Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

[eisbaerin]

Nein, erst die grobe Konfig mit dem Tool: "Fritz!Box Fernkonfiguration einrichten" machen. Für alle Clients!

Dann kanst du schon mal prüfen, ob der Zugriff auf die FB geht.

Dann die Änderungen laut Beitrag #1 für alle Clients machen, wenn du willst, das der ganze Verkehr über die FB gehen soll.

[vel_tins]

hmm, ich habe das jetzt auch mal testen wollen und die Zeile:

Code:

 accesslist = "permit ip 192.168.0.0 255.255.0.0 192.168.0.201 255.255.255.255";

mit

Code:

accesslist = "deny ip any 192.168.0.0 255.255.255.0", "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

ersetzt.
Dummerweise komme ich jetzt jetzt per Fernwartung nicht mehr auf die Box da diese in D steht...
Dann habe ich das ganze mal mit meiner lokalen Box getestet und siehe da:
Es kann keine einzige Internet Seite mehr aufgerufen werden...
Erst nach löschen der VPN Verbindung, konnten wieder Seiten aufgerufen werden...
Sh*T..jetzt muß erstmal jemand in D den Eintrag löschen, sonst gibts noch Ärger

EDIT: Mist, ich hab gerade gesehen, das der Eintrag in die "vpnuser.cfg" reingehört.....mein Fehler

[eisbaerin]

Hast du jetzt noch ne Frage?
Weisst du was du falsch gemacht hast ?

[hrouz007]

Hi,
erstmal Danke für diesen super tollen Thread
darauf habe ich mich gefreut.


Zur Zache jetzt; ich habe alles wie oben beschrieben gemacht Verbindung zw. Fritzbox und fernzugang steht, nur beim Internetsietenaufbau stimmt was nicht denn ich kriege keine Seite geöffnet er bleibt beim Laden habe mit Mühe gerademal die Seite wieisimeineip bekommen und der Zeigt die IP der Fritz Box . das komische daran dass ich die dort gesperrte SIP wieder in Ordnung kriege mit (Ninja X und SIPGATE)
Aber alle anderen Internetseiten kriege ich nicht geöffnet ??? geh mal davon aus wg dem SIP und RIP die ohne Probleme durchkommen nur http nicht oder so?!

Hier das Szenario:
Fritbox in DE; Fernzugang im Ausland :PC hängt hinter einem Wlan Modem/Router cfg der Ferzugang so angepasst:

Code:

accesslist = "deny ip any 192.168.1.0 255.255.255.0", "deny ip any 192.168.1.1 255.255.255.0","deny ip any 81.173.0.0 255.255.0.0", "permit ip any any";

und ich wüsste jetzt nichts mehr?
bitte wer kann mir noch einen Tipp geben, bin sehr dankbar.

[x4N70pHyLL]

Hi zusammen,

ich schließ mich hier mal an. Habe einiges, auch diese Anleitung ausprobiert, aber es will nicht laufen.

Situation: Client -> Internet -> FritzBox-VPN -> Heimnetzwerk -> |Stop|

Komme ohne Probleme in mein Netzwerk zu Hause, aber von dort aus nicht ins Internet weiter. In der Standardkonfiguration läuft das Internet weiter direkt. Leute ich es wie in der Anleitung um (also alles), komme ich weiterhin in mein Netzwerk, aber wiederum nicht mehr weiter.

Hat jemand ne Idee, woran das liegen könnte? Ziel ist eine oder zwei Internetadressen umzuleiten, wenns nicht anders geht, bin ich auch froh, wenn alles umgeleitet wird.

Adressen:
192.168.0.0 255.255.255.0 Heimnetzwerk
192.168.0.201 Client

Direkt am Client:
172.31.13.xx 255.255.255.0
172.31.13.0 Gateway + DHCP
202.106.0.20 DNS
202.106.196.115 DNS
(keine Ahnung warum zwei drinstehen)

gruß x4N70pHyLL, der sich gerade in einem Land aufhält, in dem das Internet leider nur als "Internet" bezeichnet werden kann

[vel_tins]

Nach einem kleinen Missgeschick kann ich bestätigen, das mit der Anleitung aus Post 1, das ganze sofort läuft.

Ziel ist eine oder zwei Internetadressen umzuleiten, wenns nicht anders geht, bin ich auch froh, wenn alles umgeleitet wird.

Bei mir wären auch nur einige Umleitungen notwendig, u.a. justin.tv.
Ist denn sowas machbar?

[buecke]

Fritbox in DE; Fernzugang im Ausland :PC hängt hinter einem Wlan Modem/Router cfg der Ferzugang so angepasst:

Code:

accesslist = "deny ip any 192.168.1.0 255.255.255.0", "deny ip any 192.168.1.1 255.255.255.0","deny ip any 81.173.0.0 255.255.0.0", "permit ip any any";

und ich wüsste jetzt nichts mehr?
bitte wer kann mir noch einen Tipp geben, bin sehr dankbar.

Wo hast du denn diese accesslist eingespielt: auf dem PC oder auf der FRITZ!Box?
Wenn's auf dem PC ist, hast du damit keine DNS-Auflösung mehr. Lies nochmal den ersten Beitrag und folge exakt der dortigen Anleitung.

Viele Grüße
buecke

[buecke]

Hat jemand ne Idee, woran das liegen könnte

Poste mal deine Änderung der accesslists, ansonsten kann ich dir nur schwer helfen.

Viele Grüße
buecke

[buecke]

Bei mir wären auch nur einige Umleitungen notwendig, u.a. justin.tv.
Ist denn sowas machbar?

Ja, das geht. In diesem Fall muss man die accesslist auf dem PC anpassen. Statt z.B.

Code:

accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

schreibt man

Code:

accesslist = "permit ip any 212.19.62.76 255.255.255.255";

In diesem Beispiel ist 212.19.62.76 ist die IP von www.wieistmeineip.de und nur Zugriffe auf diese IP werden über die FRITZ!Box geroutet (man hat nicht einmal Zugriff auf die FRITZ!Box über deren "interne" IP). Man kann die accesslist entsprechend um weitere permit-Einträge für bestimmte Websites und/oder Netze erweitern.

Viele Grüße
buecke

[hrouz007]

Wo hast du denn diese accesslist eingespielt: auf dem PC oder auf der FRITZ!Box?
Wenn's auf dem PC ist, hast du damit keine DNS-Auflösung mehr. Lies nochmal den ersten Beitrag und folge exakt der dortigen Anleitung.

Erstmal danke an buecke für seine AW.

Ja die war auf dem Pc, ich dachte ich muss die Beiträge #1 und #8 beide in Cfg des Ferzugangs nehmen
müsste es in der Box eingetragen werden?
oder mal anders damit ich und auch andere was davon mitbekommen:
was bedeuten generell die enzeilnen Einträgen

Code:

"reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500",

und spielt die Reihnfolge eine Rolle sowohl bei denen als auch bei

Code:

deny ip any 192.168.0.0 255.255.255.0

außerdem ist der erster Eintrag in der accesliste der DNS von LAN Router was danach aber kommt als deny ........... wofür steht der?

ich glaube somit hat jeder so eine Art von einer generellen Formel, was er selber nach seinen Bedürfnisse auch anpassen kann.

[buecke]

Ja die war auf dem Pc, ich dachte ich muss die Beiträge #1 und #8 beide in Cfg des Ferzugangs nehmen

Nö, nur der erste Beitrag ist die Anleitung

oder mal anders damit ich und auch andere was davon mitbekommen:
was bedeuten generell die enzeilnen Einträgen

Code:

"reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500",

Diese Einträge bedeuten, dass DNS-Abfragen (Port 53) und VPN (Ports 500 und 4500) nicht über die entfernte FRITZ!Box geroutet werden, sondern im lokalen Netz verarbeitet werden. Sprich DNS-Abfragen laufen weiterhin über den Provider des PCs mit Fernzugang-Client und VPN wird ausgeschlossen, damit sich das VPN nicht selber routet, was ja nicht funktionieren würde.

Code:

deny ip any 192.168.0.0 255.255.255.0

außerdem ist der erster Eintrag in der accesliste der DNS von LAN Router was danach aber kommt als deny ........... wofür steht der?

Dieser Eintrag stellt sicher, dass Anfragen an das LAN des PCs mit Fernzugang-Software auch lokal bleiben.

Viele Grüße
buecke

[vel_tins]

"reject udp any any eq 53"

Bedeutet dieser Eintrag, das die DNS Anfragen NICHT über die entfernte Box, sondern über meinen lokalen Provider laufen?
Wenn ja, würde dieses meine Anfrage aus diesem Thread erklären...
Der sche***s Provider betreibt offensichtlich IP Spoofing.
Wenn ich den Eintrag nun lösche, sollten DNS Anfragen über die Box in Deutschland laufen, oder?

[eisbaerin]

1. JA

2. Jein, Probieren kannst du es.

Es kann aber sein, daß sich der VPN Tunnel nicht aufbauen kann,
denn dazu muß dein DynDNS-Name aufgelöst werden.

Wenn man eine feste öffentliche IP hat, dann müßte es gehen.

[buecke]

Bedeutet dieser Eintrag, das die DNS Anfragen NICHT über die entfernte Box, sondern über meinen lokalen Provider laufen?

Ganz genau und das steht auch in der Anleitung (erster Beitrag dieses Threads).

Der sche***s Provider betreibt offensichtlich IP Spoofing.
Wenn ich den Eintrag nun lösche, sollten DNS Anfragen über die Box in Deutschland laufen, oder?

Nein, es ist nicht möglich die entfernte FRITZ!Box als DNS-Server zu verwenden! Natürlich kann man z.B. Google DNS oder OpenDNS verwenden, aber man sollte vielleicht vorher überlegen aus welchen (rechtlichen) Gründen einige Seiten im Aufenthaltsland gesperrt sind und sich an die dort geltenden Gesetze halten.

EDIT: Es ist doch möglich die FRITZ!Box als DNS-Server zu verwenden - nur leider nicht automatisch. Um die FRITZ!Box als DNS-Server zu benutzen, baut man die VPN-Verbindung ganz normal auf und ändert dann auf dem Client-PC den DNS-Server auf die interne IP der FRITZ!Box. Nach Abbau der Verbindung muss man die Einstellung natürlich wieder zurück stellen.

Viele Grüße
buecke

[hrouz007]

Danke ; Super schön erklärt
übrigens es ist mit den Einstellungen vom #1 nachwievor ohne Erfolg obwohl das Anpingen von eizelnen Seiten erfolgreich ist Bsp.:

Code:

ping -a www.facebook.com

Diese Einträge bedeuten, dass DNS-Abfragen (Port 53) und VPN (Ports 500 und 4500) nicht über die entfernte FRITZ!Box geroutet werden, sondern im lokalen Netz verarbeitet werden. Sprich DNS-Abfragen laufen weiterhin über den Provider des PCs mit Fernzugang-Client und VPN wird ausgeschlossen, damit sich das VPN nicht selber routet, was ja nicht funktionieren würde.
buecke

theoretisch könnte man auch die Dns-Abfragen über Vpn Routen mit der Ausnahme der, die Verbindung zum VPN herstellt somit würde man die Abfragen auch über VPN kriegen oder liege ich falsch ?
wenn ja gibt s eine eindeutige DNS-Abfrage zum VPN , die wird dann als einzige ausnahme in der Accessliste stehen.

aber man sollte vielleicht vorher überlegen aus welchen (rechtlichen) Gründen einige Seiten im Aufenthaltsland gesperrt sind und sich an die dort geltenden Gesetze halten.

Es ist nicht immer gesetzlich verboten; meistens dient es nur zur Zensur von bestimmten Seiten als Bsp. Voip-Sperre ist nur wg den Telekomgesellschaften usw...

[vel_tins]

.......
Nein, es ist nicht möglich die entfernte FRITZ!Box als DNS-Server zu verwenden!

Das war auch nicht so gemeint, es ging mir darum, die DNS Anfragen über VPN zu routen, bzw. irgendwie einen alternativen DNS-Server zu verwenden.
Wie auch immer, ich habe den Eintrag

Code:

"reject udp any any eq 53"

jetzt erstmal entfernt und ich kann mich trotzdem verbinden.
EDIT: Verbindung klappt nur, wenn ich xxxxx.dyndns.info vorab (z.B: das Fernwartungsinterface) OHNE VPN aufrufe,
damit die Daten im Windows DNS Cache landen.
Danach klappts auch mit dem VPN..
Auf jeden Fall kann ich jetzt sicher sein (hoffentlich), das mein lokaler DNS-Server via VPN nicht abgefragt wird.
Nur welcher DNS-Server jetzt tatsächlich genutzt wird, kann ich nicht sagen. Kann man das irgendwie testen?
Oder ist es machbar, den gewünschten DNS-Server irgendwo in der .cfg Datei des Client-Rechners einzutragen?
Bei OpenVPN kann man das z.B. in den Adaptereigenschaften machen

aber man sollte vielleicht vorher überlegen aus welchen (rechtlichen) Gründen einige Seiten im Aufenthaltsland gesperrt sind und sich an die dort geltenden Gesetze halten.

Es geht hier (bei uns) nicht um rechtliche Gründe, sondern einfach um willkürliche Zensur! (vermtl. wegen der vorherigen Redshirt Unruhen in Bangkok).
Denn ich wüsste jetzt nicht, das justin.tv/ustream/facebook im Verdacht stehen, besonders illegal oder gefährlich zu sein.

[vel_tins]

In diesem Beispiel ist 212.19.62.76 ist die IP von www.wieistmeineip.de und nur Zugriffe auf diese IP werden über die FRITZ!Box geroutet (man hat nicht einmal Zugriff auf die FRITZ!Box über deren "interne" IP). Man kann die accesslist entsprechend um weitere permit-Einträge für bestimmte Websites und/oder Netze erweitern

Mist, ich bekomme es nicht hin...
Der Stream läuft über die IPs
"199.9.252.49:1935"
"199.9.252.170:443"
Also habe ich in der .cfg folgenden Eintrag eingefügt:

Code:

"permit ip any 199.9.252.0 255.255.255.255",

geht aber nicht...immer noch geblockt.

Code:

 "permit ip any any"

funktioniert.

[buecke]

Auf jeden Fall kann ich jetzt sicher sein (hoffentlich), das mein lokaler DNS-Server via VPN nicht abgefragt wird.[/B]
Nur welcher DNS-Server jetzt tatsächlich genutzt wird, kann ich nicht sagen. Kann man das irgendwie testen?
Oder ist es machbar, den gewünschten DNS-Server irgendwo in der .cfg Datei des Client-Rechners einzutragen?

Ich gehe davon aus, dass weiterhin der auf dem PC eingestellte DNS-Server genutzt wird. Der DNS-Server bekommt die Abfrage vermutlich von der IP der FRITZ!Box.
Bei OpenDNS gibt es eine Seite, auf der man abfragen kann, ob deren DNS-Server verwendet werden oder nicht: http://welcome.opendns.com
Ich habe ansonsten keinen Eintrag in der Fernzugang-cfg gesehen, wo man DNS-Server eintragen könnte. Irgendjemand hatte den Zugang auch mit Shrew hinbekommen, vielleicht wäre das eine Lösung für dich?

Viele Grüße
buecke

[buecke]

Der Stream läuft über die IPs
"199.9.252.49:1935"
"199.9.252.170:443"
Also habe ich in der .cfg folgenden Eintrag eingefügt:

Code:

"permit ip any 199.9.252.0 255.255.255.255",

geht aber nicht...immer noch geblockt.

Du willst ein ganzes Subnet freigeben, also muss der Eintrag wie folgt sein:

Code:

"permit ip any 199.9.252.0 255.255.255.0"

Viele Grüße
buecke

[buecke]

Es geht hier (bei uns) nicht um rechtliche Gründe, sondern einfach um willkürliche Zensur! (vermtl. wegen der vorherigen Redshirt Unruhen in Bangkok).
Denn ich wüsste jetzt nicht, das justin.tv/ustream/facebook im Verdacht stehen, besonders illegal oder gefährlich zu sein.

Es ist nicht immer gesetzlich verboten; meistens dient es nur zur Zensur von bestimmten Seiten als Bsp. Voip-Sperre ist nur wg den Telekomgesellschaften usw...

Ich möchte einfach nur darauf hinweisen, damit niemand irgendwelche Probleme im Ausland bekommt, weil er sich in Sicherheit mit dieser Lösung wähnt. Denn anonym ist man damit nicht im Gastland, weil a) die DNS-Anfragen über den lokalen Provider laufen und b) dieser auch sehen kann, dass eine VPN-Verbindung zu einer ausländischen Adresse aufgebaut wird.

Viele Grüße
buecke