[Frage] [email protected] + OpenVPN

hw1380

Neuer User
Mitglied seit
1 Okt 2014
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Hi,

zuerst: ich bin ein Newbie was Freetz angeht und habe mir deshalb das Wiki durchgelesen.
Mein Ziel ist es eigentlich OpenVPN auf meiner 7390 zum Laufen zu bringen damit ich nicht auf jedem Client den VPN-Tunnel jedesmal aufbauen muss.
Ich habe noch die Original FW 6.20 drauf und wollte es erstmal ohne Freetz, nur mit dem OpenVPN Binary versuchen, das ich mir selbst unter Freetz gebaut habe.
Dabei bin ich nach der Anleitung in diesem Artikel http://blog.rotzoll.net/2011/03/fritzbox-routing-seines-internetverkehrs-uber-seinen-openvpn-server-ins-internet/ vorgegangen.
Das hat auch auf der FB funktioniert - aber leider haben dann meine Clients keine Internetverbindung mehr.
Ich habe in diversen Posts gelesen dass man dafür noch iptables wegen NAT braucht - die aber wegen dem PA anscheinend nicht mehr funktionieren, auch wenn man Freetz auf der FB hätte.
Frage #1: Ist das so noch korrekt ?

Ungeachtet dessen würde ich gerne trotzdem Freetz installieren und habe dazu den aktuellen 2.0-stable ausgecheckt - dann aber festgestellt dass die 6er FW gar nicht enthalten ist. Deshalb habe ich dann den aktuellen trunk ausgecheckt.
Wenn ich aber "Fritz!OS 06.2x" auswähle, bekomme ich im menuconfig den Hinweis "WARNING: freetz support UNSTABLE - not suitable for production use".
Frage #2: heisst das dass diese Version wirklich instabil ist und ich daher die Version 06.0x verwenden soll ? Falls ja, müsste ich dann ja vorher einen Downgrade meiner Original FW auf diese Version machen, richtig ?
Aber auf der anderen Seite befindet sich das Paket "iptables" ja auch unter den unstable packages und dieses wird ja von vielen verwendet. Weiß aber nicht ob man das so einfach vergleichen kann.

Danke und Grüße
 
Zumindest zur ersten Frage kann ich was sagen ;-)
Wenn du eine Lösung suchst, die für die (FB-)Clients die Verbindung transparent durch das VPN aufbauen willst, geht das nur, wenn du den VPN-Server "beeinflussen" kannst, so dass er den Verkehr aus dem LAN zu deinem VPN-Client (der FB) zurückschickt und dieses Netzt ggf. nattet, wenn es woanders hin soll.
Wenn du den Server nicht beeinflussen kannst, müsste die FB die LAN-Client per NAT "verstecken", und das geht auf der 7390 (wegen der Probleme mit iptables) leider nicht.

Zur Stabilität usw. kann ich leider nicht viel sagen...
 
Danke für Deine Antwort.

Ich kann den VPN-Server leider nicht beeinflussen da es sich dabei um einen externen kostenpflichtigen VPN-Provider handelt.
Der VPN-Provider bietet zwar, aus Sicherheitsgründen, auf seinen VPN-Servern eine NAT-Firewall an, aber das hilft mir ja nicht weiter.
Da bleibt nur zu hoffen dass AVM da irgendwann mal was ändert.

Im Juli diesen Jahres habe ich mal bei AVM nachgefragt ob es möglich wäre den gesamten Internetverkehr über einen VPN-Provider zu leiten.
Hier die Antwort von AVM:
Die von Ihnen gewünschte Funktion, dass der gesamte Netzwerkverkehr ins
Internet über den VPN-Anbieter erfolgt, wird derzeit leider nicht
unterstützt.

Gerne habe ich Ihre Anfrage daher als Verbesserungsvorschlag an den
zuständigen Produktmanager in unserem Haus weitergeleitet.
Unsere Produkte "leben" natürlich von den Verbesserungsvorschlägen unserer
Kunden. Zahlreiche Vorschläge konnten wir in der Vergangenheit auch bereits
umsetzen, nicht selten schon in einer der nächsten Firmware- oder
Software-Versionen.

Interessant in diesem Zusammenhang ist auch, dass die AVM-Firewall "umgegangen" wird, wenn ein Client im LAN einen VPN-Tunnel zu einem VPN-Provider aufbaut. Das hat mir der AVM Support bestätigt:
vielen Dank für Ihre Anfrage an den AVM-Support.

genau das ist richtig, da die FRITZ!Box nicht prüfen kann, was innerhalb
des VPN Tunnels passiert, da diese Pakete verschlüsselt sind.

Also: entweder man verlässt sich auf die NAT-Firewall (wenn der VPN-Provider so eine anbietet) vom VPN-Provider oder man geht einfach unverschlüsselt und sichtbar ins Internet.
Bei größeren Downloads werde ich das wohl auch machen müssen, da mit OpenVPN die Downloadrate von 47Mbit/s auf gerade mal 7Mbit/s einbricht.

Aber dass man iptables nur noch eingeschränkt oder gar nicht mehr verwenden kann ist wirklich sehr unschön.
 
da mit OpenVPN die Downloadrate von 47Mbit/s auf gerade mal 7Mbit/s einbricht.

Das ist eigentlich der Punkt... für openVPN wo richtig Saft durchgehen soll ist die 7390 von der Rechenleistung her ungeeignet.
 
Nein, da hast Du mich missverstanden.

Die von mir angegebene Übertragungsrate war mit der OpenVPN Software auf einem Windows7-Rechner im FB7390-Netzwerk.
Dabei wurden an der 7390 keinerlei Veränderungen vorgenommen bzw. war alles im Originalzustand.
Während meinen Download-Tests war der Windows7-Rechner nicht mal ansatzweise ausgelastet.
Aber mehr als 7Mbit würde ich der FB7390 schon zutrauen, wenn es denn überhaupt ginge.

Wie gesagt, ich wollte deshalb OpenVPN auf der FB laufen lassen da ich es leid bin jedesmal wenn ich mich an den Windows-Rechner setze immer neu die VPN-Verbindung aktivieren muss. Und das nicht nur auf Windows sondern auch auf Mobilgeräten.
 
Ah... dann liegt es wohl am VPN-Provider. Trotzdem wirst Du mit openVPN auf der 7390 nicht glücklich (siehe hier: http://www.ip-phone-forum.de/showthread.php?t=273014).

Den kompletten Verkehr kann man über VPN senden wenn man das Routing der FB anpasst. Ich habe es mal vor einiger Zeit bei einem Projekt gemacht, ging ohne iptables, insoweit sollte es auch noch heute gehen.
 
Ungeachtet dessen würde ich gerne trotzdem Freetz installieren und habe dazu den aktuellen 2.0-stable ausgecheckt
Du musst leider tatsächlich den trunk auschecken.

Wenn ich aber "Fritz!OS 06.2x" auswähle, bekomme ich im menuconfig den Hinweis "WARNING: freetz support UNSTABLE - not suitable for production use".
Ja, aufgrund folgendem Ticket: http://freetz.org/ticket/2499
(bzw. hier: http://freetz.org/ticket/2499#comment:51 und hier: http://freetz.org/ticket/2499#comment:101)

heisst das dass diese Version wirklich instabil ist und ich daher die Version 06.0x verwenden soll ?
Das musst du wohl selbst entscheiden in wie weit du obiges Ticket ernst nimmst. Die ursprüngliche Ursache des Problems scheint noch nicht gefunden zu sein aber ein Workaround wurde bereits implementiert.


Da bleibt nur zu hoffen dass AVM da irgendwann mal was ändert.
Diese Hoffnung iptables betreffend kannst du wohl streichen.

Im Juli diesen Jahres habe ich mal bei AVM nachgefragt ob es möglich wäre den gesamten Internetverkehr über einen VPN-Provider zu leiten.
Diese Antwort bezieht sich auf die AVM eigene VPN Lösung (IPSec) und nicht auf OpenVPN!

Also: entweder man verlässt sich auf die NAT-Firewall (wenn der VPN-Provider so eine anbietet) vom VPN-Provider oder man geht einfach unverschlüsselt und sichtbar ins Internet.
Was versprichst du dir eigentlich von einer "NAT-Firewall"? U.U. kann bei richtiger Konfiguration auch ein OpenVPN-Tunnel nichts anderes sein als eine "NAT-Firewall" (wobei NAT eigentlich nicht wirklich eine Firewall ist).

Interessant in diesem Zusammenhang ist auch, dass die AVM-Firewall "umgegangen" wird, wenn ein Client im LAN einen VPN-Tunnel zu einem VPN-Provider aufbaut. Das hat mir der AVM Support bestätigt:
Auch das ist hinlänglich bekannt und logisch, auch deshalb ist der Einsatz einer VPN-Verbindung mitunter sehr beliebt (dazu braucht es doch eigentlich keine Bestätigung seitens AVM)...


Aber mehr als 7Mbit würde ich der FB7390 schon zutrauen,
Nie im Leben, aber andiling hat da ja schon was verlinkt...
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.