.titleBar { margin-bottom: 5px!important; }

HOWTO: Box2Box VPN ohne Modifikation

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von BuchIT, 14 Feb. 2006.

  1. BuchIT

    BuchIT Mitglied

    Registriert seit:
    5 Okt. 2005
    Beiträge:
    355
    Zustimmungen:
    2
    Punkte für Erfolge:
    18
    Ort:
    Saarland
    #1 BuchIT, 14 Feb. 2006
    Zuletzt bearbeitet: 17 Feb. 2006
    Hallo Forum,

    nachdem mir heute viele Leute hier eine riesen Hilfestellung gegeben haben
    möchte das gesammelte Wissen hier einmal zusammenfassen.

    Ausgangssituation:
    FRITZ!Box 1 (Server Box) - ohne Mod - IP: 192.168.178.1
    FRITZ!Box 2 (Client Box) - ohne Mod - IP: 192.168.179.1

    Benötigt wird:
    Webspace (hier http://www.beispiel.de)
    einen DynDNS Account oder feste IP
    Pseudo Image von Evil Dead
    Security Key (auf z.B. von Evil Dead)
    Einen Ordner zum sammeln der Files :)
    Ein Programm das UNIX Zeilenumbruch beherrscht (z.B. UltraEdit Trail Version)
    Alle Konfigurationdateien müssen mit UNIX Zeilenumbruch geschrieben sein.
    => Bei UltraEdit unter "Datei > Konvertieren > DOS nach UNIX"


    1. Schritt - Konfigurationsdatei für OpenVPN Client
    Code:
    ifconfig 192.168.200.1 192.168.200.2
    dev tun
    dev-node /dev/misc/net/tun
    tun-mtu 1500
    mssfix
    persist-tun
    persist-key
    
    #Remote Adresse des Servers angeben
    #muss entsprechend geaendert werden
    remote mein-account.dyndns.org
    
    #Pfad zum Key File
    secret /var/tmp/secret.key
    
    
    #Protokoll auf TCP und Port 1194
    #Änderungen müssen auf Client und Server Seite gleich sein
    proto tcp-client
    port 1194
    
    
    #da die Verbindung alle 24 Stunden getrennt wird
    #soll regelmäßig kontrolliert werden ob die Verbindung noch steht
    ping 15
    ping-restart 120 
    
    #der DynDNS Name soll alle 60 Sekunden neu aufgelöst werden
    #da OpenVPN sonst ständig versucht über die alte IP
    #zu verbinden
    resolv-retry 60 
    
    #Protokollierungseinstellung
    #4 ist optimaler Modus
    verb 4
    
    #Daemon sollte erst eingeschaltet werden wenn die
    #Konfiguration passt
    daemon
    
    #Route zum Server setzen
    route 192.168.178.0 255.255.255.0
    
    Diese Datei speichert man unter dem Namen "server.ovpn" unter
    C:\FBFVPN\CLIENT\server.ovpn


    2. Schritt - Konfigurationsdatei für OpenVPN Server
    Code:
    dev tun0
    dev-node /dev/misc/net/tun
    ifconfig 192.168.200.2 192.168.200.1
    tun-mtu 1500
    float
    mssfix
    
    #Pfad zum Key File
    secret /var/tmp/secret.key
    
    #Protokoll auf TCP und Port 1194
    proto tcp-server
    port 1194
    
    #Protokollierung auf 4
    verb 4
    
    #daemon
    
    #Route zum Server setzen und route zum Client pushen
    route 192.168.179.0 255.255.255.0
    push "route 192.168.178.0 255.255.255.0"
    
    #Verbindung erhalten
    ping 15
    push "ping 15"
    ping-restart 120
    push "ping-restart 120"
    
    Diese Datei speichert man unter dem Namen "server.ovpn" unter
    C:\FBFVPN\SERVER\server.ovpn


    3. Schritt - OpenVPN runterladen
    Gibts HIER


    4. Schritt - Firewall anpassen

    Damit OpenVPN auch über Port 1194 verbindet muss in der FBF welche die Server Rolle spielt die Firewall von Hand umgestellt werden.
    Dazu muss erstmal Telnet auf der FBF aktivert werden.
    Siehe dazu Punk 6. Image für die FBF erzeugen, oder HIER
    Folgende Vorgehensweise erschien mir die einfachste:
    Auf der FRITZ!Box unter "Internet => Portfreigabe" folgende Regel hinzufügen:
    - Aktiv: NEIN (Häkchen rausnehmen)
    - Typ: Andere Anwendung
    - Bezeichnung: OpenVPN
    - Protokoll: TCP
    - von Port: 1194
    - an IP: 192.168.178.1
    - an Port: 1194
    Dann diese Regel speichen.
    Anschließend via Telnet auf die FRITZ!Box zugreifen mit:
    telnet fritz.box

    Nun gibt man folgende Befehle ein:
    cd var
    cd flash

    Nun zur Sicherheit ein Backup der Datei erstellen:
    cp ar7.cfg ar7_backup.cfg

    Sollte mit nvi etwas schief gehen kann man die Datei wie folgt Wiederherstellen:
    cp ar7_backup.cfg ar7.cfg

    Jetzt noch den nvi Editor starten:
    nvi ar7.cg

    Es öffnet sich das nvi Editor Fenster.
    Dort scrollt man nach unten bis man einen Bereich finder der so aussieht:
    Code:
    forwardrules =        "tcp 0.0.0.0:0 0.0.0.0:0 1 out",
                               "udp 0.0.0.0:0 0.0.0.0:0 1 out",
                               "udp 0.0.0.0:5060 0.0.0.0:5060",
                               "udp 0.0.0.0:7078 0.0.0.0:7078",
                               "udp 0.0.0.0:7079 0.0.0.0:7079",
                               "udp 0.0.0.0:7080 0.0.0.0:7080",
                               "udp 0.0.0.0:7081 0.0.0.0:7081",
                               "udp 0.0.0.0:7082 0.0.0.0:7082",
                               "udp 0.0.0.0:7083 0.0.0.0:7083",
                               "udp 0.0.0.0:7085 0.0.0.0:7085",
                               "tcp 0.0.0.0:4662 192.168.178.101:4662 0
                               "udp 0.0.0.0:4672 192.168.178.101:4672 0
                               "#tcp 0.0.0.0:1194 192.168.178.1:1194 0 # OpenVPN";  <= openvpn
     shaper = "globalshaper";
    Man geht mit dem Cursor in die markierte Zeile auf das erste '#' und drückt die Taste x.
    Dan wird aus:
    Alt: "#tcp 0.0.0.0:1194 192.168.178.1:1194 0 # OpenVPN";
    das hier:
    Neu: "tcp 0.0.0.0:1194 192.168.178.1:1194 0 # OpenVPN";

    Nach der Eingabe von :wq (Doppelpunkt wq) wir die Detei gespeichert und nvi beendet.
    ACHTUNG: Wird die Datei falsch editiert kann es zum Tot der FRITZ!Box kommen.

    Ergänzung:
    fws hat ein Script erstellt mit dem man Regeln in der ar7.cfg hinzufügn kann ohne diese mit nvi editieren zu müssen.
    Das Scripts gibts HIER

    Zurück in Telnet kann man die Freigabe mit einem einfachen reboot
    in Telnet aktivieren, dann wird die FBF einfach neu gestartet.

    5. Schritt - Dateien auf den eingenen Webserver laden
    Geht per FTP auf euren Webserver/Webspace und legt folgende Ordnerstruktur an:
    /fritzbox/openvpn
    /fritzbox/openvpn/client
    /fritzbox/openvpn/server

    Die Datei openvpn schiebt ihr in den Order /fritzbox/openvpn/client/ und
    in /fritzbox/openvpn/server/
    In den Ordner /fritzbox/openvpn/client die Datei server.ovpn aus dem Ordner C:\FBFVPN\CLIENT\
    In den Ordner /fritzbox/openvpn/server die Datei server.ovpn aus dem Ordner C:\FBFVPN\SERVER\
    Wer es versteht das Image in Schritt 6 anzupassen kann die auch andere Dateinamen verwenden und somit openvpn nur einmal auf dem Server ablegen.


    6. Schritt - secret key und pseudo Image erstellen
    Auf der Homepage von Evil Dead könnt ihr euch HIER eine secure.key Datei erstellen lassen.
    Diese Datei muss für beide pseudo Images (Client und Sever) verwendet werden, und sollte auch nicht in die falschen Hände geraten.
    Jetzt baut ihr zuerst das Image für die FBF die als Server fungiert.
    HIER ein Image ohne Assistenten erstellen mit folgenden Einstellungen:
    X telnet
    X openvpn
    => Adresse des Webservers, auf dem 'openvpn' und die Konfig-Dateien liegen (ohne http://): www.beispiel.de
    => Verzeichnis auf dem Server, in dem 'openvpn' und die Konfig-Dateien liegen: fritzbox/server
    => Key-File: Hier wählt ihr das vorhin erstelle Key File aus

    Jetzt könnt ihr das Image erstellen lassen und runterladen.
    Speichert es unter den Namen pseudo_ovpnserver.image ab.

    Für das Client Image gilt das gleiche wie oben ausser:
    => Verzeichnis auf dem Server, in dem 'openvpn' und die Konfig-Dateien liegen: fritzbox/client

    Image erstellen lassen und runterladen.
    Speichert es unter den Namen pseudo_ovpnclient.image ab.

    Natürlich können alle weiteren Einstellungen der Homepage auch verwendet werden. Ich möchte hier nur das wichtige für OpenVPN erläutern.


    7. Schritt - OpenVPN auf die Box bekommen
    Jetzt müsst ihr nur noch auf den einzelnen FRITZ!Boxen die entsprechenden
    pseudo Images einspielen (Über System => Firmwareupate)
    Nach dem reboot der beiden Boxen sollte die VPN Verbindung sofort
    aufgebaut werden.
    Testet es einfach in dem ihr von der Server Seite einen PC auf der Client Seite anpingt oder umgekehrt.

    Der Autor (also ich) ist nicht für irgendwelche Schäden verantwortlich, die direkt oder indirekt durch die Verwendung und Anwendung dieser Software und Modifikationen entstehen!

    Mit dieser Konfiguration läuft das ganze bei mir !
    Danke an interhubi für die Unterstützung !
    Danke an Evil Dead für den pseudo Image Generator !
    Danke an das ganze Forum dafür das ihr uns das hier alles ermöglicht !!

    Gruß Mike

    #################################################
    Änderung vom 17.02.2006
    - Config Dateien auf DynDNS optimiert
    #################################################
    Änderung vom 16.02.2006
    - Beschreibung zur Änderung der Firewall optimiert
    #################################################
     
  2. BuchIT

    BuchIT Mitglied

    Registriert seit:
    5 Okt. 2005
    Beiträge:
    355
    Zustimmungen:
    2
    Punkte für Erfolge:
    18
    Ort:
    Saarland
    Hi,

    ich prüfe nächste Woche ob man sich Punkt 4 - Firewall modifizieren -
    dank Evil Dead sparen kann.

    Gruß Mike
     
  3. carlofbf

    carlofbf Mitglied

    Registriert seit:
    28 Dez. 2005
    Beiträge:
    251
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Student
    Ort:
    Aachen
    cooles tut ...hast dir nen lob verdient!
     
  4. klingeljoe

    klingeljoe Neuer User

    Registriert seit:
    11 Feb. 2005
    Beiträge:
    21
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #4 klingeljoe, 27 Feb. 2006
    Zuletzt bearbeitet: 27 Feb. 2006
    Hallo Forum, das hört sich ja super an, VPN mit ner Fritz, cool. Ich würde gerne wissen ob anstatt des keys auch Zertifikate verwendet werden könnten? Dafür müsste aber wohl --askpass mit in openvpn einkompiliert sein. Ich bin nämlich gerade auf der Suche nach einem VPN fähigen Router und leider ist der Linksys WRT54g mittlerweile mit Linux nicht mehr zu gebrauchen, bleibt also nur der Asus und jetzt vielleicht die Fritz.. Danke klingeljoe

    Bin gerade erst neugierig geworden und hierauf gestoßen

    http://www.ip-phone-forum.de/showpost.php?p=531364&postcount=192
     
  5. interhubi

    interhubi Neuer User

    Registriert seit:
    12 Jan. 2006
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Auch Zertifikate funktionieren!
    Hast ja auch schon
    http://www.ip-phone-forum.de/showpost.php?p=531364&postcount=192
    gesehen.
    askpass funktioniert auf jeden Fall, wenn Du openvpn von
    http://www.ip-phone-forum.de/showpost.php?p=527338&postcount=180
    nimmst. Bei mir funktioniert es mit der 2.0.5er Version!

    askpass benötigst Du ja nur, wenn du ein Passwort für Deinen Gateway- bzw. Client-Schlüssel vorgegeben hast, was ja zu empfehlen ist ;)
    Dann kannst du openvpn als daemon starten und bevor openvpn in den Hintergrund geht, fragt es das Passwort ab.

    Das funktioniert eigentlich hervorragend.

    Gruß
    interhubi
     
  6. jhartmann

    jhartmann Neuer User

    Registriert seit:
    18 Dez. 2005
    Beiträge:
    55
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Sollte statt "4. Schritt - Firewall anpassen" nicht inzwischen (mit aktuellem Pseudo-Image von Evil Dead) eine einfache (im Webinterface aktivierte) Portfreigabe an 192.168.178.253:1194 genügen?
     
  7. sportfreund

    sportfreund Neuer User

    Registriert seit:
    17 Juni 2005
    Beiträge:
    177
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Mal ne blöde Frage - können sich da auch mehr als 1 Client verbinden und funktioniert das VPN dann zwischen allen verbundenen Clients einwandfrei?
     
  8. Powersup

    Powersup Neuer User

    Registriert seit:
    5 Aug. 2005
    Beiträge:
    45
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @BuchIT: Glückwunsch und vielen Dank für diese "easy-to-do" Anleitung!!!
    Dank dieser funktioniert sogar bei mir der VPN-Tunnel wunderbar.:rock:

    Nur ist mir aufgefallen, dass er bei einer Anfrage über die IP geht, die hier
    an 2. Stelle eingetragen ist geht:confused: Diese IP-Adressen sind ja aus einem ganz anderen Subnet, wie die anderen der Router, also was soll diese Zeile bewirken?

    Und was bewirkt es, wenn die "Server-Fritz!Box" mit
    push die Route auf sich selbst setzt?
     
  9. ibromr

    ibromr Neuer User

    Registriert seit:
    25 Apr. 2006
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ...vielleicht eine dumme Frage....

    1. Ist das Internet "Surfen" nach der VPN-Kopplung noch genau so erreichbar ?

    2. Existiert noch ein weiteres Subnetz ( also über das 192.168.178.0 ) durch die VPN-Kopplung ?

    3. Wie schaffe ich den Zugriff auf Laufwerksresourcen hinter einer MS-Firewall ( s.h. nachfolgendes Schema ) ( ggf. Firewall auf MS-Server dafür öffen, noch anderen Alternativen ? )

    Ort A : Fritz-VPN Client >------- INTERNET -----< Ort B : Fritz-VPN Server 192.168.178.0>---< MS-Server ( SBS inkl. Firewall + 2 Netzwerkkarten ) >--- INTERNES NETZ ( 192.168.100.0 PCs, Netzlaufwerke )
     
  10. CAB

    CAB Neuer User

    Registriert seit:
    21 Nov. 2006
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich würde gerne nach dieser Anleitung OpenVPN auf meine Box machen allerdings funktionieren 2 Links oben bei mir nicht , das wären :

    Pseudo Image von Evil Dead
    Security Key (auf z.B. von Evil Dead)
     
  11. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,677
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Hallo CAB,
    ja würde ich versuchen, eventuell noch mit einer Virtuellen IP auf der Box. ;)
     
  12. CAB

    CAB Neuer User

    Registriert seit:
    21 Nov. 2006
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Was ?Ich wollte eignetlich nur das jemand die Links Oben aktualisiert weil sie nichtmehr funktionieren ?!
     
  13. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,677
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Na dann klick doch auf den Link in meiner Signatur (Pseudo-Image) ;)
     
  14. CAB

    CAB Neuer User

    Registriert seit:
    21 Nov. 2006
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Leider gehen die Images da nicht für die 7141 gibts da auch ne Seite ?
     
  15. BuchIT

    BuchIT Mitglied

    Registriert seit:
    5 Okt. 2005
    Beiträge:
    355
    Zustimmungen:
    2
    Punkte für Erfolge:
    18
    Ort:
    Saarland
    Hi,

    die Homepage von Evil Dead ist leider in unregelmäßigen Abständen offline.
    Versuchs einfach zwischen durch mal wieder.
     
  16. PsychoMantis

    PsychoMantis Aktives Mitglied

    Registriert seit:
    18 Dez. 2005
    Beiträge:
    2,486
    Zustimmungen:
    1
    Punkte für Erfolge:
    38
    Beruf:
    Schüler
    Ort:
    Ingolstadt
    Habe auf the-construct.com beim pseudoimage diese virtuelle karte ausgewählt.

    Vorher habe ich nur das genommen und es hat der Zugriff auf dei Box wunderbar funktioniert.

    Jetzt habe ich die selbe virtuelle Karte ausgewählt mit OpenVPN und es geht nicht mehr.

    Die Portfreigabe auf die IP 192.168.178.253 bleibt wirkungslos.

    Zum Glück kann man das über telnet editieren und eine Portfreigabe einfach auf 192.168.178.1 erstellen.

    Leider kann man danach nicht mehr irgendwelche Portfreigaben über das Webinterface der FritzBox ändern.

    Wie könnte man das Problem beseitigen?
     
  17. Assad

    Assad Neuer User

    Registriert seit:
    13 Feb. 2006
    Beiträge:
    33
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    also ich denke schon, dass ich es auf meiner FirtzBox (als Server) richtig hinbekommen habe, aber mein "VPN - Partner" hat eine Eumex 504. Zur FritzBox umModden fält aus, da Schwiegerpapa davon nicht begeistert ist. Gibt es denn sonst noch eine Möglichkeit auf einfachen (!) Wege den Openvpn Client auf die Eumex zu bekommen? Meine Suche war bisher nicht so ganz erfolgreich..
    Grüße
     
  18. bigfrog

    bigfrog Neuer User

    Registriert seit:
    30 Jan. 2005
    Beiträge:
    113
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Bist du sicher dass es eine Eumex504 ist? Dann hast du keine Chance irgendetwas mit OpenVPN zu realisieren, das ist eine alte ISDN TA der Telekom mit USB-Anschluß. Das ist kein Router für Ethernet bzw. DSL. Wählt sich dein Partner denn per ISDN ins Internet?
    Es gibt eine OpenVPN-Client Software, die du direkt auf dem Rechner installieren kannst, damit könnte sich dein Partner auf deiner FritzBox einwählen!
     
  19. Assad

    Assad Neuer User

    Registriert seit:
    13 Feb. 2006
    Beiträge:
    33
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    stimmt, hatte mich da voll vertan. Es ist die Eumex 300IP.

    Über die Box wählt man sich per DSL ein. Ich würde es schon recht gerne über die Box realisieren. Zum einen weil bei meinen Schwiegereltern zwei Rechner eine Mininetzwerk haben und ich so die Softwar eventuell auf mehrere Rechner installieren müsste, zum anderen, weil ich die Konfig vom OpenVPN nicht so ganz hinbekommen habe. Übers PseudoImage ging es bei mir auf der FritzBox relativ leich. Ich hatte ein wenig die Hoffnung, dass es etwas vergleichbares auch für die Eumex gäbe.

    Grüße, Sebastian
     
  20. PsychoMantis

    PsychoMantis Aktives Mitglied

    Registriert seit:
    18 Dez. 2005
    Beiträge:
    2,486
    Zustimmungen:
    1
    Punkte für Erfolge:
    38
    Beruf:
    Schüler
    Ort:
    Ingolstadt
    Die einfachste Lösung, die mir einfällt ist, den jenigen zu überzeugen und das zu FB ummoden.
    Wo sind denn die Nachteile der FB gegenüber der Eumex?

    Mir fällt kein einziger ein.