Portforwarding auf openvpn client geht nicht

DoctorUltra

Mitglied
Mitglied seit
4 Aug 2005
Beiträge
611
Punkte für Reaktionen
0
Punkte
16
Hallo,

eine kurze Frage, wenn ich eine Weiterleitung auf meine 7141 auf einen bestimmten PORT mache funktioniert das nur, solange openvpn auf dieser Box nicht als Dienst gestartet ist?
Welche Config gibt es dann dafür?

Eigentlich dient die Box als Client und ich surfe über die Box per OVPN. Aber ich möchte gern von außen auf einen Port auf die OpenVPN Box zugreifen und das geht nur, wenn ich openvpn aus habe?

Code:
client
dev tun 
proto udp
remote xxxx 1194
resolv-retry infinite
nobind
persist-key
#persist-tun
ca /tmp/flash/openvpn/ca.crt
tls-client
remote-cert-tls server
auth-user-pass /tmp/flash/openvpn/passfile
comp-lzo
verb 3
log /var/tmp/debug_openvpn.out
reneg-sec 0
crl-verify /tmp/flash/openvpn/crl.pem

Grüße

- - - Aktualisiert - - -

Keiner eine Idee, wie ich das umgehen kann. Ich glaube das Problem ist einfach, dass die externe IP in einen anderen Bereich als der interne IP liegt. Gibt es eine Möglichkeit hier irgendwie die externe IP als interne zu routen?
 
Zuletzt bearbeitet:
Hallo DoctorUltra,
könntest Du weitere Inputs (Netzwerk-Design, eingerichtetePortforwardings) bereitstellen ?

ist die Einrichtung der Portforwardings gemäß Freetz Doku erfolgt ?
http://www.freetz.org/wiki/packages/openvpn

LG Riverhopper
 
Die Fritzbox 7141 läuft als Client Box, d. h. ich habe das Portforwarding an der Hauptbox gemacht, ganznormal quell port 51234 zu ip-adresse OPENVPN-Fritzbox Port 51234.
Habe auch schon probiert in Freetz zusätzlich das Portforwarding laut dieser Anleitung, bringt aber auch nichts.

Das Portforwarding muss ja passen, weil solange ich den OpenVPN-Dienst deaktiviere, funktioniert das Portforwarding. D. h. irgendwie liegt es daran, dass die externe IP nicht im internen IP Bereich liegt, ist ja auch klar?
 
Sorry aber hat keiner eine Idee liegt es vielleicht, dass die Box nur als ClientBox läuft?
 
Hallo,
Erkläre doch bitte mal wie genau deine VPN-Verbindung laufen soll. Wer/wo ist der Server?
Wenn deine Box "nur" als Client läuft, müsste meines Erachtens nach gar kein Portforwarding eingerichtet werden, da der Client ja zum Server die Verbindung aufbaut...
Wenn du allerdings deine 7141 als Server laufen lassen willst und sich auch Clients mit diesem verbinden können sollen, dann musst du den Port weiterleiten.

Gesendet von meinem SM-G930F mit Tapatalk
 
Ich habe eine 7390 als Internetbox, hinter dieser Box ist eine 7141 als Clientbox mit OPVPN als Client. Diese OPENVPN Box connected sich zu einen Server.
Jetzt möchte ich das auch eine externe ip von außen darauf zugreifen kann, ich möchte einfach von außen auf einen Dienst auf der Box zugreifen, intern funktioniert das nur wenn ich von extern komme nicht, aber wenn ich den OPENVPN Dienst deaktiviere, dann funktioniert auch der externe Zugriff.

Ein Portweiterleitung muss ich doch machen, weil nur die 7390 im Internet bekannt ist.

Mein Routing von der 7141 (OPENVPN Client) ist

Code:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface10.161.1.5      *               255.255.255.255 UH    0      0        0 tun0
10.161.1.1      10.161.1.5      255.255.255.255 UGH   0      0        0 tun0
37.203.209.18   dns.fritz.box   255.255.255.255 UGH   0      0        0 lan
192.168.10.0    *               255.255.255.0   U     0      0        0 lan
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         10.161.1.5      128.0.0.0       UG    0      0        0 tun0
128.0.0.0       10.161.1.5      128.0.0.0       UG    0      0        0 tun0
default         dns.fritz.box   0.0.0.0         UG    9      0        0 lan
 
Ah, ok jetzt hab ich den Faden gefunden. Dachte zunächst du willst auf ne einfache VPN-Konfig raus...
Das das mit dem Dienst nicht funktioniert könnte daran liegen, dass du ja dein Routing der Clientbox komplett über den VPN-Server leitest. Also wird das ganze dann Asynchron laufen, also du fragst über die offizielle IP deiner 7390 an deinem benannten Port an und deine Client-Box antwortet über seine Default-Route, was bei aktivem VPN der VPN-Server ist.

Gesendet von meinem SM-G930F mit Tapatalk
 
Ok verstanden, was könnte man da tun, irgenwas an der 7390 mit statischen routen vielleicht, aber warum funktioniert das dann mit einer internen ip?
 
Eventuell wäre eine Portweiterleitung vom VPN-Server auf deine Client-Box möglich. Um welchen Dienst auf den du zugreifen willst handelt es sich denn?

Gesendet von meinem SM-G930F mit Tapatalk
 
kodo oder webserver usw.
 
ich möchte gern von außen auf einen Port auf die OpenVPN Box zugreifen und das geht nur, wenn ich openvpn aus habe?

Hallo DoctorUltra,
gemäß Deiner Routing-Tabelle schickst Du jeglichen Outbound-Traffic, außer zu Dst-IP 37.203.209.18, durch den OpenVPN Tunnel,
Code:
FB7412# netstat -rn
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
SNIP
37.203.209.18   dns.fritz.box   255.255.255.255 UGH   0      0        0 lan
[COLOR=#0000ff]default         10.161.1.5      128.0.0.0       UG    0      0        0 tun0[/COLOR]
default         dns.fritz.box   0.0.0.0         UG    9      0        0 lan

d.h. es liegt asymmetrisches Routing vor, wobei Hinweg und Rückweg über 2 unterschiedliche NAT-Router stattfindet, das geht nicht!
Auch ist mir nicht klar, ob die gefreezte FB7412 im IP-Client Modus das IP-Forwarding zwischen den Interfaces lan und tun0 durchführen kann oder ob hier Router-Modus erforderlich ist.

Vorschläge für weitere Problemanalyse:
1.) nimm die "default route auf tun0" ("route del default gateway 10.161.1.5")
sowie Hostroute "37.203.209.18 dns.fritz.box 255.255.255.255 UGH 0 0 0 lan" heraus
2.) Separierung von FB-Client-IP und OpenVPN-IP
hierzu einfach die openvpn-client.cfg der FB7412 um folgende Zeile ergänzen:
Code:
local 192.168.10.253

und vor dem OpenVPN-Start den Befehl:
Code:
ifconfig eth0:1 192.168.10.253 netmask 255.255.255.0 broadcast 192.168.10.255 up
ausführen, sowie das Portforwarding auf der FB7390 für Port 1194 auf die IP 192.168.10.253 umstellen.

Bitte diese beiden Tests durchführen und Rückmeldung geben.

LG Riverhopper

EDIT: zweite Testprozedur hinzugefügt
 
Zuletzt bearbeitet:
1. Variante

Dann lösche ich doch die Route zum VPN Anbieter, d. h. ich habe keine VPN Verbindung mehr oder?

2. Variante
habe ich gemacht nur leider funktioniert jetzt das VPN nicht mehr

Code:
Fri May  6 10:08:29 2016 OpenVPN 2.3.2 mipsel-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [IPv6] built on Oct 16 2013Fri May  6 10:08:29 2016 Socket Buffers: R=[110592->131072] S=[110592->131072]
Fri May  6 10:08:29 2016 UDPv4 link local (bound): [AF_INET]192.168.10.253:1194
Fri May  6 10:08:29 2016 UDPv4 link remote: [AF_INET]185.3.135.122:1194

Code:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.10.0    *               255.255.255.0   U     0      0        0 lan
192.168.10.0    *               255.255.255.0   U     0      0        0 eth0
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         dns.fritz.box   0.0.0.0         UG    9      0        0 lan
 
Zuletzt bearbeitet:
Ohne viel "Tricksen" wird das auch nicht gehen. Prinzipiell funktioniert Routing nach dem Highlander-Prinzip (es kann nur eine Route pro Ziel geben).
Wenn du "alles" durch das VPN erreichen willst, dann ist das auch so und auch die Verbindungsversuche aus dem Internet auf "deinen lokalen" Dienst werden dahin geroutet.
Umgehen kannst du das nur mit "Tricksen":
- NAT auf der Eingangsbox (wenn die Pakete an deine Box wietergeleitet werden, schreibt die Internet-Box ihre eigene LAN-IP rein. Das LAN wird ja richtig lokal geroutet. Problem: Die 7390 kann kein "IP-Tables", was du dafür brauchst.
- Tricksen auf der Zielbox:
-- Versuche mit "policy routing" alles von diesem Dienst ins LAN zu routen. Dafür benötigst du einen besonderen Kernel. Alternativ kannst du das "umgekehrt" nutzen, um die Default-Route zum Internet zu lassen und nur allen "externen" Verkehr (aus dem LAN/WLAN) durch das VPN zu routen.
-- Versuche mit "Magie" (z.B. mit knockd oder so) vor dem Verbindungsaufbau der Box die "Absendeadresse" bekannt zu machen. Die kannst du dann (wie auch die Hostroute zum VPN-Server) lokal zum Internet-Router schicken.

Bestimmt gibt es noch mehr "schlaue" Ideen, aber "so mal eben" geht das nicht. Vermutlich ist die einfachste Lösung, diesen Dienst auf die "Eingangsbox" zu bringen ...
 
Zuletzt bearbeitet:
Kann man nicht versuchen, die externe in eine interne umzuwandeln bsp: externe ip 201.300.2.2 umwandeln in 192.168.10.50 intern und dann an die openvpnbox. D. h. die Openvpn Box denkt es kommt von intern?
 
Siehe oben: Ja, man könnte theoretisch NAT (Adressübersetzung) auf der "Eingangsbox" machen, damit diese ihre LAN-IP als Absende-IP nutzt. Aber leider kann die 7390 m.W. kein iptables (womit man NAT machen könnte); zumindest nicht mit aktueller Firmware.

Damit scheidet das wohl aus und es blieben nur Tricks auf der anderen Box ...
 
Schade, vielleicht hat noch jemand eine andere idee?
 
Welche Möglichkeiten hast du denn auf der "primären" Box?
Du könntest TCP-basierende Protokolle auch durch ein SSH auf der "ersten" Box tunneln, wenn auf der z.B. ein Dropbear ist.

Also per SSH auf die erste Box anmelden und z.B. für die Web-Oberfläche Port 4711 auf <IP.der.7141.box>:80 weiterleiten lassen.

Dann wäre auf dem PC, der per SSH zur 7390 verbunden ist, die GUI der 7141 per http://localhost:4711 erreichbar.
 
Die Fritzbox 7390 ist noch standard, d. h. ich müsste die erst mal vorbereiten z. B. Freetz usw.
 
Code:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface46.166.138.134  dns.fritz.box   255.255.255.255 UGH   0      0        0 lan
10.198.1.5      *               255.255.255.255 UH    0      0        0 tun0
10.198.1.1      10.198.1.5      255.255.255.255 UGH   0      0        0 tun0
192.168.10.0    *               255.255.255.0   U     0      0        0 lan
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         10.198.1.5      128.0.0.0       UG    0      0        0 tun0
128.0.0.0       10.198.1.5      128.0.0.0       UG    0      0        0 tun0
default         dns.fritz.box   0.0.0.0         UG    9      0        0 lan
root@fritz:/var/mod/root#

habe jetzt die Verbindung per Lan Koppelung aufgebaut d. h. ich bräuchte eine zusätzliche route

destination gateway genmask
192.168.20.0 * 255.255.255.0

Das müsste doch dann gehen oder?
 
Was meinst du mit "LAN-Koppelung"?
Eine (zusätzliche) AVM VPN-Verbindung? Von wo nach wo?
Was ist "das", was dann gehen soll?
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.