VPN-Server auf HorstBox?

[pette]

Hallo!

Hat es schon jemand versucht/geschafft einen VPN-Server (z.b. openvpn) auf dem Horst unterzubringen? Oder ist das womöglich sogar in naher/ferner Zukunft für die OpenWRT-Horstbox Firmware angedacht?

Wäre echt super, denn dann könnte man den Horst mit nem 2ten Asterisk "sicher" verbinden.

Gruß,
Pette.

 

[Pum]

Hallo Pette,

ich habe auch gerade begonnen, mich mit dem Thema zu beschäftigen. Habe aber noch keine Horstbox.
Momentan denke ich, dass Herta der richtige Platz für OpenVPN wäre, da Horst ja mit Herta über ein privates Netz verbunden ist und Horst dadurch gar keinen direkten Zugriff aufs LAN hat. (Oder liege ich da falsch!?!)

 

[hehol]

Hat es schon jemand versucht/geschafft einen VPN-Server (z.b. openvpn) auf dem Horst unterzubringen? Oder ist das womöglich sogar in naher/ferner Zukunft für die OpenWRT-Horstbox Firmware angedacht?

Es gibt bereits eine OpenWRT-Firmware für die Horstbox (s. hier). Die Firmware ersetzt allerdings nur die Firmware im Voice-Board. Das DSL-Board bleibt dabei unverändert.

Momentan denke ich, dass Herta der richtige Platz für OpenVPN wäre, da Horst ja mit Herta über ein privates Netz verbunden ist und Horst dadurch gar keinen direkten Zugriff aufs LAN hat. (Oder liege ich da falsch!?!)

Horst hat, wenn man seine IP-Adresse ändert, direkten Zugriff aufs LAN. Trotzdem wäre Herta in der Tat die richtige Stelle für eine VPN-Verbindung, weil Standard-Gateway und VPN-Gateway dann auf der selben IP-Adresse im LAN laufen würden. Wenn der VPN-Client oder der VPN-Server auf Horst läuft, dann muß man auf den Clients im LAN immer manuell eine Route ins VPN "hinein" setzen. Das ist nicht sehr anwenderfreundlich.

Der Quellcode für die Software von Herta wurde auch nicht im Rahmen der Entwicklungs-DVD veröffentlicht. Das DSL-Board ist baugleich zum DSL-G684T, für den es Quellcode gibt, der allerdings nicht ohne weiteres verwendbar ist (weil unvollständig). Die verwendete Plattform ist allerdings ein Texas Instruments AR7, wofür es seit kurzem auch einen OpenWRT-Port gibt. Ich habe die OpenWRT-Firmware vor ein paar Tagen mal compiliert und auf meiner Herta installiert: grundsätzlich funktioniert's, aber WLAN und DSL sind noch nicht besonders stabil. Da AVM aber kürzlich Treiber für Linux 2.6.x für AR7-Boards veröffentlich hat, sollte sich das recht schnell ändern.

Gruß
Henning

EDIT: Typenbezeichnung und Link zu DSL-Board korrigiert

 

[Pum]

Danke für die Infos.

Ist es denkbar, OpenVPN in ein bestehendes Firmware-Image fürs DSL-Board einzubauen? (falls noch genügend Platz vorhanden...)

Im Gegensatz zu Pette möchte ich versuchen, die vorhandene Firmware weiterzuverwenden, da auch noch andere Leute außer mir den Horst konfigurieren können sollten. (Bis auf OpenVPN, was ich einmal fix einstellen würde.)

 

[pette]

Hallo Henning.

Es gibt bereits eine OpenWRT-Firmware für die Horstbox (s. hier). Die Firmware ersetzt allerdings nur die Firmware im Voice-Board. Das DSL-Board bleibt dabei unverändert.

Ja, das wusste ich bereits. Daher auch die Frage, ob man da einen OpenVPN-Server reinbasteln kann. Aber wie wir ja nun geklärt haben, gehört der VPN-Server eher auf die Herta.

Der Quellcode für die Software von Herta wurde auch nicht im Rahmen der Entwicklungs-DVD veröffentlicht. Das DSL-Board ist baugleich zum DSL-G627T, für den es Quellcode gibt, der allerdings nicht ohne weiteres verwendbar ist (weil unvollständig).

Bist Du Dir da sicher? Also meine Web-Oberfläche der Herta sagt mir: DSL-G684T
Und wieso schreibst Du DSL-G627T und postest einen Link zu FW von DSL-G624T? Typo oder gewollt?

Gruß
Pette

 

[Pum]

Habe mir gerade ein Firmware-Update für die Horstbox gezogen. Eine Datei daraus heißt
DLinkHB-C_DSL-G684T_singleimage_kernel_fs_V3_00B01T01_HB-C_20061011
Was auch auf den G684T schließen lässt.

Stellt sich nur noch die Frage, wie man das Image auseinandernehmen, verändern und wieder neu zusammenbauen kann.

 

[hehol]

Ja, das wusste ich bereits. Daher auch die Frage, ob man da einen OpenVPN-Server reinbasteln kann. Aber wie wir ja nun geklärt haben, gehört der VPN-Server eher auf die Herta.

Da es sich bei der Software in Herta um den gleichen Entwicklungsstand (MontaVista-Linux 2.1 mit Kernel 2.4.17) wie ursprünglich bei der Fritzbox 7050 handelt, sollte sich OpenVPN problemlos integrieren lassen.

Bist Du Dir da sicher? Also meine Web-Oberfläche der Herta sagt mir: DSL-G684T
Und wieso schreibst Du DSL-G627T und postest einen Link zu FW von DSL-G624T? Typo oder gewollt?

Sorry, es muß wohl ein bisschen zu warm heute mittag gewesen sein :silly: Herta ist ein DSL-G684T.

Henning

 

[Pum]

Da es sich bei der Software in Herta um den gleichen Entwicklungsstand (MontaVista-Linux 2.1 mit Kernel 2.4.17) wie ursprünglich bei der Fritzbox 7050 handelt, sollte sich OpenVPN problemlos integrieren lassen.

Das hört sich gut an. Dann wäre der erste Ansatz, den Fritzbox-Build zu verwenden.

Weil mir das Thema keine Ruhe gelassen hat, habe ich OpenVPN testhalber für mipsel übersetzt. Allerdings ist beim ersten Schuss ein Binary mit über 8 MB herausgekommen!?!?! Keine Ahnung, ob man das irgendwie auf Herta zum Laufen bringen kann oder ob es zu groß ist. Ich kann es leider nicht testen, da ich ja (noch) keine Horstbox habe, aber wenn sich jemand versuchen will: http://rotfl-consulting.de/horst/openvpn
Mit etwas Glück sollte die Datei auf Herta ausgeführt werden können.

Falls aber das Fritzbox-Binary auch auf Herta läuft, wäre das wirklich die bessere Variante...

 

[pette]

Gibt es bezueglich des VPN-Servers auf Herta schon Fortschritte zu vermelden?
Ich war in den letzten Wochen leider zu beschaeftigt und wuerde mich erst jetzt mal wieder an das Thema heranwagen.

Gruss,
Pette

 

[Pum]

Wir haben uns nun doch eine andere Lösung ohne Horstbox überlegt und deshalb keine angeschafft. Ich habe das Thema deshalb nicht mehr weiterverfolgt.

 

[DJServs]

Mich würde auch interessieren ob es schon eine funktionierende Firmware mit VPN Server gibt und wenn ja ob diese auch auf der Horstbox Standard funktioniert. Bin leider nicht bewandert genug in diesem Bereich um mir selbst eine FW zu basteln.

 

[hehol]

Mich würde auch interessieren ob es schon eine funktionierende Firmware mit VPN Server gibt

Nein, die gibt es noch nicht. Die nächste offizielle Firmwareversion von D-Link soll allerdings einen OpenVPN-Server enthalten.

und wenn ja ob diese auch auf der Horstbox Standard funktioniert.

Für die HorstBox Standard sind mir keine derartigen Pläne bekannt.

Gruß
Henning

 

[pette]

Nein, die gibt es noch nicht. Die nächste offizielle Firmwareversion von D-Link soll allerdings einen OpenVPN-Server enthalten.

Cool! Hast Du nochmehr solcher "Insider"-News, die Du preisgeben kannst? Wie siehts zum Beispiel mit ner Fax-Lösung aus (iaxmodem+hylafax) aus? Weisst Du auch, wann die nächste FW ungefähr erwartet werden kann?

Gruss,
Pette

 

[yodommo]

Ich habe mir heute mal den Webcode von Horst etwas genauer angeschaut.
In FW 5.0 sind schon Vorbereitungen für VPN getroffen worden. Über https://IP_von_Horst/wan_vpn kommt das passende Menü.
Dann warten wir mal die kommende Firmware ab, was da noch so passiert. Oder hat es inzwischen schon jemand selbst mit eingebaut?

 

[pette]

Eingebaut nicht, aber zumindest cross-compiled, sodass der openvpn-daemon aufm Horst lauffähig ist. Ich werde in den nächsten Tagen mal die nötigen Dateien hier einstellen...

Gruss,
Pette

 

[cokker]

unter buildroot kann man ein make menuconfig machen und openvpn auswählen. Ist leider eine alte version (1.5.0) aber wenn man das makefile unter /package/openvpn/openvpn.mk
anpasst, kann man auch ne neuere Version bekommen.

Ein compilieren hat jedenfalls funktioniert.

Gruß
Sven

 

[foschi]

OpenVPN funktioniert IMHO nur für Horst (also VoIP), nicht für den gesamten Traffic der HBX Pro.

 

[cokker]

Damit kann ich leben zumal ich das VPN nur als Client für Fernwartung haben will.

Btw: Openvpn läuft jetzt auf Horst. Ich musste nur noch ein Kernel-Modul hinzufügen.

gruß
Sven

 

[yodommo]

Damit kann ich leben zumal ich das VPN nur als Client für Fernwartung haben will.

Btw: Openvpn läuft jetzt auf Horst. Ich musste nur noch ein Kernel-Modul hinzufügen.

gruß
Sven

Wie wäre es denn, wenn Du Deine Erfolge mit uns teilen würdest?

Gruß Thomas

 

[cokker]

Sicher doch:

Als erstes erstellen wir uns ein makefile openvpn.mk :

OPENVPN_FILE	= openvpn-2.0.9.tar.gz
OPENVPN_URL	= http://openvpn.net/release/$(OPENVPN_FILE)
OPENVPN_DIR	= $(PWD)/openvpn-2.0.9
$(DL_DIR)/$(OPENVPN_FILE):
	$(WGET) -P $(DL_DIR) $(OPENVPN_URL)
$(OPENVPN_DIR): $(DL_DIR)/$(OPENVPN_FILE)
	tar xfzm $(DL_DIR)/$(OPENVPN_FILE)
$(OPENVPN_DIR)/Makefile: $(OPENVPN_DIR)
	export CC=$(CROSS_COMPILE)gcc;		\
	export CFLAGS="-Os -pipe"
	cd $(OPENVPN_DIR) && ./configure --host=armeb-linux --target=armeb-linux --prefix=$(ROOTFS)/usr --program-prefix="" --enable-pthread
openvpn_build: $(OPENVPN_DIR)/Makefile
	$(MAKE) -C $(OPENVPN_DIR)
openvpn_install:
	$(MAKE) -C $(OPENVPN_DIR) install
	mkdir -p $(ROOTFS)/etc/openvpn
	rm -rf $(ROOTFS)/share/locale $(ROOTFS)/usr/info \
		$(ROOTFS)/usr/man $(ROOTFS)/usr/share/doc
openvpn_clean:	
	$(MAKE) -C $(OPENVPN_DIR) clean

Diese Datei packt ihr zu den anderen unter /scripts. Jetzt muss diese Datei im Makefile bekannt gemacht werden. Dazu ein "include scripts/openvpn.mk" zu den anderen hinzufügen und in der addons-section ein
"addons += openvpn" (ich habs unter asterisk) Damit sollte man schon mal den Openvpn kompilieren können.

für das Kernelmodul die config direkt bearbeiten und CONFIG_TUN=y setzen.
Wenn man hier ein make menuconfig machen sollte, kann man hinterher nicht mehr kompilieren. mit make kernel_build wird dieser neu erstellt. Dadurch haben wir tun-support direkt im Kernel.

jetzt noch unter scripts mk.dev_nodes folgende Zeilen hinzufügen:

test -d net || mkdir net
	mknod net/tun c 10 200
	chmod 666 net/tun

jetzt mit make install die neue FW erstellen, Fertig! Freuen!

Die notwendige configuration zu erzeugen, überlasse ich dem geneigten Leser.

gruß
Sven