.titleBar { margin-bottom: 5px!important; }

[Problem] Box friert ein nach Start von OpenVPN

Dieses Thema im Forum "Freetz" wurde erstellt von cbartetzko, 6 Nov. 2017.

  1. cbartetzko

    cbartetzko Neuer User

    Registriert seit:
    6 Nov. 2017
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Ich möchte 2 Fritzboxen (7272 und 7390) über einen OpenVPN-Link dauerhaft verbinden.
    Habe dazu für jede Box ein Freetz-Image erzeugt (mit den Paketen Dropbear und OpenVPN) und aufgespielt.
    Auf beiden Boxen läuft Freetz und auch Dropbear problemlos.
    Wenn ich jedoch OpenVPN konfiguriere und manuell starte, dann friert die Box sofort ein und ist nicht mehr ansprechbar
    bis zum gewaltsamen Reboot (Stecker ziehen). Das Problem habe ich sowohl auf der 7272 als auch auf der 7390.

    Hat jemand eine Idee, woran das liegen könnte ?
     
  2. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    ... vermute ich auch ;-)
    Ich denke, du hast in der Konfiguration einen "Fehler", so dass du z.B. das LAN-IP-Netz durch das VPN routest.
    Dann friert die Box nicht ein, sondern ist nur nicht mehr erreichbar, weil sie die "Antworten" statt in dein Netz "in das VPN" schickt.

    Ansonsten wird dir ohne Wissen, was genau du denn konfiguriert hast, niemand helfen können...
     
  3. cbartetzko

    cbartetzko Neuer User

    Registriert seit:
    6 Nov. 2017
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Vielen Dank erstmal @opto und @MaxMuster.
    Es lag tatsächlich an den Routing-Einträgen. Wenn ich die rausnehme, dann baut sich der Tunnel auf.
    Ich experimentiere noch mit den Routingeinträgen, aber ich fürchte so ganz hab ich das nicht verstanden.
    Ich werde morgen mal meine eingestellte Konfiguration posten.
    Vielleicht könnt Ihr mir dann helfen.
     
  4. cbartetzko

    cbartetzko Neuer User

    Registriert seit:
    6 Nov. 2017
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Also folgende Konfiguration:
    Ich möchte gerne zwei Netze über zwei Fritzboxen und OpenVPN so permanent verbinden, dass ich jeweils von Geräten im einen Netz
    auf das andere zugreifen kann.

    Netz1: 192.168.178.0 255.255.255.0
    FB6360, 192.168.178.1,Internetzugang über Kabeldeutschland, DHCP-Server, DNS-Server,Portforwarding UDP 1194 auf 192.168.178.24, DynDNS
    FB7390, 192.168.178.24, IP-Client an FB6360, Freetz-Devel-14492, OpenVPN Server mit folgender Konfiguration:
    Server.jpg
    Netz2: 192.168.180.0 255.255.255.0
    FB7272, 192.168.180.1, Internetzugang über LTE-Stick, DHCP-Server, DNS-Server, Freetz-Devel-14492, OpenVPN Client mit folgender Konfiguration:
    Client.jpg
    Der OpenVPN-Tunnel baut sich erfolgreich auf und wird gehalten.

    Ein Ping von FB7390(Netz1) auf FB7272(Netz2) funktioniert.
    Ein HTTP-Aufruf von einem Gerät im Netz1 auf die Weboberfläche der FB7272(Netz2) funktioniert,
    allerdings nur, wenn ich in den Netzwerkeinstellungen des Gerätes als Gateway die FB7390 eintrage.
    Ich frage mich, ob man das auch über einen statischen Routen-Eintrag in der FB6360 oder FB7390 lösen könnte, weiss aber nicht wie.

    Ein Ping von FB7272(Netz2) auf FB7390(Netz1) funktioniert nicht.
    Ich habe schon mit verschiedenen Routing-Einstellungen bei OpenVPN-Server und -Client experimentiert, bekomme es aber nicht hin.
     
  5. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    10,298
    Zustimmungen:
    379
    Punkte für Erfolge:
    83
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    192.168.180.0/24 ist bei einer FRITZ!Box eine ungünstige Wahl. Dieses Netz wird intern verwendet ... irgendwo hatte AVM das sogar mal dokumentiert.

    Jedenfalls sollte eine FRITZ!Box in ihrer Routing-Table immer einen Eintrag für 192.168.180.1 und 192.168.180.2 über "dev dsl" mit einer Metrik von 2 haben - kann man ja leicht anhand der Support-Daten überprüfen, die Routing-Table wird dort auch aufgeführt. Das sind zwar Host-Routen ... aber da die (meines Wissens) auch vom "dsld" erneuert werden bei Änderungen an der WAN-Verbindung (wie das bei IP-Client-Modus ist, weiß ich nicht aus dem Kopf), sollte man dieses Netz in einer FRITZ!Box wirklich nur verwenden, wenn man sich sehr, sehr sicher ist, was man da eigentlich macht und man sich mit der Fehlersuche im Netzwerk generell recht gut auskennt. Meines Wissens trifft AVM da keine gesonderten Vorkehrungen gegen die Verwendung dieses Netzes und weicht auch nicht auf ein anderes Segment aus, wenn der Besitzer die 192.168.180.0/24 einstellt - das könnte sich aber geändert haben.

    Ohne passende Vorkehrungen würde es jedenfalls mit einiger Wahrscheinlichkeit passieren, daß eine von OpenVPN angelegte Route zu 192.168.180.0/24 durch die (genauer spezifizierte) Host-Route über "dev dsl" überstimmt wird und damit zumindest Pakete an 192.168.180.1 und 192.168.180.2 im Nirwana landen.

    Den Rest der Einstellungen habe ich nicht angesehen und auch den Rest der Fehlerbeschreibung nicht wirklich gelesen ... ich will also nicht behaupten, daß mit dem Wechsel der Segment-Adresse auf der einen Seite bereits alles in Butter wäre. Gut möglich, daß es noch weitere Probleme gibt ... aber zumindest die Ausgabe der Routing-Table bei aktivierter OpenVPN-Verbindung sollte man eben einer genaueren Inspektion unterziehen.
     
  6. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #6 MaxMuster, 9 Nov. 2017
    Zuletzt bearbeitet: 9 Nov. 2017
    Das Netz 192.168.180.0 solltest du wirklich nicht nehmen, das ist wie geschrieben von AVM "reserviert" (für DNS, wenn ich mich recht entsinne).

    Auf dem "normalen" Defaultgateway im Netz1 sollte man eine Route für das eintragen können (sofern das bei deiner 6360 wie auf anderen Fritzboxen geht). Schau mal hier bei AVM:
    https://avm.de/service/fritzbox/fri...1_Statische-IP-Route-in-FRITZ-Box-einrichten/

    Wenn du auf mit Zertifikaten und Netzen beim Client arbeitest, musst du zudem vermutlich noch einen Schritt gehen (beim Server in der "erweiterten Clientkonfiguration" zum Zertifikatsnamen die IP des Clients und das beim Client genutzte Netz eintragen.

    Hintergrund ist, dass deine Config es ermöglicht, dass sich mehrere VPN-Clients dort anmelden. Dann muss der VPN-Server intern wissen, zu welchem Client er ein Netz routen soll. Das erledigt dieser Eintrag (falls es interessiert: Der Übernimmt das Anlegen eines "client-config-dir" und erzeugt darin einen Eintrag für den Client mit dem nötigen "iroute"-Eintrag)

    Als Tipp noch der Verweis auf die Wiki-Seite zum Paket, speziell zum Bereich "Fehlersuche: Ein paar Tips wenn es nicht gleich so klappt".
     
  7. cbartetzko

    cbartetzko Neuer User

    Registriert seit:
    6 Nov. 2017
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Danke @PeterPawn und @MaxMuster.

    Ich habe nun ein anderes Netz gewählt und Serverseitig die erweiterte Client-Configuration eingerichtet.

    Netz1: 192.168.178.0 255.255.255.0
    FB6360, 192.168.178.1,Internetzugang über Kabeldeutschland, DHCP-Server, DNS-Server,Portforwarding TCP 443 auf TCP 1194 auf 192.168.178.24, DynDNS
    FB7390, 192.168.178.24, IP-Client an FB6360, Freetz-Devel-14492, OpenVPN Server mit folgender Konfiguration (openvpn-server.conf.txt)

    Netz2: 192.168.177.0 255.255.255.0
    FB7272, 192.168.177.1, Internetzugang über LTE-Stick, DHCP-Server, DNS-Server, Freetz-Devel-14492, OpenVPN Client mit folgender Konfiguration: (openvpn-client.conf.txt)

    Funktioniert soweit alles und ich kann mich nun auch mit mehreren Clients verbinden.

    Das Routing-Problem bleibt aber:
    Ein Ping von FB7390(Netz1) auf FB7272(Netz2) funktioniert.
    Ein Ping von FB7390(Netz1) auf andere Geräte im Netz2 funktioniert.
    Geräte im Netz1 können auf Geräte im Netz2 zugreifen,
    allerdings nur, wenn ich in den Netzwerkeinstellungen des Gerätes(Netz1) als Gateway die FB7390 eintrage.
    Habe es mit statischen Routen auf FB7390 und FB6360 versucht - leider ohne Erfolg.

    Ein Ping von FB7272(Netz2) auf FB7390(Netz1) funktioniert jetzt.
    Ein Ping von FB7272(Netz2) auf andere Geräte im Netz1 funktioniert nicht.
    Habe es mit statischen Routen auf FB7390 und FB6360 versucht - leider ohne Erfolg.
     

    Anhänge:

  8. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Das sieht so aus, als ob die statische Route in Netz1 nicht wie gewünscht funktioniert.
    Im Netz2 ist ja das "normale" Defaultgateway auch VPN-Teilnehmer, dort sollte kein Eintrag nötig sein.

    Also muss nur die Kabel-Box im Netz1 ein statisches Routing haben. Auf der 7390 muss/sollte nichts eingetragen sein.

    Nur zur Sicherheit: Die Route in der 6360 lautet, "Netz2 auf 7390 routen"? Also: 192.168.177.0 255.255.255.0 auf 192.168.178.24 ?
     
  9. cbartetzko

    cbartetzko Neuer User

    Registriert seit:
    6 Nov. 2017
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Supi. Mit den richtigen Einträgen für das statische Routing funktioniert jetzt alles wie es soll.
    Vielen Dank nochmals für die "Schützenhilfe"