OpenVPN auf Fritz!Box Fon WLAN _hinter_ FBF 7170

[bashir]

Hallo zusammen!

Ich hoffe Ihr könnt mir evtl. weiterhelfen.

Folgendes Setup betreibe ich:

Fritz!Box Fon Wlan mit ds-mod 0.2.9 (nur Zusatzpaket OpenVPN in der Standardkonfiguration) hinter einer FBF 7170 (aktuelle Firmware ohne Modifikationen).

Ich lasse also alle Anfragen auf Port 1194 an die "alte" FritzBox weiterleiten, so weit, so gut. Ich bekomme auch eine OpenVPN Verbindung zustande.

Allerdings ist mein Anliegen, sämtlichen Traffic über den VPN Tunnel zu leiten (Option redirect-gateway). Das kommt aber nicht zustande. Entweder (in der aktuellen Konfiguration) wirft er mich aus dem inet oder leitet den Traffic am Tunnel vorbei (wennich an den route und ifconfig Einträgen am client rumspiele). Das Netzwerk 192.168.178.x kann ich ebenfalls nicht erreichen.

Bin für jeden Rat dankbar.

Server-Konfig:

# OpenVPN 2.1 Config
proto udp
port 1194

ifconfig 10.0.0.1 10.0.0.2

route 0.0.0.0 0.0.0.0
push "route 192.168.178.0 255.255.255.0"

dev-type tun
dev-node /dev/misc/net/tun

float
tun-mtu 1500
mssfix

daemon
verb 4

secret /tmp/flash/static.key

ping 15
ping-restart 120
push "ping 15"
push "ping-restart 120"

Client-Config:

#
secret /Users/xxx/Library/openvpn/static.key 
verb 3
dev tun
remote xxx.dyndns.org 1194
route 192.168.178.0 255.255.255.0
redirect-gateway
ifconfig 10.0.0.2 10.0.0.1
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
mssfix

Danke!!

 

[MaxMuster]

Hallo,

hm, mit dem

Server-Konfig:

# OpenVPN 2.1 Config
[...snip..]
route 0.0.0.0 0.0.0.0

sagst du dem Server, dass er alles zum Client routen soll. Ist das wirklich was du willst?

Ansonsten: Wie sehen denn deine Routingtabellen aus?

Jörg

 

[bashir]

Danke für die Antwort.

Was wäre denn eine sinnvolle Änderung der route Option (in der Web-Oberfläche des ds-mod kann man nicht sehr viel einstellen, Standard wäre route 169.254.0.0 255.255.255.0)

Die Routing Tabelle (ar7.cfg habe ich nicht verändert, dachte das macht der ds-mod?) auf dem Server bleibt unverändert.

 

[MaxMuster]

Hi,

in der Option gibst du ein, welches Netz "beim Client" ist...
Ist also der Client im Netz 192.168.123.x kommt dort die 192.168.123.0 255.255.255.0 hin.

Ansonsten wäre halt interessant, ob die "redirect-gateway" Option greift. Dazu sollte, so habe ich es hier gelesen, auf dem Client die "eigentliche" Defaultroute (halt zum Internet) entfernt werden (vorher wird nur noch die Route zum VPN-Server über diesen Weg eingetragen) und dann eine neue Defaultroute über den VPN-Server eingerichtet werden. Daher wäre die Routingtabelle deines Clients (nach Aufbau der VPN-Verbindung) interessant.

Ich habe das Anliegen hoffentlich so richtig verstanden: Der Client soll quasi für alle Netzverbindungen nur noch das VPN benutzen?

Jörg

 

[bashir]

Ich habe das Anliegen hoffentlich so richtig verstanden: Der Client soll quasi für alle Netzverbindungen nur noch das VPN benutzen?

Ja, genau.

Also meine Routing-Tab. auf dem Client nach Aufbau der VPN Verbindung sieht folgendermaßen aus:

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            10.0.0.1           UGSc        1       11   tun0
10/24              192.168.178.1      UGSc        0        8    en1
10.0.0.1           10.0.0.2           UH          1        0   tun0
10.37.129/24       link#8             UCS         0        0    en2
10.37.129.2        127.0.0.1          UHS         0        3    lo0
10.211.55/24       link#9             UCS         0        0    en3
10.211.55.2        127.0.0.1          UHS         0        3    lo0
89.15.132.226/32   192.168.178.1      UGSc        1        0    en1
127                127.0.0.1          UCS         0        0    lo0
127.0.0.1          127.0.0.1          UH         10   163788    lo0
169.254            link#5             UCS         0        0    en1
192.168.178        link#5             UCS         3        0    en1
192.168.178.1      0:1a:4f:f8:53:9f   UHLW        3      126    en1   1199
192.168.178.20     127.0.0.1          UHS         0        0    lo0

Ich kann auch 10.0.0.1 anpingen, aber nicht das Internet.

Mal eine Frage zu dem Client-Netzwerk. Derzeit befinde ich mich ja zum Testen im Netzwerk, wäre also das gleiche Subnet. Wenn ich draußen über offen WLAN-Spots mich einwähle, habe ich dort immer eine neue, also was soll ich dort dann eintragen?

Danke!

 

[MaxMuster]

Hallo,

das sieht doch gut aus, denn die DefaultRoute zeigt zum Server (auf die 10.0.0.1 über tun0).

Mal eine Frage zu dem Client-Netzwerk. Derzeit befinde ich mich ja zum Testen im Netzwerk, wäre also das gleiche Subnet. Wenn ich draußen über offen WLAN-Spots mich einwähle, habe ich dort immer eine neue, also was soll ich dort dann eintragen?

Wenn du nur den Client erreicht willst, trägst du einfach nichts ein. Der Client selbst ist ja über seine Tunneladresse (10.0.0.2) erreichbar. Diese Option würde benötigt, wenn der Client auch ein Router (z.B. eine andere Fritzbox) wäre, und die Geräte, die daran hängen erreicht werden sollten...

Was meinst du mit "das Internet nicht anpingen"? Versuchst du den Ping über den Namen oder die Adresse? Evtl. geht der DNS nicht?
Probiere mal einen Ping oder traceroute auf www.google.de per Adresse

traceroute -n 66.249.93.99

Geht das? Wenn ja musst du mal die DNS-Server Einstellungen ändern...

Jörg

 

[bashir]

Also, der DNS ist es leider nicht, das habe ich vorher auch schon mal getestet kein traceroute/ping über IP oder "Name".

Den Eintrag bzgl des Client-Netzwerkes kann ich nicht leer lassen, da ansonsten openvpn nicht startet (er versucht den befehl route ohne option auszuführen und bricht ab)

 

[MaxMuster]

Hi,

Also, der DNS ist es leider nicht, das habe ich vorher auch schon mal getestet kein traceroute/ping über IP oder "Name".

Geht der traceroute denn zumindest bis auf die Server-Box? Denn die "normale" FBF (die 7170) kennt ja vermutlich keine Route zum Client (10.0.0.2), es wäre alos normal, wenn es nicht weiter ginge (dazu also auf der "Internet-FBF" eine Route für 10.0.0.2 255.255.255.255 oder auch gleich 10.0.0.0 255.255.255.0 auf die LAN-IP der "Openvpn-Server-Fritzbox" eintragen).

Den Eintrag bzgl des Client-Netzwerkes kann ich nicht leer lassen, da ansonsten openvpn nicht startet (er versucht den befehl route ohne option auszuführen und bricht ab)

Dann trage doch einfach die Route zu dem tun-Device ein (10.0.0.2 255.255.255.255).

Jörg

 

[bashir]

oder auch gleich 10.0.0.0 255.255.255.0 auf die LAN-IP der "Openvpn-Server-Fritzbox" eintragen).

Mein Gott, das war es!!!!!!

Da lag die ganze Zeit der Denkfehler, ich habe als Gateway immer die IP Adresse der 7170 und nicht der Fon Wlan mit OpenVPN eingetragen!!!!

Wenn Du irgendwo in SW-Deutschland sitzt, hast Du Dir gerade mind. ein Bier verdient!!

Danke!!!!

:rock:

 

[MaxMuster]

Wenn Du irgendwo in SW-Deutschland sitzt, hast Du Dir gerade mind. ein Bier verdient!!

Leider nicht :-( Da muss ich wohl mein eigenes Bier vernichten! ;-)

Jörg

 

[palela]

Hi Jungs,

ich hab zwar den openvpn nun auch laufen, aber pingen / routing funzt noch nicht.
ich hab folgende Struktur.

Server-VPN IP --TUN-- Client-VPN IP
192.168.200.1 192.168.200.2
|
Fritzbox LAN
192.168.100.250

Ich kann die Clients auf der 192.168.100.x nicht anpingen.

Routing Tabelle der Box.
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.180.1 * 255.255.255.255 UH 0 0 0 dsl
192.168.180.2 * 255.255.255.255 UH 0 0 0 dsl
192.168.200.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.178.0 * 255.255.255.0 U 0 0 0 lan
192.168.100.0 * 255.255.255.0 U 0 0 0 lan
192.168.100.0 * 255.255.255.0 U 0 0 0 eth0
192.168.200.0 192.168.200.2 255.255.255.0 UG 0 0 0 tun0
default * 0.0.0.0 U 0 0 0 dsl

Meine Frage:
Wieso stehen da noch die default-Netzwerke (192.168.178.x) drin?

Wie bekomme ich die raus, und wie sollte die Routingtabelle ergänzt werden?
Mach ich die EInträge (welche) im GUI der Fritzbox, oder in der Shell mit Route -add?

Danke im Voraus!!!

Patrick