[Gelöst] Fritzbox über Lan1, Dyndns erfolgreich registriert und VPN

[jocale]

Die Domain wird mit der WAN-IP der Easybox verknüpft bei spdns.de, wenn ich es so mache wie im Eröffnungsthread.

 

[sf3978]

Wie soll die Fritzbox bei LAN1 wissen, wann sie eine neue öffentliche IP holen muss, um sie dann zum Dynamic-DNS-Account zu schicken bzw abzugleichen?

Das macht nicht die FritzBox sondern der ddns-Client (auf der FritzBox) und da gibt es verschiedene Möglichkeiten (cron, daemon, onlinechanged, Zwangstrennung, reboot, ...).

Selbst wenn die öffentliche Adresse bekannt ist, landet die Anfrage im ersten Router/Modem. Und dann?

... dann geht es weiter mit der Portweiterleitung vom ersten Router (der die öffentliche IP-Adresse hat). D. h. aber nicht, dass der ddns-Client auf dem Gerät sein muss, das die öffentliche IP-Adresse hat bzw. von dem die Portweiterleitung gemacht wird.

 

[PeterPawn]

Was veranlasst in der Fritzbox die Überprüfung des Dyndns Updates alle 4 Minuten, wie ich es im Eröffnungsthread beschrieben habe.

Soll das eine Frage sein ?

Wenn ja, wirf einfach mal einen Blick in die Dateien /var/tmp/ddns* ... da findest Du Deine Antwort.

 

[jocale]

Gibt es bei mir nicht und ja es war eine Frage.

cat /var/tmp/ddns

cat: can't open '/var/tmp/ddns': No such file or directory

 

[sf3978]

Gibt es bei mir nicht ...

cat: can't open '/var/tmp/ddns': No such file or directory

Such mal im Verzeichnis, mit:

find /var/tmp -name 'ddns*'

oder mit:

ls -la /var/tmp | grep ddns

 

[jocale]

ddnsdomains.txt
ddnslog_1.txt
ddnslog_2.txt
ddnslog_3.txt
ddnsstat.txt
me_ddnsd.ctl

 

[sf3978]

ddns*.txt

D. h., Du kannst diese Dateien, mit cat anschauen. ;-)

 

[PeterPawn]

@jocale:
Anders als bei vielen Angeboten in der Werbung stellt der Stern in meinem Vorschlag keinen Hinweis auf irgendwelche Fußnoten dar, er sorgt nur dafür, daß mit einem einzigen Kommando die Dateien

ddnsdomains.txt
ddnslog_1.txt
ddnslog_2.txt
ddnslog_3.txt
ddnsstat.txt

hintereinander (allerdings auch ohne sichtbare Abtrennung zwischen diesen Dateien, das ist ein Nachteil) angezeigt werden.

In der ddnsstat.txt wird für die Domain(s) - es ist nämlich auch möglich, mehrere Accounts zu verwenden - der Aktualisierungsbedarf und der Status (aus Sicht des AVM-Daemons) geführt, die genaue Bedeutung der Ziffern müßte ich erst wieder suchen, aber der Text (complete im Erfolgsfall) sollte ein Anhaltspunkt sein.

Ansonsten stehen in den Dateien "ddnslog_[1-3].txt" eben die Statusmeldungen des AVM-DynDNS-Clients und man kann dort i.d.R. auch erkennen, welche Adressen der AVM-Daemon "melden" wollte und was ihn an den Antworten auf seine DNS-Abfragen nach einem angeblich erfolgreichen Update eigentlich stört.

 

[jocale]

Das mit dem Stern habe ich übersehen, sorry.

Ein gekürzter Auszug aus:
cat /var/tmp/ddns*

meinedomain.firewall-gateway.com
[2015-01-05 05:04:55 v4 <userdefined> dbg]: dns_handle created 0x2aab4550 for 192.168.2.168
[2015-01-05 05:04:55 v4 <userdefined> dbg]: ddns_verify_complete mit dns->handle 0x2aab4550
[2015-01-05 05:04:55 v4 <userdefined> dbg]: verify failed, is 79.242.94.198, but should be 192.168.2.168
[2015-01-05 05:04:55 v4 <userdefined> dbg]: verify failed: DNS reply: noerror -> retry verify in 240 secs
[2015-01-05 05:08:55 v4 <userdefined> dbg]: dns_handle created 0x2aab44e0 for 192.168.2.168
[2015-01-05 05:08:55 v4 <userdefined> dbg]: ddns_verify_complete mit dns->handle 0x2aab44e0
[2015-01-05 05:08:55 v4 <userdefined> dbg]: verify failed, is 79.242.94.198, but should be 192.168.2.168
[2015-01-05 05:08:55 v4 <userdefined> dbg]: verify failed: DNS reply: noerror -> retry verify in 240 secs
[2015-01-05 05:12:55 v4 <userdefined> dbg]: dns_handle created 0x2aab4ba0 for 192.168.2.168
[2015-01-05 05:12:55 v4 <userdefined> dbg]: ddns_verify_complete mit dns->handle 0x2aab4ba0
[2015-01-05 05:12:55 v4 <userdefined> dbg]: verify failed, is 79.242.94.198, but should be 192.168.2.168
[2015-01-05 05:12:55 v4 <userdefined> dbg]: verify failed: DNS reply: noerror -> retry verify in 240 secs
[2015-01-05 05:16:55 v4 <userdefined> dbg]: dns_handle created 0x2aab4550 for 192.168.2.168
[2015-01-05 05:16:55 v4 <userdefined> dbg]: ddns_verify_complete mit dns->handle 0x2aab4550
[2015-01-05 05:16:55 v4 <userdefined> dbg]: verify failed, is 79.242.94.198, but should be 192.168.2.168
[2015-01-05 05:16:55 v4 <userdefined> dbg]: verify failed: DNS reply: noerror -> retry verify in 240 secs
[2015-01-05 05:20:55 v4 <userdefined> dbg]: dns_handle created 0x2aab44e0 for 192.168.2.168
[2015-01-05 05:20:55 v4 <userdefined> dbg]: ddns_verify_complete mit dns->handle 0x2aab44e0
[2015-01-05 05:20:55 v4 <userdefined> dbg]: verify failed, is 79.242.94.198, but should be 192.168.2.168
[2015-01-05 05:20:55 v4 <userdefined> dbg]: ep=0x2aab9800 restart_verify_set_timer:1488 updated -> offline
[2015-01-05 05:20:55 v4 <userdefined> dbg]: verify failed: DNS reply: noerror.
[2015-01-05 05:20:55 v4 <userdefined> dbg]: ep=0x2aab9800 reset_account:943 offline -> offline
[2015-01-05 05:20:55 v4 <userdefined> dbg]: Retry update in 300 secs.
[2015-01-05 05:25:56 v4 <userdefined> dbg]: ddns_update: offline (192.168.2.168)
[2015-01-05 05:25:56 v4 <userdefined> dbg]: ep=0x2aab9800 ddns_update:3232 offline -> checking
[2015-01-05 05:25:56 v4 <userdefined> dbg]: new address
[2015-01-05 05:25:56 v4 <userdefined> dbg]: starting update (new address) [update_v6_addr 0] {192.168.2.168}
[2015-01-05 05:25:56 v4 <userdefined> dbg]: ep=0x2aab9800 do_connect:2300 checking -> updating
[2015-01-05 05:25:57 v4 <userdefined> dbg]: ep=0x2aab9800 ddns_closecb:2396 updating -> updated
[2015-01-05 05:25:57 v4 <userdefined> dbg]: verify handle 719302976 (delay 240)
[2015-01-05 05:29:57 v4 <userdefined> dbg]: dns_handle created 0x2aab4550 for 192.168.2.168
[2015-01-05 05:29:57 v4 <userdefined> dbg]: ddns_verify_complete mit dns->handle 0x2aab4550
[2015-01-05 05:29:57 v4 <userdefined> dbg]: verify failed, is 79.242.94.198, but should be 192.168.2.168
[2015-01-05 05:29:57 v4 <userdefined> dbg]: verify failed: DNS reply: noerror -> retry verify in 240 secs
[2015-01-05 05:33:57 v4 <userdefined> dbg]: dns_handle created 0x2aab44e0 for 192.168.2.168
[2015-01-05 05:33:57 v4 <userdefined> dbg]: ddns_verify_complete mit dns->handle 0x2aab44e0
[2015-01-05 05:33:57 v4 <userdefined> dbg]: verify failed, is 79.242.94.198, but should be 192.168.2.168

Wenn ich das richtig interpretiere, dann startet der Client in der Fritzbox fortlaufend den Update der IP, weil er von spdns die WAN-IP gemeldet bekommt anstatt die interne IP, die der Client vermeintlich für die richtige hält.

 

[PeterPawn]

Wenn ich das richtig interpretiere, dann startet der Client in der Fritzbox fortlaufend den Update der IP, weil er von spdns die WAN-IP gemeldet bekommt anstatt die interne IP, die der Client vermeintlich für die richtige hält.

Das siehst Du sehr richtig, das ist aber auch genau das, was ich in #3 und noch einmal in #8 versucht habe zu erklären. Wenn mir das nicht mit der notwendigen Klarheit gelungen ist (trotz vorhandener Ausführlichkeit), tut es mir leid.

Und der AVM-Client hat eigentlich recht ... seine externe IP-Adresse ist die 192.168.2.168, von einer "weiter vorne" angesiedelten Router-Kaskade (es kann ja theoretisch auch mehr als ein Router davor sein), hat er schlicht keine Ahnung.

Entweder es gelingt Dir die Easybox selbst zum DynDNS-Update zu überreden (das wäre der Idealfall, denn die bekommt einen Wechsel der dynamischen Adresse als erste mit) oder Du verzichtest (s. #7, da wird Dir der Vorschlag das erste Mal unterbreitet) auf den AVM-DynDNS-Client. Dann mußt Du Dir die Adressen eben selbst "zusammensuchen" und kannst nicht aus dem AVM-GUI "abschreiben", die Funktion der freigegebenen Dienste ist aber nicht von der korrekten Anzeige auf dieser GUI-Seite abhängig.

Anschließend nimmst Du einen der im Freetz enthaltenen Daemons zur Hand, wobei Du den nicht an das "onlinechanged"-Ereignis anhängen kannst, weil das einfach nicht auftritt, denn die externe IP-Adresse der FRITZ!Box ändert sich bei Dir ja nicht.

Notfalls kann man das sogar alles "von Hand" realisieren in einem Script ... was der AVM-Client genau macht (soweit man das aus dem Log schlußfolgern kann), haben wir irgendwann im Sommer mal in Erwartung der 06.10-Labor-Versionen für die 7490/7390 diskutiert, vielleicht findest Du den Thread dazu ja noch.

 

[jocale]

Danke für deine Erklärungen und ich habe es auch schon mit opendd hinbekommen in dem ich ein Contrab Eintrag gemacht habe, insofern kann ich auf den AVM Client verzichten.

*/10 * * * * /etc/init.d/rc.opendd run > /dev/null 2>&1

Nur bei VPN wollte ich bei AVM bleiben, weil mir das einfacher einzustellen erscheint als Openvpn.

Aber ich kann doch bestimmt den AVM VPN zusammen mit der Domain die opendd updatet benutzen?

Dyndns in der Easybox kann man ja bekanntlich nur zwei kostenpflichtige einrichten, daher fällt das flach und meinen Vermieter zu überreden ein andere Box zu nehmen ist fast unmöglich, weil der extrem misstrauisch ist, der glaubt sogar man könnte über DSL auf seine Kosten kostenpflichtige Nummer anrufen.
Ich bin froh mit ihm und den Nachbarn das Internet zu teilen und spare dadurch jede Menge Geld.

 

[PeterPawn]

Aber ich kann doch bestimmt den AVM VPN zusammen mit der Domain die opendd updatet benutzen?

Kannst Du ... abhängig von der Gegenstelle (wenn das auch ein LAN ist und Du nicht nur Host-LAN-Verbindungen zur Einwahl daheim verwenden willst) würde ich aber die VPN-Konfiguration von Hand vornehmen und dafür sorgen, daß nur die FRITZ!Box daheim die Verbindung aufbaut und nicht eine andere LAN-Gegenstelle.

Durch den Aufruf des DynDNS-Updates in Intervallen von 10 Minuten kann es ansonsten eben im schlechtesten Fall (ext. Adresse ändert sich unmittelbar nach dem letzten Update) passieren, daß die Gegenstelle beim "Reinrufen" auf der falschen IP-Adresse landet. Um dieses Problem von vorneherein zu vermeiden, kann man den Verbindungsaufbau bei einem LAN-LAN-VPN auf eine Seite beschränken (am besten auf die mit der dynamischen Adresse). Eine bestehende VPN-Verbindung bricht mit dem Wechsel der externen IP ohnehin ab und dann wird von der FRITZ!Box hinter der Easybox ja beim erneuten Verbindungsaufbau automatisch die richtige Adresse verwendet, weil die Easybox das dann per NAT sicherstellt. Die Gegenstelle muß also gar nicht unbedingt wissen, auf welche IP-Adresse der DynDNS-Name auflöst bzw. es stört auch nicht, wenn bis zum nächsten Update da eine Differenz besteht, weil der "Responder" (der passive Teil beim Aufbau der VPN-Verbindung) im "aggresive mode" (dem Standard des AVM-IPSec) den DNS-Namen der Gegenstelle nicht überprüft.

 

[jocale]

Ich möchte VPN nur dafür nutzen, wenn ich in fremden Netzen surfe mit dem Tablet oder Smartphone über Wlan, um z.B. Emails abzurufen oder um Zuhause auf die Nasfestplatte zuzugreifen.

Laptop oder ähnliches besitze ich nicht.

 

[sf3978]

Ich möchte VPN nur dafür nutzen, ...

Das ist dann (nur) eine Host-LAN-Verbindung zu deiner FritzBox daheim. Lass mal nur als Test auf deiner FritzBox auf einem Port lauschen (z. B. mit httpd aus der busybox oder gleichwertig) , mach eine Portweiterleitung von der Easybox zu diesem lauschenden Port auf deiner FritzBox und schau ob dieser Port, über den DynDNS-Namen aus dem Internet erreichbar ist.

 

[PeterPawn]

mach eine Portweiterleitung von der Easybox zu diesem lauschenden Port auf deiner FritzBox und schau ob dieser Port, über den DynDNS-Namen aus dem Internet erreichbar ist.

Reine Vermutung meinerseits, aber wenn die Schilderung oben wirklich besagt, daß er gar keinen (administrativen) Zugriff auf die Easybox hat, könnte das schwierig werden.

@jocale:
Ansonsten brauchst Du für das AVM-IPSec-VPN den UDP-Port 4500 als Weiterleitung an Deine FRITZ!Box.

 

[jocale]

Ich habe bereits über ein einem fremden WLAN auf meine Fritzbox zugreifen können über Dyndns Adresse und Vpn habe ich mit meinen Tablet aufbauen können.

Auf die Easybox habe ich schon Zugriff und habe auch dort die benötigten Ports weitergeleitet auf meine Fritzbox.

Angenommen im Haus, wir sind 4 Parteien, möchte jemand auch VPN nutzen, wie geht das, wenn der Port 4500 auf meine Fritzbox umgeleitet wird?

 

[PeterPawn]

Angenommen im Haus, wir sind 4 Parteien, möchte jemand auch VPN nutzen, wie geht das, wenn der Port 4500 auf meine Fritzbox umgeleitet wird?

Ich sag mal einfach ganz platt: Gar nicht.

Korrekt wäre es aber so: Das ist vom jeweiligen VPN-Client abhängig. Wenn dieser die Wahl eines anderen Ports als 4500 für IPSec mit NAT-T ermöglicht, muß eben von der Easybox dieser andere Port an den Router dahinter weitergeleitet werden (das kann dann als Ziel ja wieder die 4500 sein, ist ja wohl ein anderes Gerät, wenn ich das richtig verstehe).

Setzt aber natürlich voraus, daß der andere Nutzer entweder sein eigenes DynDNS macht oder Deine FRITZ!Box das zuverlässig erledigt und er die DynDNS-Adresse auch nutzen soll.

 

[jocale]

Danke für die Erklärung und so habe ich es mir auch vorgestellt, der AVM VPN Client würde da schon komplett wegfallen, weil ich dort keine Option gefunden habe wo man den Port ändern kann.

Das war aber nur ein theoretisches Szenario die anderen wissen nicht mal was VPN oder Dyndns ist und ich bin der jenige der sich um die Sicherheit kümmern muss.

 

[PeterPawn]

Bleibt die Frage: Solved ?

Wenn ja, ändere bitte den Titel entsprechend, danke.

Wenn nein, wo klemmt's ?

 

[jocale]

Es klemmt schon lange nicht mehr, aber es war für mich sehr aufschlussreich eure Kommentare zu lesen und habe wieder was dazu gelernt, danke hierfür.

Ich frage mich nur ob es nicht möglich wäre dem AVM Dyndns Client beizubringen wäre im ATA Modus nach der WAN-IP zu schauen?
Liegt dafür der Sourcecode nicht vor?