Routing PPTPD 7270

[Grisu-2008]

so nun habe ich eine virtuelle IP für das Interface eth0:1 erstellt. Da ich nun ein neues Images drauf haben lauten die IP-Adressen wie folgt:
Fritzbox: 192.168.178.1 Subnetzmaske 255.255.255.0
Clients an der Fritzbox: 192.168.178.10-11
Das virtuelle Interface hat die 192.168.178.100 bekommen. Ifconfig bestätigt dies auch:

eth0      Link encap:Ethernet  HWaddr 00:1F:3F:55:5B:80
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:674 errors:0 dropped:0 overruns:0 frame:0
          TX packets:675 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:128
          RX bytes:105143 (102.6 KiB)  TX bytes:363124 (354.6 KiB)

eth0:1    Link encap:Ethernet  HWaddr 00:1F:3F:55:5B:80
          inet addr:192.168.178.100  Bcast:192.168.178.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

Danach habe ich die Weiterleitung folgendermaßen eingerichtet.
VPN GRE 192.168.178.100
VPN TCP 1723 192.168.178.100 1723
IPSEC UDP 50 192.168.178.100 50

Danoch kann ich den VPN-Server von außerhalb nicht erreichen (Fehler 800) Auch ein Portscan teilt mir mit das der Port noch zu sei
"TCP-Port 1723 auf Host 89.15.83.138 ist nicht erreichbar. "

Hab ich bei der Konfiguration einen Fehler gemacht? Köntest du mir deine funktionierende Konfig mal posten, das wäre echt super. Danke

 

[bigfrog]

Das mit dem virtuellen Interface war nur so eine Idee von mir, einfacher und wohl auch zuverlässiger ist es, wie ich inzwischen bemerkt habe, deine erste Variante die Portweiterleitung in der ar7.cfg zu machen (bzw über das AddOn AVM-Firewall). Bei mir funktionieren beide Varianten.

VirtualIP solltest du nicht automatisch starten lassen sondern erst einige Zeit nachdem die Box hochgefahren ist (1min)(Portfreigaben vorher anlegen!). Dann sollten die Ports von extern erreichbar sein.

Meine Konfiguration:
Freetz W900V: 192.168.3.9
VPN-Server auf der W900V: 192.168.3.9
Rechner hinter der W900V: 192.168.3.20-29
Rechner im VPN-Netz der W900V: (virtuell)192.168.3.210-229
alle Subnetzmasken der nicht virtuellen IPs: 255.255.255.0

Rechner im entfernten lokalen Netz: 192.168.2.xxx Subnetz 255.255.255.0
Bei der Einwahl in die W900V bekommen diese Rechner die virtuelle IP aus 192.168.3.210-229, außerdem habe ich in den Eigenschaften der PPtP-Verbindung den Punkt "Standardgateway für das Remotenetzwerk verwenden" abgewählt, damit sie für Verbindungen ins Internet nicht über die W900V gehen sondern ihren eigenen Router im Netz verwenden. Wichtig ist dass die Rechner im entfernten Netz ein anderes Subnetz haben als die Rechner hinter der W900V, da sie sonst ihr eigenes Netzwerk nicht mehr sehen da sie die Pakete dafür immer durch den Tunnel schicken. Sonst müsste man das Routing manuell einstellen.

pptpd.conf

# TAG: ppp
#	Path to the pppd program, default '/usr/sbin/pppd' on Linux
#
ppp /usr/sbin/pppd

# TAG: option
#	Specifies the location of the PPP options file.
#	By default PPP looks in '/etc/ppp/options'
#
option /etc/ppp/options.pptpd

# TAG: debug
#	Turns on (more) debugging to syslog
#
#debug

# TAG: stimeout
#	Specifies timeout (in seconds) on starting ctrl connection
#
stimeout 10

# TAG: noipparam
#       Suppress the passing of the client's IP address to PPP, which is
#       done by default otherwise.
#
#noipparam

# TAG: logwtmp
#	Use wtmp(5) to record client connections and disconnections.
#
#logwtmp

# TAG: bcrelay <if>
#	Turns on broadcast relay to clients from interface <if>
#
bcrelay lan

# TAG: localip
# TAG: remoteip
#	Specifies the local and remote IP address ranges.
#
#       Any addresses work as long as the local machine takes care of the
#       routing.  But if you want to use MS-Windows networking, you should
#       use IP addresses out of the LAN address space and use the proxyarp
#       option in the pppd options file, or run bcrelay.
#
#	You can specify single IP addresses seperated by commas or you can
#	specify ranges, or both. For example:
#
#		192.168.0.234,192.168.0.245-249,192.168.0.254
#
#	IMPORTANT RESTRICTIONS:
#
#	1. No spaces are permitted between commas or within addresses.
#
#	2. If you give more IP addresses than MAX_CONNECTIONS, it will
#	   start at the beginning of the list and go until it gets 
#	   MAX_CONNECTIONS IPs. Others will be ignored.
#
#	3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,
#	   you must type 234-238 if you mean this.
#
#	4. If you give a single localIP, that's ok - all local IPs will
#	   be set to the given one. You MUST still give at least one remote
#	   IP for each simultaneous client.
#
# (Recommended)
localip 192.168.3.9
remoteip 192.168.3.210-229
# or
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245

options.pptpd

# Authentication

# Name of the local system for authentication purposes 
# (must match the second field in /etc/ppp/chap-secrets entries)
name fritzbox

# Strip the domain prefix from the username before authentication.
# (applies if you use pppd with chapms-strip-domain patch)
#chapms-strip-domain

# Encryption
# (There have been multiple versions of PPP with encryption support,
# choose with of the following sections you will use.)

# BSD licensed ppp-2.4.2 upstream with MPPE only, kernel module ppp_mppe.o
# {{{
refuse-pap
refuse-chap
refuse-mschap
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
require-mschap-v2
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
# require-mppe-128
mppe required
# }}}

# Network and Routing

# If pppd is acting as a server for Microsoft Windows clients, this
# option allows pppd to supply one or two DNS (Domain Name Server)
# addresses to the clients.  The first instance of this option
# specifies the primary DNS address; the second instance (if given)
# specifies the secondary DNS address.
ms-dns 192.168.3.9

# If pppd is acting as a server for Microsoft Windows or "Samba"
# clients, this option allows pppd to supply one or two WINS (Windows
# Internet Name Services) server addresses to the clients.  The first
# instance of this option specifies the primary WINS address; the
# second instance (if given) specifies the secondary WINS address.
#ms-wins 10.0.0.3
#ms-wins 10.0.0.4

# Add an entry to this system's ARP [Address Resolution Protocol]
# table with the IP address of the peer and the Ethernet address of this
# system.  This will have the effect of making the peer appear to other
# systems to be on the local ethernet.
# (you do not need this if your PPTP server is responsible for routing
# packets to the clients -- James Cameron)
proxyarp

# Logging

# Enable connection debugging facilities.
# (see your syslog configuration for where pppd sends to)
#debug

# Print out all the option values which have been set.
# (often requested by mailing list to verify options)
#dump

# Miscellaneous

# Create a UUCP-style lock file for the pseudo-tty to ensure exclusive
# access.
lock

# Disable BSD-Compress compression
nobsdcomp 

# Disable Van Jacobson compression 
# (needed on some networks with Windows 9x/ME/XP clients, see posting to
# poptop-server on 14th April 2005 by Pawel Pokrywka and followups,
# http://marc.theaimsgroup.com/?t=111343175400006&r=1&w=2 )
novj
novjccomp

# turn off logging to stderr, since this may be redirected to pptpd
#nologfd

 

[Grisu-2008]

ich habe heute morgen im Forum mich über das Problem mit der Virtuel IP erkundigt und herausgefunden, dass bei der 7270 mit den neueren Firmwareversionen Virtual IP wohl nicht mehr funktioniert.
Also habe ich nun das Recoverytool durchgeführt und das Image eingespielt. Dann hab ich in der ar7.cfg folgende Zeilen für Portforwarding eingepflegt

forwardrules =
                             "tcp 0.0.0.0:1723 0.0.0.0:1723 0 # VPN-Server",
                              "gre 0.0.0.0 0.0.0.0 0 # VPN-Server";

Danach habe ich deine geposteteKonfig eingepflegt nur die IP-Adressen auf mein Netz geändert.
Fritzbox: 192.168.112.1
VPN-Server auf der Fritzbox: 192.168.112.1
Rechner hinter der Fritzbox: 192.168.112.20-29
Rechner im VPN-Netz der Fritzbox: (virtuell)192.168.112.210-229
alle Subnetzmasken der nicht virtuellen IPs: 255.255.255.0
Ich habe auch den Punkt Standardgateway für das Remotenetzwerk verwenden entfernt.
Ich kann nur nicht verstehen, warum das ganze immernochnicht geht. Das einwählen funktioniert einwandfrei, aber ich kann vom VPN-Client nicht auf die lokale Seite pingen und auch nicht umgekehrt. Das lokale Netz des VPN-Clients heißt 192.168.178.0.
Ich hab leider keine Ahnung woran es liegen könnte

 

[bigfrog]

Kannst du von der FritzBox aus die entfernten Clients pingen bzw. umgekehrt? Testweise die Firewalls auf den Clients ausgeschaltet?

 

[gamf]

um doch etwas zu diesem Thema zu sagen, weil Grisu-2008 mich dazu gebeten habe. Nur habe ich leider keine Zeit mir das genauer anzugucken, ich kann euch nur diese Seite hier empfehlen um das routing zu verstehen:
http://pptpclient.sourceforge.net/routing.phtml
Dort wird zwar der Client beschrieben aber ich denke daraus ist auch das schema des Servers zu erkennen, aber trotzdem sollte man sich mit routing etc. auskennen um solchen Fehlern auf die schliche zu kommen. Ich kann nur mal empfehlen den pptpd im debug modus zu starten auf der kommandozeile nicht über den dienst, so das man sieht was passiert und auch zusätzlich im syslog nachzusehen, wenn euch das alles kein Begriff ist, die suche ist euer Freund...

Edit: Villeicht hilft euch auch das hier weiter:
http://poptop.sourceforge.net/dox/qna.html#2

Hört einfach nicht auf zu suchen... Und guckt auch in die doku zu pptpd, vorkauen wird euch das niemand, ihr müsst schon selber suchen.

 

[CiHViRuS]

wichtig, bei localip nicht nur die box sondern auch die anderen pc's eintragen (die im heimnetz)!
es ist sonst nur die box erreichbar!