fritz!box openvpn client hinter dd-wrt router

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
E

efies

Neuer User
Mitglied seit
6 Okt 2010
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
Hallo Zusammen,

ich habe eine fritz!box 7050 mit freetz und openvpn hinter einen dd-wrt router geschalten. Ziel ist es, die Fritz!box mit einem VPN Service zu verbinden (Linkideo Verbindung steht) und ausgewählte Rechner meines Netzwerks über den VPN Tunnel zu routen. Die Fritz!box soll also als VPN Gateway dienen.

Derzeitige IPs:

DD-WRT Router: 192.168.0.50 (inkl. DNS)
Fritz!box: 192.168.0.51

Hier die Routes der Fritz!Box

Destination Gateway Genmask Flags Metric Ref Use Iface
172.16.1.1 172.16.1.49 255.255.255.255 UGH 0 0 0 tun0
172.16.1.49 * 255.255.255.255 UH 0 0 0 tun0
IP VPN SERVICE linksys 255.255.255.255 UGH 0 0 0 lan
192.168.0.0 * 255.255.255.0 U 0 0 0 lan
169.254.0.0 * 255.255.0.0 U 0 0 0 lan
default 172.16.1.49 0.0.0.0 UG 0 0 0 tun0


Wie bringe ich den entsprechenden Clients bei über die Fritz!Box zu routen? Einfach das Gateway auf die IP der Fritz!box stellen funktioniert nicht. Vielleicht muss hier noch eine Route definiert werden???

Danke!!

Grüße!
 
Hallo,

ist die Fritzbox denn überhaupt Router? Wenn du sie als IP-Client eingerichtet hast, wird das wahrscheinlich nicht funktionieren.

Du könntest im DD-WRT eine statische Route auf das VPN Subnetz mit der Fritzbox IP als Gateway eintragen. Aber ich habe meine Zweifel, dass es was bringt.
 
frank_m24 schrieb:
Hallo,

ist die Fritzbox denn überhaupt Router? Wenn du sie als IP-Client eingerichtet hast, wird das wahrscheinlich nicht funktionieren.
Zum Vergrößern anklicken....

Gut, hier könnte schon einmal der erste Fehler liegen. Momentan läuft sie wirklich als IP-Client. Kann ich einen zweiten Router hinter einem Router schalten??

Ich möchte nicht meinen gesamten Traffic über das VPN Gateway schicken, sondern nur einzelne Geräte. Eine statische Route auf das Gateway wäre daher nicht ideal. Habt ihr Lösungsvorschläge???

Grüße!
 
efies schrieb:
Gut, hier könnte schon einmal der erste Fehler liegen. Momentan läuft sie wirklich als IP-Client. Kann ich einen zweiten Router hinter einem Router schalten??
Zum Vergrößern anklicken....
Ja, wenn alle Clients an den 2. Router angeschlossen werden. Sonst können sie sich gegenseitig nicht mehr erreichen.

efies schrieb:
Ich möchte nicht meinen gesamten Traffic über das VPN Gateway schicken, sondern nur einzelne Geräte. Eine statische Route auf das Gateway wäre daher nicht ideal. Habt ihr Lösungsvorschläge???
Zum Vergrößern anklicken....
Eine statische Route schickt ja nicht den gesamten Datenverkehr durch VPN Gateway, sondern nur die Daten für das Subnetz auf der anderen Seite. Mehr macht man ja eh nicht über VPN. Der Internetzugang läuft weiterhin für alle Clients ganz normal über den dd-wrt.
 
[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
Ok, jetzt bin ich einen Schritt weiter.

Router 1 (DD-WRT) baut pppoe verbindung auf. Er hat die IP 192.168.0.50. Clients an diesem Router haben IPs 192.168.0.1/24.

Rouer 2 (FritzBox) baut Verbindung über Router 1 auf. IP für verbindung 192.168.0.51. Und sein eigenes Netzwerk hat den IP Bereich 192.168.1.1/24

Soweit so gut. Die Clients müssen nicht miteinander kommunizieren!! Erstmal jedenfalls nicht.

Ich möchte mit FritzBox lediglich ein VPN Gateway (Linkideo, Ivacy, PP etc.) realisieren. Sprich alle Clients des IP Bereichs 192.168.1.1/24 nutzen das VPN Gateway.


Da liegt nun das Problem. Beim starten von openvpn kann dies das default Gateway nicht identifizieren und Route sieht wie folgt aus:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.180.1 * 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 * 255.255.255.255 UH 2 0 0 dsl
172.16.1.1 172.16.1.49 255.255.255.255 UGH 0 0 0 tun0
172.16.1.49 * 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 lan
169.254.0.0 * 255.255.0.0 U 0 0 0 lan
default * 0.0.0.0 U 2 0 0 dsl


Hier fehlt wiederum die IP des VPN Providers in der Route. (Siehe meinen ersten Post). Wie kann ich das realisieren??

Danke! :)

[Beitrag 2:]
ok, nächster kleiner Schritt.

Wenn ich der fritzbox die IP 192.168.0.150 (local) vergebe, funktioniert auch das locale routen über das gateway. sprich, die fritzbox routed selbst allen outgoing traffig über das openvpn gateway "redirect-gateway".

Nur für die Clients an der Fritzbox gilt dies nicht. sobald der VPN Tunnel steht ist die Verbindung für die Clients weg (ohne Tunnel klappt's). Vielleicht eine Firewall regel (AVM Firewall mit im Freetz image) die noch zu setzen ist??

Grüße!!
 
Soll der ganze Traffic dieser bestimmten Clients über "(Linkideo, Ivacy, PP etc.)" geroutet werden? Wird das NAT bei diesen Anbietern gemacht? Auf deinem dd-wrt-Router musst du ne Regel definieren, dass Traffic von den Clients zur Fritzbox geschickt wird.
 
[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

Dies wäre natürlich eine sehr noble Lösung. Bisher habe ich einfach einen PC an Lan B der fritzbox gestöpselt und die Lan-IP der fritzbox als Gateway eingetragen. Ohne VPN tunnel läuft das auch .. sobald aber VPN steht ist das routing weg. Per Telnet auf der fritzbox lässt sich aber google und co. über den tunnel pingen. Dies bedeutet ja, dass die Verbindung steht aber eben das routing für die Clients an der Fritzbox nicht läuft.

NAT läuft über den dd-wrt router. also die fritzbox baut die "DSL" verbindung per LAN A (so habe ich das im webinterface eingestellt) über den dd-wrt auf.

Vielleicht ist es rein logisch der falsche Weg?? Hoffentlich versteht ihr was ich erklären will :confused:
 
Die 7050 müsste zwischen VPN-IF und LAN-IF die Adressen umsetzen (SNAT) oder brücken damit dein Vorhaben funktioniert. Mit Routing kommst du nicht zum Ziel weil du auf der Gegenseite nix als Wegweiser der Antwortpäckchen einstellen kannst.
 
[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]
Dazu brauch ich ja iptables, welche leider nicht im kernel eingebaut sind. Ist ein solches Vorhaben auch mit der AVM Firewall zu realisieren? Wenn ja, wie?

Danke!

edit: brauch ich das wirklich?? es sollen eigentlich nur clients an der fritzbox über das openvpn gateway als default gateway geroutet werden. wenn die fritzbox direkt am ppoe hängern würde, würde es ja auch funktionieren den ganzen traffic über vpn laufen zu lassen. ist der 1. router davor wirklich das große problem???
 
Zuletzt bearbeitet:
Ich habe noch nicht gesehen das jemand das Masquerading der AVM Firewall auf ein VPN-IF umgebogen hat.

efies schrieb:
wenn die fritzbox direkt am ppoe hängern würde, würde es ja auch funktionieren den ganzen traffic über vpn laufen zu lassen. ist der 1. router davor wirklich das große problem???
Zum Vergrößern anklicken....

Der Router davor ist kein Problem. Du kannst so oder so alles über das VPN laufen lassen, dein eigentliches Problem ist nur das nix zurück kommt.
 
Ich denke nicht, dass man das mit der avm-firewall machen kann. Du musst den Kernel ersetzen und alles Unnötige rauswerfen, damit du auf der kleinen Box Platz hast.
Ist das nicht einfacher, wenn du das nur in dd-wrt machst?
 
[Edit frank_m24: Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]

Natürlich wollte ich es erst mit einem einzigen Router realisieren. Das Problem dabei war, dass bei hergestellter openvpn Verbindung wirklich jeder Outgoing Traffic über den Tunnel geleitet wurde. Ich will aber nur ausgewählte Clients durch den Tunnel (Ivacy) ins Internet. Alle anderen Geräte sollen die normale DSL Verbindung nuten. So kam meine Idee mit dem zweiten Router.

Aber anscheinen brauch ich wohl jetzt iptables. Welche Kernelmodule und Libaries aus menuconfig benötige ich dafür?

Wieso klappt dann die Internetverbindung der Clients ohne VPN ??? und sobald der VON tunnel (tun0) steht geht nichts mehr?
 
efies schrieb:
Natürlich wollte ich es erst mit einem einzigen Router realisieren. Das Problem dabei war, dass bei hergestellter openvpn Verbindung wirklich jeder Outgoing Traffic über den Tunnel geleitet wurde.
Zum Vergrößern anklicken....
Lief es denn dann?
efies schrieb:
Ich will aber nur ausgewählte Clients durch den Tunnel (Ivacy) ins Internet. Alle anderen Geräte sollen die normale DSL Verbindung nuten. So kam meine Idee mit dem zweiten Router.
Zum Vergrößern anklicken....
Du musst als erstes mit iptables auswerten, woher die Pakete kommen. Wenn die von den bestimmten Clients kommen, denn müssen die statt über ppp über dein tun. Evtl. noch durchs NAT. (Ich kenn diese Tunnelanbieter nicht.)
efies schrieb:
Aber anscheinen brauch ich wohl jetzt iptables. Welche Kernelmodule und Libaries aus menuconfig benötige ich dafür?
Zum Vergrößern anklicken....
Advanced und Replace Kernel auswählen. Du brauchst die Module, die du auch in dd-wrt hast ;-)
efies schrieb:
Wieso klappt dann die Internetverbindung der Clients ohne VPN ??? und sobald der VON tunnel (tun0) steht geht nichts mehr?
Zum Vergrößern anklicken....
Wahrscheinlich, weil dein redirect-gateway die Route umbiegt.
 
Ok, kann ich dann die AVM Firewall rauswerfen?? Benötige ich Shared Libaries oder reichen Module??

edit: das kann ich dann wohl vergessen. Image mit openvpn UND iptables wird zu groß ...

Irgendeine Idee wie ich mein Vorhaben doch noch realisieren könnte?? Mir gehen die Ideen aus ..
 
Zuletzt bearbeitet:
Also hier passt es in eine 7050. Du kannst den dsld auch rausschmeißen. Setz mal die Blockgröße beim squashfs auf 128kb.
 
Ich werde nochmal versuchen openvpn und iptables zu integrieren. Aber läuft die routingfunktion noch ohne dsld?? dann wäre die fritzbox ja nur noch client, kann ich dann noch über sie routen?
 
Ist sie denn nicht jetzt schon Client? Sie hängt doch hinter dem dd-wrt-Router, oder? Das Routing macht doch dann iptables...
 
sie hängt am dd-wrt, ja! also ich habe jetzt mal dsld raus .. make läuft, ich bin gespannt!

später muss ich dann bei den clients die ip der fritzbox als gateway und iptables sollte dann über vpn routen?? kannst du mir dafür noch ein paar hinweise mit auf den weg geben?? also ich muss ja von lan zu tun0 routen ..

EDIT: Geschafft!!!!! Image passt !! nun ist openvpn und iptables im image!!
 
Es gibt bei freetz ein Frontend für iptables, heißt NHIPT. Ich habe das noch nicht gesehen, aber ich denke mir, dass sich ein einfaches NAT dort einrichten lässt.
Du kannst im dd-wrt auch Traffic, der von deinen bestimmten Clients kommt, zur FritzBox forwarden, dann hast du das zentral verwaltet.
 
seltsam .. nehme ich das Frontent mit in den Kernel auf, startet die Box nicht mehr ..
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 779 (Mitglieder: 55, Gäste: 724)

Neueste Beiträge

Statistik des Forums

Themen
246,268
Beiträge
2,249,158
Mitglieder
373,859
Neuestes Mitglied
dadeerro
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück