[GELÖST] OpenVPN mit Freetz auf Fritz!Box 7050

[pace1968]

Hallo,

nach langer Zeit ist meinereiner mal wieder online. Und ich möchte jetzt einen neuen Thread starten und nicht mehr in den alten Construct-Thread rumbröseln. Das Problem ist: Alle Threads die den Anschein erweckten, für mich interessant zu sein, hatten dann irgendwo wieder stehen "Das geht am besten auf den Seiten von the-construct...". Was ich will:

Home-Office für 3 Personen ist mit Server etc... ausgestattet. Auf der Fritz!Box soll ein VPNServer arbeiten, der den drei Mitarbeitern auch von aussen Zugriff auf alle Daten ermöglichen soll. Entweder finde ich Anleitungen, um den VPN-Zugang zwischen zwei FritzBoxen zu ermöglichen oder zwischen einer FritzBox und nur einem Client parallel

Nachdem ich irgendwann das Eintragen in der debug.cfg aufgegeben habe, habe ich Freetz versucht. Ergebnis: Das Firmware wird mit VPN immer zu groß. Also wieder zurück.

Mein Ansatz ist jetzt folgender: Ich habe in die debug.cfg eingebaut, dass ein sshd und ein ftpd starten. Sobald ein Ping an den lokalen Server erfolgreich ist, wird per wget ein Script vom Server geholt und ausführbar gemacht. Nur wie muss meine Config-Datei aussehen um mein oben genanntes Ziel zu erreichen.

Ein statischer Key ist der Einfachheit akzeptabel, personenbezogene Zertifikate sind, wenn ich ein gutes HowTo genannt bekomme natürlich besser.

lg,

pace1968

[MaxMuster]

Was für eine Box hast du denn? Die Freetz-Lösung wäre sicher die einfachste und komfortabelste, und es gibt fast keine Box, mit der man das nicht hinbekäme...

Jörg

[pace1968]

Hallo,

sorry, hatte ich vergessen: Es ist die FBF 7050 mit der 33er Firmware.

lg,

Pace1968

[MaxMuster]

Schau mal hier. Mit diesen Menu-Punkten sollte es mit statisch gebautem OpenVPN auf einer 7050 laufen:

"replace Kernel", "shrink libraries", "Blocksize 128k"

Jörg

[pace1968]

make läuft und läuft und läuft und .....

Ich vermelde nachher das Ergebnis

lg,

Pace1968

[MaxMuster]

... auf jeden Fall mach dich vorher nochmal schlau, wie man ggf. zurück kommt: Es gab auch Versionen, wo das Shrinken der Libs nicht geklappt hat so dass das Image unbrauchbar war...

Dann per "push-firmware" aus dem Tools-Ordner die originale AVM-Firmaware zurück spielen.


Jörg

[pace1968]

Schon das Kompilieren haut nicht richtig. Es kommt jetzt seid Ewigkeiten nur noch die Meldung

Code:

[ xxxx.xxxxxx] BUG: soft lockup - CPU#0 stuck for 61s! [sed:10135]

wobei die "xxxx.xxxxxx" durch ständig wechselnde Zahlen zu ersetzen sind. Ich lass es jetzt noch ein bisserl laufen, aber ich habe wenig Hoffnungen.

lg,

pace1968

[6i6i]

Ich habe auch OpenVPN laufen und 3 Clients für gelegentliche Lanspiele die nicht übers Internet laufen in mein Netzwerk eingebunden:

Ich habe dazu eine statisch kompilierte openvpn executable und dazu noch ein statisch kompiliertes brctl.

Habe alles in ein shell script gepackt, welches ich aus der debug.cfg starte:

bridge-start.sh

#!/bin/bash
./openvpn --mktun --dev tap0 # erstellt das tap0 device
./brctl addif lan tap0 #Fügt den adapter tap0 zum virtuellen "Switch" lan hinzu
ifconfig tap0 0.0.0.0 promisc up # setzt das Tap0 interfac up.
./openvpn --daemon --config ./server.ovpn #startet den openvpn daemon mit der config datei server.ovpn

server.ovpn

dh /var/media/ftp/uStor01/openvpn/keys/dh1024.pem
ca /var/media/ftp/uStor01/openvpn/keys/ca.crt
cert /var/media/ftp/uStor01/openvpn/keys/server.crt
key /var/media/ftp/uStor01/openvpn/keys/server.key
port 9999
dev tap0
proto udp
server-bridge 192.168.178.1 255.255.255.0 192.168.178.150 192.168.178.160
tls-server
client-to-client
keepalive 10 120

Konfig eines Clients:

dev tap
proto udp
remote <hierdeineopenvpnserverip>
tls-client
ca C:\\Program\ Files\\OpenVPN\\keys\\ca.crt
cert C:\\Program\ Files\\OpenVPN\\keys\\crtdatei.crt
key C:\\Program\ Files\\OpenVPN\\keys\\keydatei.key
port 9999
keepalive 10 60

Zum erstellen der benötigten key, crt, und dh dateien findest du normal im Internet genug Howto's.
Oder du schaust dir mal das PDF an: http://www.ip-phone-forum.de/attachm...5&d=1233064406
Dort findest du ab Seite 42 eine Anleitung mit der du mithilfe von Easy-RSA die Keys erstellst.

Im Anhang befinden sich noch die Binarys für openvpn und brctl. Ich habe diese auf einem USB Stick und starte sie von dort. Du kannst sie aber natürlich auch von einem anderen Server zur laufzeit nachladen lassen.

[pace1968]

Hey, dafür schonmal ein dickes Merci. Ich werde dies morgen mal umsetzen, nachdem ich mir dieses WE Samstagsarbeit aufgebrummt hab. DAs andere habe ich auf meinem Lappie weiterlaufen lassen und wärend er in den Ruhemodus verfallen ist hat dann die VM das oben zitierte ausgespuckt, jedoch mit der Zeitangabe 6607s! Ich fürchte, irgendwas blockiert das ganze und der macht gar nicht weiter sondern spuckt diese Fehlermeldung alle 61 Sekunden aus

lg,

pace1968

[pace1968]

Sooo, hatte mal Zeit

Hier ein quote aus meiner Telnet-Session:

Code:

# ./openvpn --mktun --dev tap0
Tue Jan 26 15:02:16 2010 Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Tue Jan 26 15:02:16 2010 Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Tue Jan 26 15:02:16 2010 Cannot open TUN/TAP dev /dev/tap0: No such file or directory (errno=2)
Tue Jan 26 15:02:16 2010 Exiting

Kann mir jemand weiterhelfen?

lg,

pace1968

[6i6i]

Hmm da fehlt denke ich das kernel modul für TUN/Tap. Sollte sich einfach über freetz installieren lassen.

[pace1968]

Hmmm, sowas blödes, des Freetz will ja bei mir nicht

Ich heul jetzt dann gleich.

lg,

pace1968

[RalfFriedl]

Es sieht nach einem Problem mit Deinem Build-System aus. Vielleicht solltest Du dafür sorgen, daß der Rechner nicht in den Ruhemodus geht. Oder ein anderes System verwenden.

[pace1968]

So, jetzt ist es so weit, ich werde heute abend nochmal freetz anschmeissen. Es soll mir ja niemand fehlenden Gehorsam nachsagen können. Ich werde sämtliche Ruhemodi gen sonstwo verbannen und dann klappt es oder ich setz mich in die Ecke und heule ---> und Ihr seid dann schuld

lg,

pace1968

PS: Ich muss gestehen, dass ich die freetzlose Version dennoch fast bevorzugen würde

[RalfFriedl]

Du kannst auch mit Freetz Programme erstellen und diese dann von Hand auf die Box bringen, ohne in der Firmware etwas zu verändern.

[6i6i]

Kann man das mit Kernelmodulen auch machen?

[RalfFriedl]

Solange sie zum Kernel passen.

[pace1968]

Also, Freetz 1.1 geht selbst in aller minimalster Ausstattung, ohne Firewall Webinterface, ohne FTPd oder sonstirgendeinen Schnickschnack, selbst bei "replace Kernel" nicht. Dass OVPN erst nachträglich geladen wird ist ja so oder so klar. Es ist IMMER too big. Who could help me.

Achja, Details: Minimalste Ausstattung:

Code:

ERROR: kernel image is 71936 bytes too big.

lg,

pace1968

[MaxMuster]

... du müsstest die "trunk" Version dafür nehmen, um die Libraries noch zu "shrinken", dann klappt es.

Code:

replacing kernel
  replacing kernel-4mb_26-04.33 (iln6)
  installing modules
  generating modules.dep
installing packages
  avm-firewall-2.0.4_rc2
  openvpn-2.1.1
  authorized-keys-0.1
  haserl-0.9.26
  modcgi-0.2
invoking custom script
shrink shared libs
Starter script rc.ftpd for AVM-FTPD was not integrated into image
libmodmount.sh was not integrated into image
BOX-Info cgi is integrated into image
FREETZ-Info cgis are integrated into image
integrating stripped .config file into image
stripping unstripped AVM binaries
done.

STEP 3: PACK
  Checking for left over Subversion directories
squashfs blocksize
  root filesystem: 131072
integrate freetz info file into image
packing var.tar
creating filesystem image
merging kernel image
  kernel image size: 3854848 (max: 3866624, free: 11776)
packing 7050_04.33freetz-devel-4253M.de_20100128-214455.image
Image files can be found in the ./images/ subfolder
done.

FINISHED

Jörg


EDIT: Und noch die .config für den aktuellen Trunk Rev. 4253 (zusätzlich zu dem Image von oben mit Busybox-brctl fürs Bridgen)

[pace1968]

Ich bin hocherfreut, ich verfüge nicht nur über eine Freetz!Box (Name sollte sich Freetz markenrechtlich schützen lassen), ich habe sogar OpenVpn mit eingebastelt. Traumhaft. Ich danke Dir - MaxMustermann - von ganzem Herzen.

Aber die Fritz!Box!Welt verstehe ich dennoch nicht, nach einem "Defrag" hat die Box nach trunk-Freetz-Update den Speicher so gut wie frei aber ein stable-Freetz ist in der absoluten GrundConfig ohne OVPN oder sonstigen Schnickschnack zu groß. Hmmmmm........

Ich werde jetzt noch meine debug.cfg auf Grund-Status kastrieren und gut ist....

Aber noch an MaxMustermann: Ich habe eine kleine Marotte: Ich unterstütze nie die Foren (Ist nicht kaltblütig, aber als CoAdmin eines RiesenForums weiss ich, dass Sponsoren das tun sollten) sondern diejenigen, die die Antworten liefern. Wenn Du mir eine Adresse zukommen lässt, wirst Du bald eine Tafel guter Lindt-Schokolade Dein Eigen nennen können . Damit versuche ich Antwort-Lieferanten in Foren zu locken und somit auch dem Forum gutes zu tun.

lg,

pase1968