Fritzbox 7170, Freetz + OpenVPN Problem, brauch eure Hilfe!

[padschuko]

Hallo Leute,

ich habe auf meiner Fritzbox Freetz mit OpenVPN. Soweit hat auch alles gut geklappt und läuft auch. Allerdings möchte ich gerne vom Internet (z.B. Hotspot) mit OpenVPN nach Hause verbinden und dann über mein Netz zu surfen.
Verbindung etc klappt, aber ich kann nicht aufs Internet zugreifen.
Hier meine Daten:
IP-Fritzbox: 192.168.0.1
Einstellungen OpenVPN in Freetz:
Modus: Server, Tunnel, TCP, Port 443
VPN-IP-Adressen: Lokale IP 10.66.66.1, Remote IP 10.66.66.2
Entferntes Netz: 10.66.66.0 255.255.255.0

Hier meine Conf-Datei vom Clienten:

remote XXXXXX.dyndns.org
port 443
proto tcp-client
dev tun
ifconfig 10.66.66.2 10.66.66.1
route 192.168.0.0 255.255.255.0
push "route 192.168.0.1 255.255.255.0"
redirect-gateway
secret "C:\\Program Files\\OpenVPN\\fritzbox.key"
cipher AES-256-CBC
comp-lzo
tun-mtu 1500
float
mssfix
nobind
verb 3
keepalive 10 120

Und was müsste ich korrekterweise im Internet Explorer einstellen?
Ich weiß dass hier was nicht stimmt, aber ich habe keine Ahnung was ich anders einstellen muss. Hoffe sehr dass ihr mit helfen könnt!

Vielen Dank und viele Grüße
padschuko

 

[MaxMuster]

Da ist zwar noch ein "Fehler" drin (push "route 192.168.0.1 255.255.255.0" ist ein Server-Befehl) , aber ansonsten sieht es nicht verkehrt aus, wenn die Server-Config entsprechend ist (comp-lzo, cipher usw).

Wenn das ganze richtig funktioniert, sollte nachdem du verbunden bist in deiner Routing-Tabelle (unter Windows "route print") stehen, dass nur noch die IP des VPN-Servers (XXXXXX.dyndns.org) mit der Maske 255.255.255.255 über das normale LAN-Gateway beim Client geht, das default-Gateway (0.0.0.0 0.0.0.0) müsste auf den VPN-Server (10.66.66.1) zeigen.

In das Netz hinter der Box und auf die Box selbst kommst du aber?

Jörg

 

[sf3978]

Für das Surfen über die ferne FB benutze ich Privoxy und die Virtual-IP. Privoxy ist an die Virtua-IP gebunden. In den Browser trage ich als Proxy die Virtual-IP und den Port an dem der Privoxy lauscht, ein.

 

[padschuko]

Vielen Dank für eure Posts! Also, nachdem ich verbunden bin komme ich mit 10.66.66.1 auf die Fritzbox drauf. Das "push route ..." hab ich rausgenommen. Freut mich ja dass ich da insgesamt schonmal nicht so viele Fehler drinne hab
Nochmal zum surfen, gibts auch ne andere Möglichkeit oder muss ich das über Privoxy machen? Kann ich nicht einfach was im Internet Explorer eintragen bei Proxy oder so? Könntest du mir noch erklären wie ich das in Privoxy eintragen muss?

 

[MaxMuster]

Ansich solltest du mit dem "redirect-gateway" alles richtig gemacht haben. Evtl funktioniert nur die DNS-Auflösung nicht?
Prüfe doch bitte mal ein "ping www.google.de" und ein "ping 64.233.183.103", wenn beides nicht geht noch ein "tracert -d 64.233.183.103"

Jörg

 

[padschuko]

Würd es gern testen, aber mein Problem ist noch dass ich nicht weiß was ich genau im Internet Explorer einstellen muss um ihm quasi deutlich zu machen, dass er über den vpn ins Netz gehen soll. Vielleicht liegts ja auch daran? Denn wenn ich das jetzt eingebe, dann funktioniert weil ich ja auch über den Hotspot "normal" im Internet unterwegs bin. Aber ich will ja dass es komplett übers vpn abgewickelt wird.

 

[MaxMuster]

Dann gib doch bitte mal die oben genannten Befehle ein ( in der "Eingabeaufforderung" ) und poste das Ergebnis...


Jörg

 

[sf3978]

Nochmal zum surfen, gibts auch ne andere Möglichkeit oder muss ich das über Privoxy machen? Kann ich nicht einfach was im Internet Explorer eintragen bei Proxy oder so? Könntest du mir noch erklären wie ich das in Privoxy eintragen muss?

Mit dem ssh-server (dropbear) geht es auch, als Socket mit Portforwarding. Mit OpenVPN direkt, habe ich es nocht nicht probiert.
Im Privoxy musst Du nur die IP-Adresse an die der Server gebunden ist und den Port an dem er lauscht, eintragen.

 

[padschuko]

Hab die Befehle eingegeben. Ping bekomme ich zurück und Routenverfolgung funktioniert auch. Aber sag mal... ist doch eigentlich klar dass das funktioniert, oder? Schließlich hab ich ja ne ganz normale Internetverbindung am laufen, oder versteh ich jetzt was falsch?!

 

[MaxMuster]

Dann habe ich dein Problem nicht richtig verstanden, fürchte ich.
Ich dachte, du willst dass das Internet funktioniert, das tut es aber nicht??

Verbindung etc klappt, aber ich kann nicht aufs Internet zugreifen.

Oder geht das jetzt doch???
Du testest doch hoffentlich mit verbundenem OpenVPN? Wie läuft denn der Trace, über die Box?

Jörg

 

[padschuko]

Sorry... also es ist so: ich gehe über ein WLAN Hotspot ins Internet und kann auch die Seiten im Netz aufrufen. Ich möchte aber dass quasi der gesamte Verkehr über mein vpn zuhause abläuft.

 

[MaxMuster]

Ja, so hatte ich das auch verstanden.
Wenn du dann per OpenVPN verbunden bist, kannst du dann denn jetzt surfen oder nicht?
Und wie geht dann der trace, denn der zeigt, ob dein Wunsch funktioniert, und du über dein VPN und die Box ins Internet gehst oder "direkt" über den Hotspot.

Es wäre echt hilfreich, wenn du bitte die Vorschläge auch ausführst, die ich gemacht habe (und das Ergebins angibst) ;-)

Jörg

 

[padschuko]

Also ich hab deine Vorschläge schon ausgeführt. Will ja schließlich dass es funktioniert und bin froh dass ihr mir helft. Ich kann normal im Internet surfen, das Problem ist nur, dass es nicht über den vpn läuft, der ist zwar connected aber die Daten gehen weiterhin übers Hotspot-Netz. Gemerkt hab ichs als ich bei wieistmeineip.de geschaut habe, denn da müsste ich ja dann die IP von mir daheim bekommen.

 

[MaxMuster]

... aber es stimmt, wenn ich keinen Input bekomme, kann ich doch auch nicht helfen...

... sollte nachdem du verbunden bist in deiner Routing-Tabelle (unter Windows "route print") stehen, dass nur noch die IP des VPN-Servers (XXXXXX.dyndns.org) mit der Maske 255.255.255.255 über das normale LAN-Gateway beim Client geht, das default-Gateway (0.0.0.0 0.0.0.0) müsste auf den VPN-Server (10.66.66.1) zeigen.

Ergebnis von "route print"?

Und wie geht dann der trace [...]

Wo geht der trace lang?

EDIT: Das ist ja nicht böse gemeint, aber z.B. ein "der trace funktioniert" hilft halt nichts, interessant ist dabei eben gerade der Weg (bzw hier der erste Hop)

 

[padschuko]

nee, kein Problem Habs nicht als "böse" interpretiert.

route print

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.104     30
       10.66.66.0  255.255.255.252   Auf Verbindung        10.66.66.2    286
       10.66.66.2  255.255.255.255   Auf Verbindung        10.66.66.2    286
       10.66.66.3  255.255.255.255   Auf Verbindung        10.66.66.2    286
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.2.0    255.255.255.0   Auf Verbindung     192.168.2.104    286
    192.168.2.104  255.255.255.255   Auf Verbindung     192.168.2.104    286
    192.168.2.255  255.255.255.255   Auf Verbindung     192.168.2.104    286
    192.168.235.0    255.255.255.0   Auf Verbindung     192.168.235.1    276
    192.168.235.1  255.255.255.255   Auf Verbindung     192.168.235.1    276
  192.168.235.255  255.255.255.255   Auf Verbindung     192.168.235.1    276
    192.168.244.0    255.255.255.0   Auf Verbindung     192.168.244.1    276
    192.168.244.1  255.255.255.255   Auf Verbindung     192.168.244.1    276
  192.168.244.255  255.255.255.255   Auf Verbindung     192.168.244.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.235.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.244.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung        10.66.66.2    286
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.2.104    286
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.235.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.244.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung        10.66.66.2    286
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.2.104    286
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0      192.168.0.1  Standard
===========================================================================

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  1    306 ::1/128                  Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

tracert -d 64.233.183.103

Routenverfolgung zu 64.233.183.103 über maximal 30 Abschnitte

  1    27 ms     6 ms     4 ms  192.168.2.1
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3    48 ms    45 ms    44 ms  217.0.80.90
  4    47 ms    48 ms    44 ms  217.239.39.30
  5    46 ms    49 ms    45 ms  72.14.198.189
  6    47 ms    46 ms    49 ms  209.85.255.172
  7    60 ms    57 ms    53 ms  209.85.248.182
  8    58 ms    55 ms    57 ms  72.14.233.114
  9    57 ms    59 ms    58 ms  216.239.46.51
 10    66 ms    63 ms    59 ms  209.85.249.133
 11    62 ms    57 ms    58 ms  64.233.183.103

Ablaufverfolgung beendet.

edit: ich denke mein Problem liegt nur darin, dass ich etwas im Internet Explorer einstellen muss, damit der kapiert über den VPN-Clienten zu surfen. Ich hab aber halt keine Ahnung was ich da einstellen muss.

 

[MaxMuster]

... also dabei sieht man, dass das "redirect-gateway" nicht geklappt hat.

du könntest das mal "von hand" nachbilden (und im Log nachschauen warum es nicht geht):

route add <ofizielle IP des VPN-Servers> 192.168.2.1
route delete 0.0.0.0 mask 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0  10.66.66.1

Also:
- Eine Hostroute zum OpenVPN-Server über dan Hotspot-Router anlegen
- die Defaultroute über den Hotspot löschen
- neue Default-Route über das VPN einrichten

Ich muss jetzt leider weg, schaue heute Abend nochmal rein...


Jörg

EDIT: Jetzt habe ich das nochmal mit etwas mehr Zeit angesehen: Auch die "normale" Route für das Netz 192.168.0.0 ist ja nicht da (das Ergebins von "route 192.168.0.0 255.255.255.0"). Bitte prüfe dringend, ob und welche Fehlermeldung dein Client beim Connect so rausgibt, denn auch der Eintrag

10.66.66.3  255.255.255.255   Auf Verbindung        10.66.66.2    286

ist etwas merkwürdig...

Poste doch mal das Log des Verbindungsaufbaus und vielleicht noch dein Server-Config (auf der Freetzbox z.B. in der RudiShell mit

cat /mod/etc/openvpn.conf

zu bekommen).