Betrieb einfach den Stecker ziehen, ohne dass auf der SD etwas korrumpiert würde), dürfte mich das eher nicht betreffen.
Grüße
Martin
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,067
Beiträge
2,245,472
Mitglieder
373,504
Neuestes Mitglied
andkel
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.