.titleBar { margin-bottom: 5px!important; }

Fritzbox 7170, Freetz + OpenVPN Problem, brauch eure Hilfe!

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von padschuko, 30 Nov. 2008.

  1. padschuko

    padschuko Neuer User

    Registriert seit:
    27 Juni 2005
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Leute,

    ich habe auf meiner Fritzbox Freetz mit OpenVPN. Soweit hat auch alles gut geklappt und läuft auch. Allerdings möchte ich gerne vom Internet (z.B. Hotspot) mit OpenVPN nach Hause verbinden und dann über mein Netz zu surfen.
    Verbindung etc klappt, aber ich kann nicht aufs Internet zugreifen.
    Hier meine Daten:
    IP-Fritzbox: 192.168.0.1
    Einstellungen OpenVPN in Freetz:
    Modus: Server, Tunnel, TCP, Port 443
    VPN-IP-Adressen: Lokale IP 10.66.66.1, Remote IP 10.66.66.2
    Entferntes Netz: 10.66.66.0 255.255.255.0

    Hier meine Conf-Datei vom Clienten:

    Code:
    remote XXXXXX.dyndns.org
    port 443
    proto tcp-client
    dev tun
    ifconfig 10.66.66.2 10.66.66.1
    route 192.168.0.0 255.255.255.0
    push "route 192.168.0.1 255.255.255.0"
    redirect-gateway
    secret "C:\\Program Files\\OpenVPN\\fritzbox.key"
    cipher AES-256-CBC
    comp-lzo
    tun-mtu 1500
    float
    mssfix
    nobind
    verb 3
    keepalive 10 120
    
    Und was müsste ich korrekterweise im Internet Explorer einstellen?
    Ich weiß dass hier was nicht stimmt, aber ich habe keine Ahnung was ich anders einstellen muss. Hoffe sehr dass ihr mit helfen könnt!

    Vielen Dank und viele Grüße
    padschuko
     
  2. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Da ist zwar noch ein "Fehler" drin (push "route 192.168.0.1 255.255.255.0" ist ein Server-Befehl) , aber ansonsten sieht es nicht verkehrt aus, wenn die Server-Config entsprechend ist (comp-lzo, cipher usw).

    Wenn das ganze richtig funktioniert, sollte nachdem du verbunden bist in deiner Routing-Tabelle (unter Windows "route print") stehen, dass nur noch die IP des VPN-Servers (XXXXXX.dyndns.org) mit der Maske 255.255.255.255 über das normale LAN-Gateway beim Client geht, das default-Gateway (0.0.0.0 0.0.0.0) müsste auf den VPN-Server (10.66.66.1) zeigen.

    In das Netz hinter der Box und auf die Box selbst kommst du aber?

    Jörg
     
  3. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,629
    Zustimmungen:
    5
    Punkte für Erfolge:
    38
    Für das Surfen über die ferne FB benutze ich Privoxy und die Virtual-IP. Privoxy ist an die Virtua-IP gebunden. In den Browser trage ich als Proxy die Virtual-IP und den Port an dem der Privoxy lauscht, ein.
     
  4. padschuko

    padschuko Neuer User

    Registriert seit:
    27 Juni 2005
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #4 padschuko, 30 Nov. 2008
    Zuletzt bearbeitet: 30 Nov. 2008
    Vielen Dank für eure Posts! Also, nachdem ich verbunden bin komme ich mit 10.66.66.1 auf die Fritzbox drauf. Das "push route ..." hab ich rausgenommen. Freut mich ja dass ich da insgesamt schonmal nicht so viele Fehler drinne hab :)
    Nochmal zum surfen, gibts auch ne andere Möglichkeit oder muss ich das über Privoxy machen? Kann ich nicht einfach was im Internet Explorer eintragen bei Proxy oder so? Könntest du mir noch erklären wie ich das in Privoxy eintragen muss?
     
  5. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ansich solltest du mit dem "redirect-gateway" alles richtig gemacht haben. Evtl funktioniert nur die DNS-Auflösung nicht?
    Prüfe doch bitte mal ein "ping www.google.de" und ein "ping 64.233.183.103", wenn beides nicht geht noch ein "tracert -d 64.233.183.103"

    Jörg
     
  6. padschuko

    padschuko Neuer User

    Registriert seit:
    27 Juni 2005
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Würd es gern testen, aber mein Problem ist noch dass ich nicht weiß was ich genau im Internet Explorer einstellen muss um ihm quasi deutlich zu machen, dass er über den vpn ins Netz gehen soll. Vielleicht liegts ja auch daran? Denn wenn ich das jetzt eingebe, dann funktioniert weil ich ja auch über den Hotspot "normal" im Internet unterwegs bin. Aber ich will ja dass es komplett übers vpn abgewickelt wird.
     
  7. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Dann gib doch bitte mal die oben genannten Befehle ein ( in der "Eingabeaufforderung" ) und poste das Ergebnis...


    Jörg
     
  8. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,629
    Zustimmungen:
    5
    Punkte für Erfolge:
    38
    Mit dem ssh-server (dropbear) geht es auch, als Socket mit Portforwarding. Mit OpenVPN direkt, habe ich es nocht nicht probiert.
    Im Privoxy musst Du nur die IP-Adresse an die der Server gebunden ist und den Port an dem er lauscht, eintragen.
     
  9. padschuko

    padschuko Neuer User

    Registriert seit:
    27 Juni 2005
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hab die Befehle eingegeben. Ping bekomme ich zurück und Routenverfolgung funktioniert auch. Aber sag mal... ist doch eigentlich klar dass das funktioniert, oder? Schließlich hab ich ja ne ganz normale Internetverbindung am laufen, oder versteh ich jetzt was falsch?!
     
  10. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Dann habe ich dein Problem nicht richtig verstanden, fürchte ich.
    Ich dachte, du willst dass das Internet funktioniert, das tut es aber nicht??
    Oder geht das jetzt doch???
    Du testest doch hoffentlich mit verbundenem OpenVPN? Wie läuft denn der Trace, über die Box?

    Jörg
     
  11. padschuko

    padschuko Neuer User

    Registriert seit:
    27 Juni 2005
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Sorry... also es ist so: ich gehe über ein WLAN Hotspot ins Internet und kann auch die Seiten im Netz aufrufen. Ich möchte aber dass quasi der gesamte Verkehr über mein vpn zuhause abläuft.
     
  12. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ja, so hatte ich das auch verstanden.
    Wenn du dann per OpenVPN verbunden bist, kannst du dann denn jetzt surfen oder nicht?
    Und wie geht dann der trace, denn der zeigt, ob dein Wunsch funktioniert, und du über dein VPN und die Box ins Internet gehst oder "direkt" über den Hotspot.

    Es wäre echt hilfreich, wenn du bitte die Vorschläge auch ausführst, die ich gemacht habe (und das Ergebins angibst) ;-)

    Jörg
     
  13. padschuko

    padschuko Neuer User

    Registriert seit:
    27 Juni 2005
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also ich hab deine Vorschläge schon ausgeführt. Will ja schließlich dass es funktioniert und bin froh dass ihr mir helft. Ich kann normal im Internet surfen, das Problem ist nur, dass es nicht über den vpn läuft, der ist zwar connected aber die Daten gehen weiterhin übers Hotspot-Netz. Gemerkt hab ichs als ich bei wieistmeineip.de geschaut habe, denn da müsste ich ja dann die IP von mir daheim bekommen.
     
  14. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #14 MaxMuster, 30 Nov. 2008
    Zuletzt bearbeitet: 30 Nov. 2008
    ... aber es stimmt, wenn ich keinen Input bekomme, kann ich doch auch nicht helfen...
    Ergebnis von "route print"?

    Wo geht der trace lang?

    EDIT: Das ist ja nicht böse gemeint, aber z.B. ein "der trace funktioniert" hilft halt nichts, interessant ist dabei eben gerade der Weg (bzw hier der erste Hop)
     
  15. padschuko

    padschuko Neuer User

    Registriert seit:
    27 Juni 2005
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    nee, kein Problem :) Habs nicht als "böse" interpretiert.

    Code:
    route print
    
    IPv4-Routentabelle
    ===========================================================================
    Aktive Routen:
         Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
              0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.104     30
           10.66.66.0  255.255.255.252   Auf Verbindung        10.66.66.2    286
           10.66.66.2  255.255.255.255   Auf Verbindung        10.66.66.2    286
           10.66.66.3  255.255.255.255   Auf Verbindung        10.66.66.2    286
            127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
            127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
      127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
          192.168.2.0    255.255.255.0   Auf Verbindung     192.168.2.104    286
        192.168.2.104  255.255.255.255   Auf Verbindung     192.168.2.104    286
        192.168.2.255  255.255.255.255   Auf Verbindung     192.168.2.104    286
        192.168.235.0    255.255.255.0   Auf Verbindung     192.168.235.1    276
        192.168.235.1  255.255.255.255   Auf Verbindung     192.168.235.1    276
      192.168.235.255  255.255.255.255   Auf Verbindung     192.168.235.1    276
        192.168.244.0    255.255.255.0   Auf Verbindung     192.168.244.1    276
        192.168.244.1  255.255.255.255   Auf Verbindung     192.168.244.1    276
      192.168.244.255  255.255.255.255   Auf Verbindung     192.168.244.1    276
            224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
            224.0.0.0        240.0.0.0   Auf Verbindung     192.168.235.1    276
            224.0.0.0        240.0.0.0   Auf Verbindung     192.168.244.1    276
            224.0.0.0        240.0.0.0   Auf Verbindung        10.66.66.2    286
            224.0.0.0        240.0.0.0   Auf Verbindung     192.168.2.104    286
      255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      255.255.255.255  255.255.255.255   Auf Verbindung     192.168.235.1    276
      255.255.255.255  255.255.255.255   Auf Verbindung     192.168.244.1    276
      255.255.255.255  255.255.255.255   Auf Verbindung        10.66.66.2    286
      255.255.255.255  255.255.255.255   Auf Verbindung     192.168.2.104    286
    ===========================================================================
    Ständige Routen:
      Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
              0.0.0.0          0.0.0.0      192.168.0.1  Standard
    ===========================================================================
    
    IPv6-Routentabelle
    ===========================================================================
    Aktive Routen:
     If Metrik Netzwerkziel             Gateway
      1    306 ::1/128                  Auf Verbindung
      1    306 ff00::/8                 Auf Verbindung
    ===========================================================================
    Ständige Routen:
      Keine
    
    
    Code:
    tracert -d 64.233.183.103
    
    Routenverfolgung zu 64.233.183.103 über maximal 30 Abschnitte
    
      1    27 ms     6 ms     4 ms  192.168.2.1
      2     *        *        *     Zeitüberschreitung der Anforderung.
      3    48 ms    45 ms    44 ms  217.0.80.90
      4    47 ms    48 ms    44 ms  217.239.39.30
      5    46 ms    49 ms    45 ms  72.14.198.189
      6    47 ms    46 ms    49 ms  209.85.255.172
      7    60 ms    57 ms    53 ms  209.85.248.182
      8    58 ms    55 ms    57 ms  72.14.233.114
      9    57 ms    59 ms    58 ms  216.239.46.51
     10    66 ms    63 ms    59 ms  209.85.249.133
     11    62 ms    57 ms    58 ms  64.233.183.103
    
    Ablaufverfolgung beendet.
    
    
    edit: ich denke mein Problem liegt nur darin, dass ich etwas im Internet Explorer einstellen muss, damit der kapiert über den VPN-Clienten zu surfen. Ich hab aber halt keine Ahnung was ich da einstellen muss.
     
  16. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #16 MaxMuster, 30 Nov. 2008
    Zuletzt bearbeitet: 30 Nov. 2008
    ... also dabei sieht man, dass das "redirect-gateway" nicht geklappt hat.

    du könntest das mal "von hand" nachbilden (und im Log nachschauen warum es nicht geht):

    Code:
    route add <ofizielle IP des VPN-Servers> 192.168.2.1
    route delete 0.0.0.0 mask 0.0.0.0
    route add 0.0.0.0 mask 0.0.0.0  10.66.66.1
    
    Also:
    - Eine Hostroute zum OpenVPN-Server über dan Hotspot-Router anlegen
    - die Defaultroute über den Hotspot löschen
    - neue Default-Route über das VPN einrichten

    Ich muss jetzt leider weg, schaue heute Abend nochmal rein...


    Jörg

    EDIT: Jetzt habe ich das nochmal mit etwas mehr Zeit angesehen: Auch die "normale" Route für das Netz 192.168.0.0 ist ja nicht da (das Ergebins von "route 192.168.0.0 255.255.255.0"). Bitte prüfe dringend, ob und welche Fehlermeldung dein Client beim Connect so rausgibt, denn auch der Eintrag
    Code:
    10.66.66.3  255.255.255.255   Auf Verbindung        10.66.66.2    286
    ist etwas merkwürdig...

    Poste doch mal das Log des Verbindungsaufbaus und vielleicht noch dein Server-Config (auf der Freetzbox z.B. in der RudiShell mit
    Code:
    cat /mod/etc/openvpn.conf
    zu bekommen).