Hi Leute,
ich bin mit meinem Latein am Ende und weiß echt nicht mehr weiter.
Ich versuche mit openvpn auf der FB einen VPN-Tunnel zum Anbieter "Perfect Privacy" für alle Geräte an der Fritzbox zu legen.
Das funktioniert auch super, wenn man mal davon absieht, daß nach ca. 2-3 MBit/s Durchsatz die CPU der 7270 dicht ist . Okay, nicht überraschend soweit.
Nun versuche ich aber als i-Tüpfelchen schon seit einer zweistelligen Anzahl von Stunden, auch das Remote Port Forwarding von Perfect Privacy zu verwenden (die leiten fünf Ports - im folgenden 40006, TCP als Beispiel - des öffentlichen Tunnel-Endes an das private Tunnelende (im folgenden Beispiel: 10.0.61.6) weiter, damit man auch in gewissem Umfang mit von außen initierte Verbindungen arbeiten kann ...)
Diese Remote Port Forwardings kriege ich einfach nicht weitergeleitet!
Hier mein tun0-Device nach Aufbau des VPN-Tunnels - alles läuft super; aller Verkehr, für den nicht eine andere Route existiert, geht auch sauber durch tun0:
Spreche ich das öffentliche VPN-Tunnel-Ende auf dem für mich geforwardeten Port (in diesem Falle gerade 40006) an, dann sehe ich auch via tcpdump, wie das Paket auf dem tun0-Device (IP: 10.0.61.6) ankommt:
Aber damit ist auch schon Schluß - ich kriege diese Pakete einfach nicht zu fassen! Ich versuche es auf 127.0.0.1:22, 192.168.69.35:22 oder wohin auch immer umzuleiten ... es passiert einfach nix!
Ich habe es mit allen möglichen Varianten von socat versucht, die sich versuchen an die IP des tun0-Devices (persistent oder auch nicht) und den fraglichen Port (40006) zu binden:
Völlig ergebnislos! socat kriegt einfach nix zum Weiterleiten.
Auch das DNAT-Target (eigentlich die erste Wahl) von iptables habe ich ausprobiert; wieder in verschiedenen Varianten:
Nichts!!
Das schärfste ist, daß die Iptables Regel sehr wohl gematcht wird, wie man z.B. hier am Pakets-Counter (Pkts) der PREROUTING-Chain sieht:
Aber die eingehene Pakete werden weder durch iptables noch socat irgendwohin weitergeleitet.
Wird openvpn hingegen auf einem normalen Linux-Rechner gestartet, führen die oben aufgeführten Wege via iptables oder socat aber sehr wohl zum Erfolg und forwarden die eingehende Pakete sauber weiter.
Daher bin ich nun völlig ratlos.
Übersehe ich irgendwas?
Verändert die Router-Situation auf der Fritzbox irgendwas daran, wie man die o.g. eingehenden Pakete forwarden muß?
Ist das openvpn-Binary von Freetz 1.2 vielleicht abgespeckt?
Wieder mal, wäre ich für jegliche Hilfe dankbar!!
Danke & Bye!
ich bin mit meinem Latein am Ende und weiß echt nicht mehr weiter.
Ich versuche mit openvpn auf der FB einen VPN-Tunnel zum Anbieter "Perfect Privacy" für alle Geräte an der Fritzbox zu legen.
Das funktioniert auch super, wenn man mal davon absieht, daß nach ca. 2-3 MBit/s Durchsatz die CPU der 7270 dicht ist . Okay, nicht überraschend soweit.
Nun versuche ich aber als i-Tüpfelchen schon seit einer zweistelligen Anzahl von Stunden, auch das Remote Port Forwarding von Perfect Privacy zu verwenden (die leiten fünf Ports - im folgenden 40006, TCP als Beispiel - des öffentlichen Tunnel-Endes an das private Tunnelende (im folgenden Beispiel: 10.0.61.6) weiter, damit man auch in gewissem Umfang mit von außen initierte Verbindungen arbeiten kann ...)
Diese Remote Port Forwardings kriege ich einfach nicht weitergeleitet!
Hier mein tun0-Device nach Aufbau des VPN-Tunnels - alles läuft super; aller Verkehr, für den nicht eine andere Route existiert, geht auch sauber durch tun0:
Code:
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.0.61.6 P-t-P:10.0.61.5 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:273 errors:0 dropped:0 overruns:0 frame:0
TX packets:277 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:26092 (25.4 KiB) TX bytes:13354 (13.0 KiB)
Spreche ich das öffentliche VPN-Tunnel-Ende auf dem für mich geforwardeten Port (in diesem Falle gerade 40006) an, dann sehe ich auch via tcpdump, wie das Paket auf dem tun0-Device (IP: 10.0.61.6) ankommt:
Code:
22:07:28.700521 IP <irgendeine oeffentliche ip>.43192 > 10.0.61.6.40006: Flags [S], seq 2362419047, win 14600, options [mss 1198,sackOK,TS val 1949240966 ecr 0,nop,wscale 6], length 0
Aber damit ist auch schon Schluß - ich kriege diese Pakete einfach nicht zu fassen! Ich versuche es auf 127.0.0.1:22, 192.168.69.35:22 oder wohin auch immer umzuleiten ... es passiert einfach nix!
Ich habe es mit allen möglichen Varianten von socat versucht, die sich versuchen an die IP des tun0-Devices (persistent oder auch nicht) und den fraglichen Port (40006) zu binden:
Code:
socat tcp-listen:40006,fork,reuseaddr,interface=tun0 tcp-connect:192.168.69.35:22
socat tcp-listen:40006,bind=10.0.61.6,fork,reuseaddr tcp-connect:192.168.69.35:22
socat tcp-listen:40006,bind=10.0.61.6,fork,reuseaddr,interface=tun0 tcp-connect:192.168.69.35:22
socat tcp-listen:40006,fork,reuseaddr tcp-connect:192.168.69.35:22
Völlig ergebnislos! socat kriegt einfach nix zum Weiterleiten.
Auch das DNAT-Target (eigentlich die erste Wahl) von iptables habe ich ausprobiert; wieder in verschiedenen Varianten:
Code:
iptables -t nat -I PREROUTING 1 -i tun0 -d 10.0.61.6 -p tcp --dport 40006 -j DNAT --to-destination 192.168.69.35:22
iptables -t nat -I PREROUTING 1 -d 10.0.61.6 -p tcp --dport 40006 -j DNAT --to-destination 192.168.69.35:22
iptables -t nat -I PREROUTING 1 -i tun0 -d 10.0.61.6 -p tcp --dport 40006 -j DNAT --to-destination 192.168.69.35:22
iptables -t nat -I PREROUTING 1 -i tun0 -d 10.0.61.6 -p tcp --dport 40006 -j DNAT --to-destination 127.0.0.1:22
...
Nichts!!
Das schärfste ist, daß die Iptables Regel sehr wohl gematcht wird, wie man z.B. hier am Pakets-Counter (Pkts) der PREROUTING-Chain sieht:
Code:
# iptables -t nat -L -nv
Chain PREROUTING (policy ACCEPT 9995 packets, 1012K bytes)
pkts bytes target prot opt in out source destination
3 152 DNAT tcp -- * * 0.0.0.0/0 10.0.61.6 tcp dpt:40006 to:192.168.69.35:22
Chain POSTROUTING (policy ACCEPT 6634 packets, 608K bytes)
pkts bytes target prot opt in out source destination
305 19291 MASQUERADE all -- * tun0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 11075 packets, 902K bytes)
pkts bytes target prot opt in out source destination
Aber die eingehene Pakete werden weder durch iptables noch socat irgendwohin weitergeleitet.
Wird openvpn hingegen auf einem normalen Linux-Rechner gestartet, führen die oben aufgeführten Wege via iptables oder socat aber sehr wohl zum Erfolg und forwarden die eingehende Pakete sauber weiter.
Daher bin ich nun völlig ratlos.
Übersehe ich irgendwas?
Verändert die Router-Situation auf der Fritzbox irgendwas daran, wie man die o.g. eingehenden Pakete forwarden muß?
Ist das openvpn-Binary von Freetz 1.2 vielleicht abgespeckt?
Wieder mal, wäre ich für jegliche Hilfe dankbar!!
Danke & Bye!
Zuletzt bearbeitet: