FBF7270 - eine PPTP Verbindung zum VPN aufbauen

[lautunddeutlich]

Hallo Leute,

Ich moechte gerne Netflix schauen koennen von hier aus in Suedafrika und habe mir ein BlackVPN account besorgt damit ich eine amerikanische IP Adresse haben kann. Ueber MacOSX laeuft es einwandfrei und nun wollte ich das ganze ueber meinen Router zum Laufen bekommen.

Bei mir ist eine FBF7270 (international v2) angeschlossen die ich als DSL router verwende. Am Wochenende habe ich die Kiste gefreetzt (auf freetz-1.1.3) und soweit scheint es problemlos zu funktionieren.

Jetzt wollte ich die FBF so konfigurieren dass

1) ich ein PPTP Gateway zu BlackVPN in den USA habe
2) Die PPTP Verbindung sollte automatisch und ausschliesslich fuer eine bestimmte interne IP Adresse zur Verfuegung stehen (meine PS3, z.B. 192.168.178.15)
3) Von BlackVPN habe ich lediglich einen Domain-name (vpn.blackvpn.com), username & passwort bekommen

Kann mir jemand helfen mit der Info wo ich was eintragen muss. Es waere schoen wenn ich diese ueber die Freetz Web-user interface eintragen koennte aber die Konsole waere auch ok.


Danke im voraus.

 

[lautunddeutlich]

Ok, ich weiss dass dieses Thema im Forum besprochen wurden. Leider habe ich nur keine funktionierende Beschreibung gefunden. Mittlerweile kann ich eine IP Verbindung aufbauen und bekomme eine lokale & remote IP, kann aber nur die lokale IP anpingen. Meine Dateien unter dem Freetz 1.1.3 web-interface sehen folgendermassen aus:

1) chap secrets

# client server secret IP addresses
userxxx pptp passwordxxx *
EOF

2) options.pptp

lock
noauth
nobsdcomp
nodeflate

3) pptpd.conf

name userxxx
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
mppe required
mppe stateless
nodeflate
ms-dns 192.168.178.1
proxyarp
lock
nobsdcomp
novj
novjccomp

4) var/log/messages

Feb 13 20:24:14 fritz daemon.notice pppd[7811]: pppd 2.4.4 started by root, uid 0
Feb 13 20:24:14 fritz daemon.info pppd[7811]: Using interface ppp0
Feb 13 20:24:14 fritz daemon.notice pppd[7811]: Connect: ppp0 <--> /dev/pts/0
Feb 13 20:24:15 fritz daemon.notice pptp[7814]: anon log[mainptp.c:314]: The synchronous pptp option is NOT activated
Feb 13 20:24:15 fritz daemon.notice pptp[7820]: anon log[ctrlp_repptp_ctrl.c:251]: Sent control packet type is 1 'Start-Control-Connection-Request'
Feb 13 20:24:16 fritz daemon.notice pptp[7820]: anon log[ctrlp_dispptp_ctrl.c:739]: Received Start Control Connection Reply
Feb 13 20:24:16 fritz daemon.notice pptp[7820]: anon log[ctrlp_dispptp_ctrl.c:773]: Client connection established.
Feb 13 20:24:16 fritz daemon.notice pptp[7820]: anon log[ctrlp_repptp_ctrl.c:251]: Sent control packet type is 7 'Outgoing-Call-Request'
Feb 13 20:24:17 fritz daemon.notice pptp[7820]: anon log[ctrlp_dispptp_ctrl.c:858]: Received Outgoing Call Reply.
Feb 13 20:24:17 fritz daemon.notice pptp[7820]: anon log[ctrlp_dispptp_ctrl.c:897]: Outgoing call established (call ID 0, peer's call ID 21504).
Feb 13 20:24:18 fritz daemon.notice pppd[7811]: CHAP authentication succeeded
Feb 13 20:24:19 fritz daemon.notice pppd[7811]: MPPE 128-bit stateless compression enabled
Feb 13 20:24:20 fritz daemon.notice pppd[7811]: local IP address 172.16.21.43
Feb 13 20:24:20 fritz daemon.notice pppd[7811]: remote IP address 172.16.21.1
Feb 13 20:25:17 fritz daemon.notice pptp[7820]: anon log[logechoptp_ctrl.c:677]: Echo Reply received.

5) route -e zeigt

Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.180.1 * 255.255.255.255 UH 0 0 0 dsl
192.168.180.2 * 255.255.255.255 UH 0 0 0 dsl
172.16.21.1 * 255.255.255.255 UH 0 0 0 ppp0
192.168.178.201 * 255.255.255.255 UH 0 0 0 dsl
41.240.246.120 * 255.255.255.255 UH 0 0 0 dsl
192.168.178.0 * 255.255.255.0 U 0 0 0 lan
169.254.0.0 * 255.255.0.0 U 0 0 0 lan
default * 0.0.0.0 U 0 0 0 dsl

Ich wollte nun einfachheitshalber die ganze Traffic auf ppp0 umbiegen ueber:

route del -net default
und dann:

route add -net default gw 172.16.21.1

Leider wenn ich das mache geht mein Routing floeten...

Kann mir jemand weiterhelfen?

Danke im voraus.

 

[RalfFriedl]

route del -net default

Leider wenn ich das mache geht mein Routing floeten...

Du löscht die Default-Route, und danach geht das Routing nicht mehr? Vermutlich heißt das konkret, daß Du keine Verbindung mehr zum Internet hast und kurz danach auch der VPN Tunnel zusammenbricht.

Das Problem hatte schon mal einer vor wenigen Tagen.

Überlege mal, was genau passiert, wenn Du die Default Route löscht.

 

[imagomundi]

Kann Dir zwar bei Deinem Thema nicht helfen, aber evtl. kannst Du das umgekehrt tun: PPTP kann mit FREETZ aufgebaut werden? Habe mich lange überhaupt nicht und nicht sehr intensiv mit FREETZ beschäftigt.
Mit PPTP könnte ich evtl. problemlos eine VPN Verbindung von meinem HTC Desire bzw. meinem ARCHOS zur FB aufbauen.

 

[lautunddeutlich]

Hallo RalfFriendl,

Das Problem ist dass ich versuche die Internet-Traffic auf's ppp0 Interface umzuleiten (weil's am einfachsten sein sollte). Wenn man die Default-Route behaelt wird der Internetverkehr ueber die DSL-Verbindung und nicht ueber die PPTP-Verbindung geleitet. So weit ich es von anderen Beitraege im Forum verstanden habe kann man einfach mit dem Route Befehl dieses "umbiegen" erreichen. Hast du einen Vorschlag was ich machen muss?

PS: Imagomundi, FREETZ kann eine PPTP & OPENVPN Verbindung aufbauen. Kannst unter freetz.org schauen.

 

[RalfFriedl]

Was passiert denn mit den Paketen, die an dieses ppp0 Interface gesendet werden?
Und wo hast Du gelesen, daß man es "einfach" so machen kann?

 

[lautunddeutlich]

Hallo RalfFriedl,

ich bin kein Experte was IP/routing angeht. Mit ifconfig ppp0 bekomme ich:

ppp0 Link encapoint-to-Point Protocol
inet addr:172.16.21.43 P-t-P:172.16.21.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:159 (159.0 B) TX bytes:208 (208.0 B)

Wenn ich traceroute auf z.B. Google mache bekomme ich:

traceroute www.google.com
traceroute to www.l.google.com (165.165.38.147), 30 hops max, 38 byte packets
1 dsl-240-220-01.telkomadsl.co.za (41.240.220.1) 6.587 ms 7.683 ms 8.328 ms
2 rrba-ip-lir-1-gig-3-0-0.telkom-ipnet.co.za (196.43.11.134) 30.453 ms 29.772 ms 30.197 ms
3 196.43.26.106 (196.43.26.106) 30.171 ms 29.753 ms 30.176 ms
4 * * *
5 * * *

wobei "dsl-240-220-01.telkomadsl.co.za (41.240.220.1)" ist der lokale ISP.

Wie gesagt ich kenne mich mit IP Konfiguration/Routing nicht besonders aus, aber verstehe es so dass die IP :172.16.21.1 irgendwo im traceroute auftauchen sollte
wenn die VPN Tunnel benutzt wird.

Was muss ich denn machen um:

1) Testweise erstmal - die ganze Traffic ueber die PPTP-Verbindung zu leiten
2) Dann anschliessend (wenn das obere laeuft) bestimmte Geraete/IPs im LAN (z.B. PS3) ueber das VPN zu leiten

 

[RalfFriedl]

Das Problem ist folgendes:
- Du baust eine VPN-Verbindung zu einer Gegenstelle auf. Da ich hier nichts konkretes gefunden haben, gehen wir einfach mal davon aus, daß sie die Adresse 1.2.3.4 hat.
- Wenn jetzt Pakete durch den VPN-Tunnel geleitet werden sollen, werden diese verschlüsselt und verpackt und an die Adresse 1.2.3.4 gesendet, wo sie wieder entpackt werden. Ich gehe mal davon aus, daß Du schon ausprobiert hast, ob soweit alles funktioniert.
- Jetzt änderst Du die Routing-Tabelle so, daß die Default-Route auf 172.16.21.1 zeigt, den anderen Endpunkt des VPN-Tunnels.
- Wenn jetzt ein Paket durch den Tunnel gehen soll, passiert im Prinzip immer noch das Gleiche wie vorhin: Das Paket wird verschlüsselt und verpackt und an die Adresse 1.2.3.4 gesendet. Und wie erreicht die Box die Adressen 1.2.3.4? Sie schaut in der Routing-Tabelle nach. Und was steht dort? Default über 172.16.21.1. Also das VPN-Paket nochmal verschlüsselt und verpackt und an die Adresse 1.2.3.4 gesendet. Und immer so weiter.

 

[lautunddeutlich]

Danke fuer die Erklaerung - macht Sinn. Was mir nicht ganz klar ist was ich eingeben muss damit:

1) Die default route auf 172.16.21.1 gesetzt wird?
2) Eine bestimmte LAN IP ausschliesslich ueber 172.16.21.1 laeuft waehrend alle anderen Geraete im LAN ueber die normale DSL-Verbindung laufen?

 

[RalfFriedl]

Damit der VPN-Tunnel bestehen bleibt, mußt Du erst eine Route für die VPN Gegenstelle setzen. Normal wird dies von der Default-Route abgedeckt. Wenn Du aber die Default-Route änderst, geht das nicht mehr.

route add -host 1.2.3.4 dev dsl

Wenn Du aber gar nicht alles über das VPN leiten willst, brauchst Du auch nicht die Default Route zu ändern und daher auch keinen gesonderten Routen-Eintrag für die VPN-Gegenstelle.

Wenn nur ein Gerät über den Tunnel laufen soll, wird das auf jeden Fall schwierig.

 

[lautunddeutlich]

Danke RalfFriedl, verstehe aber nicht ganz warum Du "dev dsl" und nicht "dev ppp0" vorschlaegst?
Habe versuchshalber das Routing auf Netflix.com probiert mit und ohne den Route-Befehl.

Ueber Traceroute bekomme ich erstmal (ohne route):

traceroute www.netflix.com
traceroute to www.netflix.com (208.75.79.17), 30 hops max, 38 byte packets
1 dsl-240-220-01.telkomadsl.co.za (41.240.220.1) 6.190 ms 6.176 ms 6.126 ms
2 196.43.35.33 (196.43.35.33) 6.755 ms 7.587 ms 6.330 ms
3 196.43.35.33 (196.43.35.33) 6.009 ms 5.940 ms 7.735 ms
4 196.43.10.130 (196.43.10.130) 30.466 ms 29.446 ms 29.457 ms
c 5 196.43.33.5 (196.43.33.5) 28.478 ms 27.717 ms 27.429 ms
6 ams-ip-dir-globalc-pos-4-0-1.telkom-ipnet.co.za (196.43.18.38) 214.472 ms 214.940 ms 213.151 ms
7 212.72.45.225 (212.72.45.225) 277.159 ms 277.653 ms 276.932 ms
8 ae-33-51.ebr1.Amsterdam1.Level3.net (4.69.139.129) 280.017 ms 279.992 ms 279.527 ms
9 ae-48-48.ebr2.Dusseldorf1.Level3.net (4.69.143.210) 290.113 ms ae-45-45.ebr2.Dusseldorf1.Level3.net (4.69.143.198) 289.274 ms ae-46-46.ebr2.Dusseldorf1.Level3.net (4.69.143.202) 290.416 ms
10 ae-1-100.ebr1.Dusseldorf1.Level3.net (4.69.141.149) 289.831 ms 290.287 ms 289.863 ms

Danach den Befehl "route add -host 208.75.79.17 dev ppp0"

/var/mod/root # traceroute www.netflix.com
traceroute to www.netflix.com (208.75.79.17), 30 hops max, 38 byte packets
1 172.16.21.1 (172.16.21.1) 317.101 ms 318.011 ms 320.236 ms
2 ip2.208-100-1.static.steadfast.net (208.100.1.2) 320.468 ms 325.392 ms 321.020 ms
3 * * *
4 be-10-303-pe01.350ecermak.il.ibone.comcast.net (75.149.230.85) 344.982 ms 334.666 ms 322.588 ms
5 pos-1-7-0-0-cr01.chicago.il.ibone.comcast.net (68.86.87.125) 327.195 ms 323.194 ms 335.760 ms
6 pos-2-11-0-0-cr01.newyork.ny.ibone.comcast.net (68.86.86.233) 349.491 ms 351.145 ms 348.023 ms
7 pos-0-9-0-0-cr01.ashburn.va.ibone.comcast.net (68.86.87.61) 355.189 ms 355.109 ms 355.594 ms
8 pos-0-5-0-0-pe01.ashburn.va.ibone.comcast.net (68.86.87.14) 354.546 ms 355.829 ms 357.591 ms
9 66.208.228.10 (66.208.228.10) 351.216 ms 348.509 ms 350.469 ms
10 xe-0-0-0-100.jnrt-edge02.sv1.netflix.com (69.53.230.217) 403.946 ms 406.341 ms 404.169 ms
11 te1-7.csrt-agg02.dc2.prod.netflix.com (69.53.230.226) 405.692 ms 409.992 ms 406.465 ms
12 www.dc2.netflix.com (208.75.79.17) 405.842 ms 406.048 ms 408.317 ms

So wie ich es verstehe sieht das letztere gut aus, nur leider unter www.blackvpn.com zeigt mir die Seite:

Your IP is: 41.241.14.8
Your hostname is: dsl-241-14-08.telkomadsl.co.za
Your location is: Unknown,

IP/Hostname is weiterhin mein Suedafrikanischer ISP? Irgendwas ist immer noch schief aber laut /var/log/messages bin ich weiter verbunden..

Weiss Du was ich testen muss?

 

[lautunddeutlich]

Sorry.. habe erst spaeter gemerkt dass ich natuerlich www.blackvpn.com nicht ueber die ppp0 Verbindung route, daher das Problem.
Werde es mir heute abend nochmal anschauen.

 

[lautunddeutlich]

Hallo RalfFriedl,

Ok, bin zwar einbisschen weitergekommen aber bin scheinbar nicht ganz da.

Nachdem ich eingebe "route add -host 208.75.79.17 dev ppp0" bekomme ich

/var/mod/etc/ppp # traceroute www.netflix.com
traceroute to www.netflix.com (208.75.79.17), 30 hops max, 38 byte packets
1 172.16.21.1 (172.16.21.1) 323.898 ms 320.182 ms 319.927 ms
2 ip2.208-100-1.static.steadfast.net (208.100.1.2) 320.901 ms 320.002 ms 324.632 ms
3 * * *
4 be-10-303-pe01.350ecermak.il.ibone.comcast.net (75.149.230.85) 325.147 ms 324.383 ms 329.673 ms
5 pos-1-8-0-0-cr01.chicago.il.ibone.comcast.net (68.86.87.129) 323.559 ms 331.243 ms 324.489 ms
6 pos-2-12-0-0-cr01.newyork.ny.ibone.comcast.net (68.86.87.21) 349.489 ms 354.363 ms 349.714 ms
7 pos-0-9-0-0-cr01.ashburn.va.ibone.comcast.net (68.86.87.61) 359.402 ms
/var/mod/etc/ppp # traceroute www.netflix.com

Ich vermute dass das mehr oder weniger ok ist. Aber wenn ich nun im Mac browser zu www.netflix.com gehe
bekomme ich 'Safari can’t open the page “http://www.netflix.com/” because the server where this page is located isn’t responding.'
Vor der Route-Aenderung ging die Seite.

Muss ich irgendwelche Ports weiterleiten oder was anderes hinzufuegen?

Uebrigens habe ich festgestellt dass unter /etc/ppp eine Datei "connect-errors" erstellt wird wo drin steht:

sh: /bin/ip: not found
sh: /bin/ip: not found

Ich vermute das ein Script irgendwo nach dem Befehl "ip" sucht und es nicht findet. Ist dieser Fehler/Warnung wichtig und wie kriege ich es weg?

Danke.

 

[RalfFriedl]

Irgendwo in der Busybox-Konfiguration kannst Du einstellen, daß das Programm "ip" auch erstellt wird.
Wenn Du von einem angeschlossen Rechner aus den VPN-Tunnel nutzen willst, brauchst Du vermutlich NAT, also iptables.

 

[lautunddeutlich]

Danke, werde mir Busybox spaeter zu Hause anschauen.

Ich kenne mich mit NAT & iptables nicht aus (ist aber auf der FBF installiert).
Kannst Du mir genaueres (eigentliche Befehle) geben fuer NAT & iptables?

Im Prinzip will ich ja nur erreichen dass wenn ich www.netflix.com (208.75.79.17) anspreche (von einer beliebigen IP im LAN) dass die Traffic ueber die ppp0 Verbindung laeuft.

Danke im voraus.

 

[RalfFriedl]

Schau mal nach "man iptables".

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d 208.75.79.17 -j MASQUERADE

 

[lautunddeutlich]

Hallo RalfFriedl,

danke fuer den Tip. Es funktioniert fuer eine bestimmte IP. Ich habe das mit meinem VPN-ISP (www.blackvpn.com/178.79.138.74) probiert und nachdem ich

"route add -host 178.79.138.74 dev ppp0" und "iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d 178.79.138.74 -j MASQUERADE"
eingegeben habe zeigt mir www.blackvpn.com dass ich eine US IP habe.

Was die Netflix-Verbindung angeht habe ich leider festgestellt dass hier mehrere IP-Adressbereiche verwendet werden, d.h. das obere laesst sich nicht einfach anwenden.
Ich vermute es waere einfacher den Default-Gateway zu aendern damit aller in- & outbound Pakete ueber die ppp0 Verbindung laufen.

Ich habe folgendes nochmal probiert aber danach bricht die PPTP Verbindung zusammen:

1) iptables -t nat -A POSTROUTING -j MASQUERADE
2) route add default dev ppp0

Du scheinst Dich hier gut auszukennen. Was muss ich eingeben um dies korrekt hinzubekommen?

Danke.

 

[RalfFriedl]

Ich habe doch schon etliche Male geschrieben, daß Du die Route auf die VPN Gegenstelle setzen mußt. Hast Du das getan?

 

[lautunddeutlich]

Sorry, offensichtlich fehlt mir noch etwas..

Sowie ich es aus Deiner Beschreibung verstanden habe muss ich folgendes machen:

1) Tunnel aufbauen - Das habe ich gemacht (local-ip =172.16.21.43, remote-ip =172.16.21.1)
2) Route auf VPN-Gegenstelle setzen wobei mir nicht ganz klar ist was die Gegenstelle ist? Ist es die "local-ip", "remote-ip" oder gar was anderes (ich will ja nach www.netflix.com).
Um das zu erreichen muss ich nach Deiner Beschreibung "route add -host 1.2.3.4 dev dsl" eingeben (natuerlich mit der richtigen IP die mir im Moment nicht klar ist)
3) Neue Default-Route eingeben "route add -net default gw 172.16.21.1"
4) Ueber "iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d 172.16.21.1 -j MASQUERADE" sicherstellen dass alle Geraete im LAN den richtigen Gateway verwenden

Ist die Zusammenfassung korrekt ? Fehlt da noch was ?

 

[RalfFriedl]

Die VPN-Gegenstelle ist nach Deiner Beschreibung möglicherweise vpn.blackvpn.com. Die IP-Adressen dazu sind derzeit 208.100.1.12 und 208.100.1.26.
Auf jeden Fall mußt Du den Namen oder die Adresse irgendwo eingetragen haben. Die beiden Endpunkte den VPN-Tunnels müssen ja eine Möglichkeit haben, sich gegenseitig Pakete zu senden. Das müssen jeweils öffentliche IP-Adressen sein. In diesen Paketen eingepackt sind dann die VPN-Pakete. Die VPN-Pakete können dann auch private Adressen wie 172.16.21.1 verwenden.
Du müßtest dann also sicherheitshalber die Route auf beide Adressen setzen, weil Du nicht wissen kannst, welche Adresse konkret verwendet wurde, um Deinen Tunnel aufzubauen.

route add -host 208.100.1.12 dev dsl
route add -host 208.100.1.26 dev dsl
# Alternativ mit ip ad
ip ad add 208.100.1.12 dev dsl
ip ad add 208.100.1.26 dev dsl
# und gleich iptables
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADE

Damit weiß die Box, daß die Pakete an die VPN-Gegenstelle über das DSL-Interface gehen sollen. Das war auch vorher schon der Fall, weil die Default Route auf das DSL-Interface zeigt. Aber Du willst ja die Default Route ändern, also mußt Du vorher sicherstellen, daß die VPN-Gegenstelle weiterhin erreichbar ist. Danach kannst Du die Default-Route löschen und über ppp0 lenken.

Alternativ kannst Du die Adressen der gewünschten Ziele auf ppp0 lenken und die Default Route unverändert lassen. Das hat mit der Adresse 178.79.138.74 ja auch schon funktioniert.