OpenVPN-Paket

[frank_m24]

Danke, das werde ich austesten. Leider ist es eine Build Option, und Austausch der Fritzbox Firmware ist vor nächster Woche Montag nicht drin. Dann werde ich weiter testen.

Ich hatte mir noch mal den Source Code angesehen, u.a. den IPv6 Payload Patch in freetz. Das "inet6" im ifconfig Aufruf steht statisch im Code. Daraus gibt es also keinen eleganten Weg - außer den Patch anzupassen bzw. noch einen Patch zu machen.

 

[RalfFriedl]

Du kannst ipconfig durch ein Skript ersetzten, das die Parameter untersucht und das echte ipconfig oder ip aufruft.

 

[frank_m24]

Ich hatte heute überraschend Zeit, mich ein bisschen damit zu beschäftigen.

Ich hab hier eine 7270 zum Testen zur Verfügung. Dafür hab ich eine 54.05.05-freetz-devel-8783M gebaut. Ich habe in der openvpn.mk folgende Zeilen hinzugefügt:

$(PKG)_CONFIGURE_OPTIONS += --enable-iproute2
$(PKG)_CONFIGURE_OPTIONS += --with-iproute-path=/bin/ip

Letzteres muss sein, da openvpn sonst /sbin/ip sucht.

Soweit, so gut. ip wird benutzt, und eigentlich auch mit richtigen Parametern. Wenn ich die Kommandos, die openvpn absetzt, von Hand ausprobiere, dann sind sie vom Syntax her korrekt und funktionieren eigentlich auch (zumindest auf der 7390).

Auf der 7270 tritt nun aber ein anderes Problem auf: Nicht auf allen Interfaces kann man IPv6 Adressen hinzufügen. Das Interface "guest" funktioniert zum Beispiel. Aber tun0 geht nicht. Versucht man, eine IPv6 Adresse hinzuzufügen, bekommt man ein "permission denied". Egal, ob man ip oder ifconfig verwendet. Auch als Root. Wenn ich es richtig sehe, dann funktionieren alle Interfaces, auf denen AVM IPv6 Adressen hinzufügt, sobald man IPv6 in der Box aktiviert. Auf allen Interfaces, auf denen keine IPv6 Adressen vorhanden sind, kann man auch keine hinzufügen.

Ich hab mich per SSH mal auf meine 7390 eingeloggt, dort kann ich per ip oder ifconfig IPv6 Adressen zu tun0 hinzufügen, auch wenn dort noch keine vorhanden ist.

Was ist der Unterschied zwischen den Boxen?

 

[MaxMuster]

"Blöde" Frage: Ist das OpenVPN auch für IPv6 gebaut? Das "alte" OpenVPN muss das noch per "Patch" bekommen und mit einem "--enable-ipv6" gebaut werden.

 

[frank_m24]

Ja, ist es. Wird in der openvpn.mk in Abhängigkeit der globalen IPv6 Einstellung aktiviert:

$(PKG)_CONFIGURE_OPTIONS += $(if $(FREETZ_TARGET_IPV6_SUPPORT),--enable-ipv6,--disable-ipv6)

 

[MaxMuster]

Hab gerade mal mein "Test-OpenVPN" 2.3-alpha1 auf eine 7270 ohne OpenVPN gebracht:

root@fritz:/var/tmp# ./openvpn23  --genkey --secret my.key
root@fritz:/var/tmp# ifconfig tun0
ifconfig: tun0: error fetching interface information: Device not found
root@fritz:/var/tmp# ./openvpn23 --dev tun --ifconfig 10.8.0.1 10.8.0.2 --secret ./my.key --cipher AES-128-CBC --daemon
root@fritz:/var/tmp# ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:132 (132.0 B)

root@fritz:/var/tmp# ip -f inet6 address add  FD00::1:123  dev tun0
root@fritz:/var/tmp# ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          inet6 addr: fd00::1:123/128 Scope:Global
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:240 (240.0 B)

root@fritz:/var/tmp#

Ich hänge das mal an, ist mit polarssl gebaut, deshalb mit Einschränkungen (besonders: Kein "Blowfish")

 

[frank_m24]

Der "ip" Befehl endet bei mir so:

root@fritz:/var/mod/root# ip -f inet6 address add  FD00::1:123  dev tun0
ip: RTNETLINK answers: Permission denied

aber:

root@fritz:/var/mod/root# ip -f inet6 address add  FD00::1:123  dev guest
root@fritz:/var/mod/root# ifconfig
<snip>
guest     Link encap:Ethernet  HWaddr 00:24:FE:3D:70:20
          inet addr:192.168.179.1  Bcast:192.168.179.255  Mask:255.255.255.0
          inet6 addr: fd00::1:123/128 Scope:Global
          inet6 addr: <...>/64 Scope:Global
          inet6 addr: <...>/64 Scope:Global
          inet6 addr: <...>/64 Scope:Link
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:690 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:53500 (52.2 KiB)
<snip>
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.200.14  P-t-P:192.168.200.13  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:2 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:168 (168.0 B)  TX bytes:336 (336.0 B)

Was ist an deinem TUN Interface anders, als bei mir? TUN ist ja unabhängig von OpenVPN. Welche Firmware hast du drauf? Vielleicht mit Replace Kernel?

 

[MaxMuster]

Ist eine Version "7270_v2_04.88freetz-1.2-stable.de" mit replace kernel.

EDIT: Ist das vielleich das gleiche wie hier, ganz unten?

Versuche doch mal ein "cat /proc/sys/net/ipv6/conf/default/disable_ipv6 " und bei Bedarf ein

echo 0 > /proc/sys/net/ipv6/conf/default/disable_ipv6

Obwohl: Bei mir steht dort auch eine 1 drin...

 

[frank_m24]

Ja, das ist es. Wurde die Änderung vorgenommen, dann kann man IPv6 Adressen zu tun0 hinzufügen. Ich hab kein "Replace Kernel", vielleicht ist das ein Problem.

Ich fasse zusammen:

1. Mit den folgenden Änderungen in der openvpn.mk
   

   $(PKG)_CONFIGURE_OPTIONS += --enable-iproute2
   $(PKG)_CONFIGURE_OPTIONS += --with-iproute-path=/bin/ip

   benutzt OpenVPN iproute2 mit einem Syntax, der auch auf der Fritzbox fehlerfrei ausgeführt werden kann (Alternativ könnte man den Payload Patch anpassen, dass das "inet6" im ifconfig Aufruf wegbleibt).
   
   
2. Auf einigen Boxen (z.B. 7270 mit 54.05.05) ist vor dem Start von OpenVPN ein
   

   echo 0 > /proc/sys/net/ipv6/conf/default/disable_ipv6

   erforderlich, damit die IPv6 Adressen auf die Interfaces hinzugefügt werden können. Ich hab das nun in der debug.cfg stehen.
   Auf einer 7390 funktioniert es ohne diesen Aufruf.

Danke für eure Hilfe. Jetzt spricht mein OpenVPN Netz auch IPv6.

 

[vice_pres]

Jetzt steh ich auch aufm Schlauch...

Ich habe einen vServer im Intnet der als VPN-Gateway dient (für iOS und die Fritzboxen meiner Familie zwecks Fernwartung...) - mein Bruder hat jetzt ne neue Box bekommen. Folgendes Problem (von dem mir meine ehemaligen Arbeitskollegen auch erzählten die ne gefritzte Box einsetzen wollten als VPN-Client):

- Fritzbox baut eine Verbindung vom VPN-GW auf
- Fritzbox erreicht die "entfernten" Netze per Ping und diverser anderern Ports - also funktioniert der Tunnel
- Andere Clients erreichen die Fritzbox auf ihrer VPN-IP ebenfalls
- Client hinter der Fritzbox kommt nicht ins VPN rein
- Routingeinträge sind vorhanden - werden aber scheinbar nicht genutzt...

Firmware: FRITZ!OS 05.09-freetz-devel-8865 BETA
(Openvpn und dropbear)

Gleiches Verhalten war aber wie gesagt auch mit einer 3270 reproduzierbar mit aktueller Firmware.

Jemand eine Idee?

Gruß
Peter

Edith sagt:
Oh man... ich bin einfach total durch... iroute Einträge nicht da... buhu

 

[MaxMuster]

Hast du das mit dem iroute jetzt hinbekommen? Denn das dürfte es wohl sein: mehrere Clients erfordern, dass der Server weiss, welches Netz bei welchem Client ist...

 

[vice_pres]

Jepp - ich hatte einen Schreibfehler beim ccd File drin - Buchstabendreher - und hab mir nen Ast abgesucht. Erst als ich alles zum dritten mal durchgegangen bin hats "klick" gemacht

Zum Problem mit der 3270 das ich oben erwähnte: Wir hatten (bzw haben immer noch, ich arbeite aber nicht mehr da) mehrere 3270 mit openvpn paket für homeoffice und sowas gebaut. Mit neueren 3270 gings aber nicht mehr, beim Firmware-Downgrade haben sich die Boxen zerschossen. Also neues Image gebaut, danach wars aber so, dass nicht mehr maskiert worden ist: Alles was in den Tunnel sollte, sollte auch mit der Tunnel-IP maskiert werden. Ging aber nicht mehr... Aber is ja mittlerweile nicht mehr mein Problem

 

[tsaenger]

Fritzbox 7390 als OpenVPN-Client

Hallo zusammen,

ich habe einen OpenVPN-Server im Netz und würde gerne die Fritzbox als Client configurieren, sodass diese sich mit dem Server verbinden.
Ich habe eine Anleitung für die 7270 gefunden, diese konnte ich aber leider nicht auf der 7390 anwenden.
http://blog.rotzoll.net/2011/03/fri...ehrs-uber-seinen-openvpn-server-ins-internet/
Hat jemand von euch eine Idee wie ich die VPN-verbindung realisieren kann?

Vielen Dank.

Gruß

Tobias

 

[MaxMuster]

Etwas mehr Informationen, an welcher Stelle genau du nicht weiter kommst, wären schon hilfreich. Das 2.2-er OpenVPN-Binary für die 7390 gibt es z.B. hier.
Die Konfig des OpenVPN sollte ja nicht verschieden sein.

Mit Freetz sind die Programme in der Firmware und ist das sogar auch per GUI konfigurierbar...

 

[tsaenger]

Hallo zusammen,

vielen Dank. Das binary habe ich auch gefunden, und auch meine VPN-Verbindung herstellen können.
Nun stehe ich aber noch vor dem Routing-Problem das meine Clients hinter der FB keine Verbindung ins VPN aufbauen.
Ich habe dazu einen separaten Thread eröffnet:
http://www.ip-phone-forum.de/showthread.php?t=247979

Vielleicht kann mir jemand dabei helfen.

Ich habe auch vor, wenn alles läuft meine Config hier einzustellen.

Gruß und Danke
Tobias

 

[tnisterworth]

Hallo Leute, das ist mein erster Post bitte nicht steinigen wenn was nicht richtig ist! Ich weiß aber mittlerweile nicht mehr weiter! Habe, und das ist keine Floskel, mindestens die letzten 2 Wochen mehrere Stunden am Tag damit verbracht eine halbwegs funktionierende VPN Verbindung aufzubauen.

Momentan ist meine FB7270v2 ein VPN mit meinem Netbook über zwei verschiedene DSL Standorte mit dem tun device verbunden.
Die Fritzbox (VPN Server)steht hinter einem Speedport der auch DSL Router ist. Die FB macht also die Internetverbindung über die Lan Schnitstelle 1 über den Speedport als Gateway.

Zu meiner Konfiguration:

LAN 1
192.168.5.0 255.255.255.0
Gateway: 192.168.5.1 (speedport)
VPN Server: 192.168.5.2 (Fritzbox7270v2 freetz1.2 stable VPN IP 10.1.0.1)
NAS:192.168.5.251

LAN 2
192.168.1.0 255.255.255.0
Gateway 192.168.1.1 (Speedport)
VPN CLient: 192.168.1.101 (Netbook win 7 Ultimate VPN IP 10.1.0.10)

Server.conf auf der Fritzbox

#  OpenVPN 2.1 Config, Wed May 30 16:09:31 CEST 2012
proto udp
dev tun
ca /tmp/flash/openvpn/xxx_ca.crt
cert /tmp/flash/openvpn/xxx_box.crt
key /tmp/flash/openvpn/xxx_box.key
dh /tmp/flash/openvpn/xxx_dh.pem
tls-server
port 1194
ifconfig 10.1.0.1 10.1.0.2
push "route 192.168.5.0 255.255.255.0"
mode server
ifconfig-pool 10.1.0.10 10.1.0.20
push "route 10.1.0.0 255.255.255.0"
route 10.1.0.0 255.255.255.0
push "dhcp-option WINS 192.168.5.2"
push "dhcp-option DNS 192.168.5.2"
push "dhcp-option DOMAIN test"
client-to-client
tun-mtu 1500
mssfix
verb 3
daemon

Client.conf auf dem Netbook

client
dev tun
proto udp
remote xxxxxx.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert xxx.crt
key xxx.key
ns-cert-type server
comp-lzo
cipher BF-CBC
verb 3
tun-mtu 1500
pull

Route auf dem VPN Server Fritzbox (10.1.0.1, 192.168.5.2):

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.1.0.2        *               255.255.255.255 UH        0 0          0 tun1
10.8.0.2        *               255.255.255.255 UH        0 0          0 tun0
192.168.179.0   *               255.255.255.0   U         0 0          0 guest
192.168.5.0     *               255.255.255.0   U         0 0          0 lan
10.1.0.0        10.1.0.2        255.255.255.0   UG        0 0          0 tun1
10.1.0.0        fritz.box       255.255.255.0   UG        0 0          0 lan
169.254.0.0     *               255.255.0.0     U         0 0          0 lan
default         dns.fritz.box   0.0.0.0         UG        0 0          0 lan

Route auf dem VPN Client Netbook(10.1.0.10, 192.168.1.101):

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.101     25
         10.1.0.0    255.255.255.0         10.1.0.9        10.1.0.10     30
         10.1.0.8  255.255.255.252   Auf Verbindung         10.1.0.10    286
        10.1.0.10  255.255.255.255   Auf Verbindung         10.1.0.10    286
        10.1.0.11  255.255.255.255   Auf Verbindung         10.1.0.10    286
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.1.0    255.255.255.0   Auf Verbindung     192.168.1.101    281
    192.168.1.101  255.255.255.255   Auf Verbindung     192.168.1.101    281
    192.168.1.255  255.255.255.255   Auf Verbindung     192.168.1.101    281
      192.168.5.0    255.255.255.0         10.1.0.1        10.1.0.10     31
      192.168.5.0    255.255.255.0         10.1.0.9        10.1.0.10     30
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung         10.1.0.10    286
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.1.101    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung         10.1.0.10    286
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.1.101    281
===========================================================================
Ständige Routen:
  Keine

PORT 1194 von Speedport Gateway 192.168.5.1 auf Fritzbox7270 192.168.5.2 weitergeleitet!

Verbindungsprotokoll VPN Client Netbook:

Wed May 30 16:47:49 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Wed May 30 16:47:49 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed May 30 16:47:49 2012 LZO compression initialized
Wed May 30 16:47:49 2012 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed May 30 16:47:49 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed May 30 16:47:50 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed May 30 16:47:50 2012 Local Options hash (VER=V4): '41690919'
Wed May 30 16:47:50 2012 Expected Remote Options hash (VER=V4): '530fdded'
Wed May 30 16:47:50 2012 UDPv4 link local: [undef]
Wed May 30 16:47:50 2012 UDPv4 link remote: xx.x.xxx.xxx:1194
Wed May 30 16:47:50 2012 TLS: Initial packet from xx.x.xxx.xxx:1194, sid=394a98fe e50bbf02
Wed May 30 16:47:50 2012 VERIFY OK: depth=1, /C=DE/ST=xx/L=xxx/O=xx/CN=xxx_CA/[email protected]
Wed May 30 16:47:50 2012 VERIFY OK: nsCertType=SERVER
Wed May 30 16:47:50 2012 VERIFY OK: depth=0, /C=DE/ST=xxx/L=xx/O=xx/CN=server/[email protected]
Wed May 30 16:47:51 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed May 30 16:47:51 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 30 16:47:51 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed May 30 16:47:51 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed May 30 16:47:51 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed May 30 16:47:51 2012 [server] Peer Connection Initiated with xx.x.xxx.xx:1194
Wed May 30 16:47:53 2012 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed May 30 16:47:53 2012 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 10.1.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 10.1.0.10 10.1.0.9'
Wed May 30 16:47:53 2012 OPTIONS IMPORT: timers and/or timeouts modified
Wed May 30 16:47:53 2012 OPTIONS IMPORT: --ifconfig/up options modified
Wed May 30 16:47:53 2012 OPTIONS IMPORT: route options modified
Wed May 30 16:47:53 2012 ROUTE default_gateway=192.168.1.1
Wed May 30 16:47:53 2012 TAP-WIN32 device [Local Area Connection 2] opened: \\.\Global\{8C002B27-2BBD-4775-931F-8B04ECBA250A}.tap
Wed May 30 16:47:53 2012 TAP-Win32 Driver Version 9.9 
Wed May 30 16:47:53 2012 TAP-Win32 MTU=1500
Wed May 30 16:47:53 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.1.0.10/255.255.255.252 on interface {8C002B27-2BBD-4775-931F-8B04ECBA250A} [DHCP-serv: 10.1.0.9, lease-time: 31536000]
Wed May 30 16:47:53 2012 Successful ARP Flush on interface [23] {8C002B27-2BBD-4775-931F-8B04ECBA250A}
Wed May 30 16:47:58 2012 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Wed May 30 16:47:58 2012 C:\WINDOWS\system32\route.exe ADD 192.168.5.0 MASK 255.255.255.0 10.1.0.9
Wed May 30 16:47:58 2012 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Wed May 30 16:47:58 2012 Route addition via IPAPI succeeded [adaptive]
Wed May 30 16:47:58 2012 C:\WINDOWS\system32\route.exe ADD 10.1.0.0 MASK 255.255.255.0 10.1.0.9
Wed May 30 16:47:58 2012 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Wed May 30 16:47:58 2012 Route addition via IPAPI succeeded [adaptive]
Wed May 30 16:47:58 2012 Initialization Sequence Completed

So vom Client aus geht folgendes:

ping auf 10.1.0.1 erfolgreich
ping auf 10.1.0.10 erfolgreich
ping auf 192.168.5.2 erfolgreich
ping auf 192.168.5.1 NÖ
ping auf 192.168.5.251 NÖ

Vom Server folgendes:

ping auf 192.168.5.2 erfolgreich
ping auf 192.168.5.1 erfolgreich
ping auf 192.168.5.250 erfolgreich
ping auf 10.1.0.1 erfolgreich
ping auf 10.1.0.10 erfolgreich


Was habe ich vergessen oder übersehen? Will vom VPN CLient nur auf die Nas(192.168.5.251) und deren Netzlaufwerke zugreifen!?

Bitte um Hilfe bin seit mindestens 2 Wochen am experiementieren und testen leider vergeblich!
Wäre für einen entscheidenden Tipp sehr dankbar, vielleicht gibt es ja andere Bereiche wo ich dann helfen kann!??!

 

[tnisterworth]

Es funktioniert!!! ICh glaubs nicht!!!
Son blöder Fehler.....

Meine Nas hatte als Gateway und DNS den Speedport eingetragen, ist eigentlich logisch den wenn meine Nas antworten sollte, ging sie über den Speedport und der wusste natürlich nichts von meinem VPN Netz!!
Gateway und dns auf meiner Nas mit der IP des VPN Server und schon klappt alles!!!

So solls sein erster Post. ,_)

 

[cmonty14]

Allgemeine Fragen zur Konfiguration

Hallo!

Ich hoffe es nimmt mir niemand übel wenn ich in diesem Thread ein paar generelle Fragen zur Konfiguration stelle.
Je länger ich im Web oder in div. Foren nach Empfehlungen hinsichtlich der Konfiguration suche, umso mehr unterschiedliche und sich teilweise wiedersprechende Empfehlungen finde ich.

Ich möchte ein "typisches" VPN-Szenario realisieren:
- OpenVPN läuft auf der FB (in meinem Fall FB7390) mit einem aktuellen Freetz
- Diverse Clients (Android, Windows XP) sollen sich per OpenVPN verbinden können -> Multiclient
- Alle Clients bekommen eine IP aus dem Adressbereich des Heimnetzes per DHCP zugewiesen und können somit auf alle anderen Geräte im Heimnetz zugreifen
- Die Android-Clients können mittels App "FRITZ! Fon" über die FRITZ!Box bei bestehender VPN-Verbindung telefonieren

Nun zu den Fragen bzgl. der Konfiguration:
1. Welches Protokoll soll verwendet werden: UDP oder TCP?
Ich habe irgendwo gelesen, dass die Verwendung von TCP für einen VPN-Tunnel unvorteilhaft wäre
2. Welcher Methode soll verwendet werden: Bridging oder Routing?
3. Falls Bridging notwendig ist um die Funktion "Telefonieren über FRITZ! Fon" zu realisieren, muss dann auch ein VPN Subnetz konfiguriert werden?
4. Falls Bridging notwendig ist, muss dann die Datei ar7.cfg manuell angepasst werden, oder geht das auch über das UI des Pakets OpenVPN?
5. Muss die verwendete Verschlüsselung in der Client-Konfiguration mit dem Parameter "cipher" eingetragen sein?
6. Ist es ausreichend in den AVM-Firewall Einstellungen den OpenVPN-Port mit entsprechendem Protokoll zu öffnen? Oder müssen weitere Modifikationen manuell durchgeführt werden?

THX

 

[MaxMuster]

Hi,

gleich mal vorne weg: deine "Bedingungen" sind nicht zwingend so. Um auf alles im Heimnetz zugreifen zu können, ist es nicht erforderlich, dass IPs aus dem Heimnetz verwendet werden. IP ist da deutlich "flexibler". Wäre ja auch z.B. schön blöd, wenn du im Internet kein Geräte erreichen könntest, weil die alle nicht in deinem IP-Netz sind ;-)

1. UDP ist besser und empfohlen, weil es weniger Overhead hat.
2. Siehe meinen Kommentar zu Beginn. Es geht durchaus mit Routing (dann ist das VPN-Netz aber ein anderes IP-Netz als dein LAN). Willst du die VPN-Geräte wirklich in dein LAN bekommen, dann musst du Bridging wählen und die IPs aus dem LAN nutzen (möglichst andereals die, die der DHCP der Box vergibt).
3. Weiss nicht, ob das Bridging erfordert. Aber wie unter 2. steht: Bridging mit dem LAN erfordert, dass du auch das gleiche IP-Netz nutzt.
4. Wenn die Box brctl hat, dann geht es auch über die GUI (der Haken in der GUI sollte nur in dem Fall sichtbar sein)
5. Jein. Der Default (blowfish) muss nicht genannt sein, sonst muss überall der gleiche eingetragen sein
6. Mit der AVM-FW-GUI geht es unter der Portweiterleitung auch ohne weitere Modifikationen.

Jörg

 

[cmonty14]

[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

ad 2.
Ist es mit OpenVPN nicht möglich, dass dem VPN-Client eine IP-Adresse aus dem Heimnetz vom DHCP-Server automatisch zugewiesen wird?

THX