[Frage] OpenVPN auf Fritzbox - 2 Netzwerke verbinden

[Grmpf]

Hallo Allerseits!

Nachdem mir ja schon so klasse wegen des OpenVPN Programmpakets selber geholfen wurde muss ich mich leider wieder an euch wenden...

Vorweg - was ich vorhabe: 2 Netzwerke sollen verbunden werden und dabei im gleichen Subnetz liegen (das gibt die Software die dort läuft leider so vor), dabei sollen alle einzelnen Rechner jeweils miteinander kommunizieren können (Windows PCs), allerdings wäre es klasse wenn die jeweils ihre "eigene" lokale Fritzbox als Gateway ins Internet nutzen würden. Ich habs mal aufgezeichnet wie es atm ausschaut:

Sprich auf einer Seite eine Fritzbox 7270 (IP 192.168.0.200) mit div. PCs (IP 192.168.0.10-13) + Smartphones (DHCP) und auf der anderen Seite eine weitere Fritzbox 7270 (IP 192.168.0.1) + div. PCs (IP 192.168.15-16) + Smartphones (DHCP). Dabei ist das DHCP nicht Pflicht und könnte auch in statische IPs geändert werden (wäre nur was mehr Aufwand das auf den Smartphones einzurichten).

Was ich bisher versucht habe: Ich habe mir die passenden Zertifikate erstellt (easy rsa) und an beide Firtzboxen einen USB-Stick gehangen (USB Port wird ansonsten nicht verwendet) auf dem es so aussieht:
/debug.cfg
/startup.sh
/vpn/openvpn
/vpn/vpn.conf
/vpn/Zertifikate (ca.cert, etc.)

Die debug.cfg:

mkdir /var/usb
mount /dev/sda1 /var/usb
/var/usb/startup.sh

Die habe ich per telnet und

mkdir /var/usb
mount /dev/sda1 /var/usb
cat /var/usb/debug.cfg > /var/flash/debug.cfg

ins flash der Fritzbox gepackt und dann starte ich die startup.sh per telnet zum probieren:

# Start des telnet-daemons
echo Starting telnetd
/usr/sbin/telnetd -l /sbin/ar7login

# warten, bis das DSL da ist
echo Waiting for internet connection
while !(ping -c 1 www.google.de); do
sleep 5
done

# tap-Device anlegen, falls noch nicht vorhanden
echo Creating TAP device
mknod /var/tmp/tap0 c 10 200
sleep 2

# start OpenVPN
echo Starting OpenVPN
cd /var/usb/vpn
./openvpn --config vpn.conf

# Bridge networks
brctl addif lan tap0
ifconfig tap0 0.0.0.0 promisc up

später soll da dann noch "--daemon" in die openvpn Zeile, zum probieren ist es rausgenommen. Meine vpn.conf auf der Server Fritzbox schaut so aus:

dev tap0
proto udp
port 1194
server-bridge 192.168.0.200 255.255.255.0 192.168.0.5 192.168.0.9
mode server
tls-server
ca /var/usb/vpn/ca.crt
cert /var/usb/vpn/server.crt
key /var/usb/vpn/server.key
dh /var/usb/vpn/dh1024.pem
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
verb 4
status /var/usb/vpn/openvpn-status.log
log-append  /var/usb/vpn/openvpn.log

und gibt das als Log aus:

Mon Jul 25 18:04:11 2011 us=920155 OpenVPN 2.2.1 mipsel-linux [SSL] [LZO2] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jul 23 2011
Mon Jul 25 18:04:11 2011 us=921658 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Mon Jul 25 18:04:11 2011 us=922846 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Jul 25 18:04:12 2011 us=42556 Diffie-Hellman initialized with 1024 bit key
Mon Jul 25 18:04:12 2011 us=45367 WARNING: file '/var/usb/vpn/server.key' is group or others accessible
Mon Jul 25 18:04:12 2011 us=52341 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Jul 25 18:04:12 2011 us=52774 Socket Buffers: R=[108544->131072] S=[108544->131072]
Mon Jul 25 18:04:12 2011 us=53148 Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Mon Jul 25 18:04:12 2011 us=53627 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Jul 25 18:04:12 2011 us=53937 UDPv4 link local (bound): [undef]
Mon Jul 25 18:04:12 2011 us=54182 UDPv4 link remote: [undef]
Mon Jul 25 18:04:12 2011 us=54429 MULTI: multi_init called, r=256 v=256
Mon Jul 25 18:04:12 2011 us=54867 IFCONFIG POOL: base=192.168.0.5 size=5, ipv6=0
Mon Jul 25 18:04:12 2011 us=56034 Initialization Sequence Completed

Die Fehlermeldung: "Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)" schaut irgendwie garnicht gut aus - warum er auch immer eine Tun Datei/Verzeichniss sucht ?

Die geplante Client vpn.conf:

dev tap0
proto udp
port 1194
remote XXX.dyndns.XXX
tls-client
ns-cert-type server
ca /var/usb/vpn/ca.crt
cert /var/usb/vpn/client1.crt
key /var/usb/vpn/client1.key
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
verb 4
status /var/usb/vpn/openvpn-status.log
log-append  /var/usb/vpn/openvpn.log

und die Meldung auf der Client Fritzbox dazu:

Mon Jul 25 18:28:31 2011 us=177617 OpenVPN 2.2.1 mipsel-linux [SSL] [LZO2] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jul 23 2011
Mon Jul 25 18:28:31 2011 us=178700 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Jul 25 18:28:31 2011 us=187586 WARNING: file '/var/usb/vpn/client1.key' is group or others accessible
Mon Jul 25 18:28:31 2011 us=196767 LZO compression initialized
Mon Jul 25 18:28:31 2011 us=198473 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Jul 25 18:28:31 2011 us=199265 Socket Buffers: R=[108544->131072] S=[108544->131072]
Mon Jul 25 18:28:31 2011 us=227283 Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Mon Jul 25 18:28:31 2011 us=227811 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Mon Jul 25 18:28:31 2011 us=228095 UDPv4 link local (bound): [undef]
Mon Jul 25 18:28:31 2011 us=228374 UDPv4 link remote: [AF_INET]80.136.166.24:1194
Mon Jul 25 18:28:31 2011 us=292004 read UDPv4 [EHOSTUNREACH]: No route to host (code=148)
Mon Jul 25 18:28:33 2011 us=468020 read UDPv4 [EHOSTUNREACH]: No route to host (code=148)
Mon Jul 25 18:28:37 2011 us=780391 read UDPv4 [EHOSTUNREACH]: No route to host (code=148)

Die Client Fritzbox ist praktisch identisch vorbereitet wie die Server Fritzbox, also auch ein startup.sh Script und ich versuche ein Tap0 zu bridgen.

Irgendwo steckt da nun der Wurm drinne und ich stehe gerade völlig auf dem Schlauch wo ich ansetzen soll. Für eine solche Verbindung (2 Netzwerke im gleichen Subnetz per Brdige) finden sich auch kaum HowTos, die meisten gehen von einzelnen Clients aus, jedenfalls habe ich die Konfigurationen oben zusammen gebaut aus diversen FAQ/HowTos/Blogeinträgen und die grundsätzliche Idee openvpn von einem USB-Stick zu laden funktioniert auch (im Gegensatz zu der Methode das alles von einem unsicheren Webserver zuziehen wie vom Tecchannel zum Beispiel vorgeschlagen), nur die OpenVPN Konfiguration und der letzte Kniff zum Bridging auf der Fritzbox bereitet mir Probleme.

Mal die Sammlung der Quellen:
- http://www.64k-tec.de/2010/02/fritzbox-tuning-part-2-access-your-home-network-with-openvpn/
- http://www.cswpro.de/Howto/FritzBox_OpenVPN.aspx
- http://www.wehavemorefun.de/fritzbox/OpenVPN
- http://wiki.ip-phone-forum.de/gateways:avm:howtos:modspenvpn
- HowTo/FAQ von der openvpn.net Seite selber

Ich wäre sehr dankbar wenn mir die gebündelte Kompetenz hier im Forum weiter helfen könnte.

Gruß

Grmpf

 

[sf3978]

... 2 Netzwerke sollen verbunden werden und dabei im gleichen Subnetz liegen ...

Welche 2 Netzwerke sind das? Um welches Subnetz geht es?

 

[Grmpf]

Beide Netzwerke verwenden IPs aus 192.168.0.xxx / 255.255.255.0, in der Grafik die ich angehangen hatte wirds hoffe ich deutlich.

Netzwerk 1 (Server Seite):
Fritzbox IP 192.168.0.200
Windows PC IP 192.168.0.10
Windows PC IP 192.168.0.11
Synology NAS IP 192.168.0 13
...

Netzwerk 2 (Client Seite):
Fritzbox IP 192.168.0.1
Windows PC IP 192.168.0.15
Windows PC IP 192.168.0.16
...

Zusätzlich wäre es noch schön wenn es einen DHCP Server geben würde für Smartphones (am besten auf beiden Seiten - die verbinden sich per "Fritz!App Fon" mit der jeweiligen Fritzbox). Die statischen IPs sind jeweils natürlich nur 1x vergeben.

 

[MaxMuster]

Wie hast du beim Server die Port-Weiterleitung gemacht?

 

[Grmpf]

Garnicht ... ich dachte das brauche ich nur wenn ich den Server auf einem PC hinter dem Router laufen lasse, damit die Pakete auf dem Router auch an den Server weitergereicht werden - wenn openvpn direkt auf dem Router läuft muss ich auch den 1194 weiterleiten ? Wie und wohin denn in meinem Fall (IP des Router ist auf der Serverseite ja 192.168.0.200).

 

[MaxMuster]

Du musst in der Serverbox den Port "auf sich selbst" (auf die IP 0.0.0.0) weiterleiten, sonst werden eingehende Pakete von der AVM-Firewall verworfen. Ohne Freetz ist es etwas schwieriger, weil du das in der ar7.cfg eintragen musst. Sollte aber auf der Wiki-Seite zu finden sein, in Abwandlung davon schlage ich vor, die "Pseudoregel" gleich von/auf Port 1194 zu machen, und in dieser Pseudoregel dann die "Ziel-IP" auf 0.0.0.0 zu ändern.

EDIT: Kurze Ergänzung
Also "Pseudoregel": UDP 1194 auf 192.168.0.123 Port 1194 für "OpenVPN"
Dann: OpenVPN suchen und 192.168.0.123:1194 ändern auf 0.0.0.0:1194
(löschen von Zeichen: "x" (ein "x" löscht Zeichen unter Cursor)
Eingeben von neuen Zeichen: "i" (nach "i" kann man neue Buchstaben eingeben)
Beenden des Eingabe-Modus: "ESC"
Beenden des vi mit speichern: ":wq" (mit "Doppelpunkt" für den Befehlsmodus)
Wenn was verkehrt ist, beenden _ohne_ speichern ":w!"


EDIT 2: Wenn du schon beim Editieren der ar7.cfg bist, musst du, damit das funktioniert, noch tap0 zur "lan"Brücke hinzufügen.
Zudem sollte eine Box dann kein DHCP sein, sonst wird es unübersichtlich.
Die IPs müssten dann statisch vergeben werden, mit "Gateway" die IP der jerweils "lokalen" FB

Jörg

 

[Grmpf]

Okay danke !

Nun habe ich die ar7.cfg entsprechend angepasst (Weiterleitung wie von Dir beschrieben und unter "brinterfaces" am Ende noch ","tap0"" vor dem Semikolon eingefügt) und dann wie im Wiki per ar7cfgchanged die Änderungen wirksam gemacht.

Die IPs sind alle statisch mit der lokalen Fritzbox als Gateway eingetragen und meine vpn.conf schaut nun so aus:

dev tap0
dev-node /var/tmp/tun
proto udp
port 1194
server-bridge 192.168.0.200 255.255.255.0 192.168.0.5 192.168.0.9
mode server
tls-server
client-to-client
ca /var/usb/vpn/ca.crt
cert /var/usb/vpn/server.crt
key /var/usb/vpn/server.key
dh /var/usb/vpn/dh1024.pem
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
verb 4
status /var/usb/vpn/openvpn-status.log
log-append  /var/usb/vpn/openvpn.log

und das log nach dem Start so:

Tue Jul 26 09:43:42 2011 us=576611 OpenVPN 2.2.1 mipsel-linux [SSL] [LZO2] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jul 23 2011
Tue Jul 26 09:43:42 2011 us=578015 NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Tue Jul 26 09:43:42 2011 us=579634 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Jul 26 09:43:42 2011 us=699890 Diffie-Hellman initialized with 1024 bit key
Tue Jul 26 09:43:42 2011 us=702739 WARNING: file '/var/usb/vpn/server.key' is group or others accessible
Tue Jul 26 09:43:42 2011 us=709573 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Jul 26 09:43:42 2011 us=710004 Socket Buffers: R=[108544->131072] S=[108544->131072]
Tue Jul 26 09:43:42 2011 us=733073 TUN/TAP device tap0 opened
Tue Jul 26 09:43:42 2011 us=733449 TUN/TAP TX queue length set to 100
Tue Jul 26 09:43:42 2011 us=734016 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Jul 26 09:43:42 2011 us=734304 UDPv4 link local (bound): [undef]
Tue Jul 26 09:43:42 2011 us=734546 UDPv4 link remote: [undef]
Tue Jul 26 09:43:42 2011 us=734792 MULTI: multi_init called, r=256 v=256
Tue Jul 26 09:43:42 2011 us=735230 IFCONFIG POOL: base=192.168.0.5 size=5, ipv6=0
Tue Jul 26 09:43:42 2011 us=736001 Initialization Sequence Completed

Was muss ich nun noch auf der Client Seite anpassen damit es läuft ? Im Gegensatz zum Wiki möchte ich ja dort IPs aus dem gleichen Netz verwenden und im Gegensatz zum Wiki habe ich in der vpn.conf auf der Serverseite ja "server-bridged" verwendet (das Wiki verwendet nur "server"). Muss ich dort nun auch auf der Client Seite die ar7cfg ändern? (auch hier wird ja eigentlich eine Bridge verwendet) Mein log auf der Serverseite schaut so aus nach dem Connect:

Tue Jul 26 09:45:21 2011 us=117890 MULTI: multi_create_instance called
Tue Jul 26 09:45:21 2011 us=118365 78.35.51.245:1194 Re-using SSL/TLS context
Tue Jul 26 09:45:21 2011 us=118803 78.35.51.245:1194 LZO compression initialized
Tue Jul 26 09:45:21 2011 us=120956 78.35.51.245:1194 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Jul 26 09:45:21 2011 us=121301 78.35.51.245:1194 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Jul 26 09:45:21 2011 us=121898 78.35.51.245:1194 TLS: Initial packet from [AF_INET]78.35.51.245:1194, sid=ff429711 a3733fca
Tue Jul 26 09:45:22 2011 us=515840 78.35.51.245:1194 VERIFY OK: depth=1, /C=DE/ST=NRW/L=XXXf/O=PrivatePerson/OU=ca/CN=ca/[email protected]
Tue Jul 26 09:45:22 2011 us=519911 78.35.51.245:1194 VERIFY OK: depth=0, /C=DE/ST=NRW/O=PrivatePerson/OU=ca/CN=client1/[email protected]
Tue Jul 26 09:45:22 2011 us=868787 78.35.51.245:1194 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jul 26 09:45:22 2011 us=869148 78.35.51.245:1194 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jul 26 09:45:22 2011 us=870107 78.35.51.245:1194 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jul 26 09:45:22 2011 us=870440 78.35.51.245:1194 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jul 26 09:45:22 2011 us=945229 78.35.51.245:1194 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Jul 26 09:45:22 2011 us=945709 78.35.51.245:1194 [client1] Peer Connection Initiated with [AF_INET]78.35.51.245:1194
Tue Jul 26 09:45:22 2011 us=946307 client1/78.35.51.245:1194 MULTI_sva: pool returned IPv4=192.168.0.5, IPv6=a80a:4100:b07e:5500:28f3:4100:b07e:5500

und auf der Client Seite:

Tue Jul 26 09:45:21 2011 us=23077 OpenVPN 2.2.1 mipsel-linux [SSL] [LZO2] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jul 23 2011
Tue Jul 26 09:45:21 2011 us=24073 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Jul 26 09:45:21 2011 us=33122 WARNING: file '/var/usb/vpn/client1.key' is group or others accessible
Tue Jul 26 09:45:21 2011 us=43290 LZO compression initialized
Tue Jul 26 09:45:21 2011 us=44995 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Jul 26 09:45:21 2011 us=46134 Socket Buffers: R=[108544->131072] S=[108544->131072]
Tue Jul 26 09:45:21 2011 us=76693 Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2)
Tue Jul 26 09:45:21 2011 us=77254 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Jul 26 09:45:21 2011 us=77539 UDPv4 link local (bound): [undef]
Tue Jul 26 09:45:21 2011 us=77989 UDPv4 link remote: [AF_INET]XXX.XXX.XXX.XXX:1194
Tue Jul 26 09:45:21 2011 us=151672 TLS: Initial packet from [AF_INET]XXX.XXX.XXX.XXX:1194, sid=5b05de9b 61f6382d
Tue Jul 26 09:45:21 2011 us=720775 VERIFY OK: depth=1, /C=DE/ST=NRW/L=XXX/O=PrivatePerson/OU=ca/CN=ca/[email protected]
Tue Jul 26 09:45:21 2011 us=724818 VERIFY OK: nsCertType=SERVER
Tue Jul 26 09:45:21 2011 us=725076 VERIFY OK: depth=0, /C=DE/ST=NRW/O=PrivatePerson/OU=ca/CN=server/[email protected]
Tue Jul 26 09:45:22 2011 us=906014 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jul 26 09:45:22 2011 us=906375 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jul 26 09:45:22 2011 us=907336 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jul 26 09:45:22 2011 us=907712 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jul 26 09:45:22 2011 us=910868 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Jul 26 09:45:22 2011 us=911390 [server] Peer Connection Initiated with [AF_INET]XXX.XXX.XXX.XXX:1194
Tue Jul 26 09:45:23 2011 us=943815 Initialization Sequence Completed

Ping von einer Seite geht nicht durch weder von der Client noch der Server Seite aus.

 

[MaxMuster]

Sicher, dass Serverkonfig und Log zueinander gehören? Dort steht nix von “lzo“, so wie beim Client, wo es wie in der Konfig gefordert “initialisiert“ wurde...

EDIT:
Alles zurück, hab es nicht ganz gelesen, schaue nochmal drüber...

 

[Grmpf]

Ja die passen zusammen, ich glaube ich habe Dich verwirrt weil ich das Server Log zweigeteilt hatte, einmal vor dem Connect des Clients und dann die zweite Hälfte nach dem Connect, dort steht auch "Tue Jul 26 09:45:21 2011 us=118803 78.35.51.245:1194 LZO compression initialized" drinne. Sprich die ersten beiden Logs sind beide vom Server und gehören hintereinander und das letzte log ist die Client Seite.

 

[MaxMuster]

Muss ich dort nun auch auf der Client Seite die ar7cfg ändern? (auch hier wird ja eigentlich eine Bridge verwendet)

Ja, du musst auf beiden Seiten das TAP mit in die Brücke einfügen, also auch noch beim Client. Sonst hast du zweimal das gleiche IP-Netz auf verschiedenen, nicht verbundenen Interfaces.
Wenn es dann noch Probleme gibt, mach nach dem Pin mal ein "arp -an" auf den Boxen, da sollte ein Zuordnung der IP zu MAC-Adresse des anderen tap-Interfaces sein.

Jörg

 

[Grmpf]

So ich bin dank euch einen großen Schritt weiter - Ping von der Clientseite aus geht (an alle im Servernetzwerk befindlichen IPs), aber von der Serverseite aus geht kein Ping auf die Clientseite rüber (weder auf die Fritzbox auf der Clientseite noch an einen PC dahinter). "arp" findet er nicht auf der Fritzbox (ist sicher in freetz oder ?), daher kann ich damit leider nichts überprüfen.

Meine Knackpunkte in den Konfigurationsdateien sind einmal das "server-bridge", wo ich irgendeinen IP-Bereich am Ende definiere (der für die Clientseite gilt ?), was macht der ? Ist das die IP der Fritzbox auf der Clientseite, der PCs dahinter, oder ist der "egal" ?

UPDATE: Ich habe die Zeile in "server-bridge 192.168.0.200 255.255.255.0 192.168.0.1 192.168.0.1" geändert und nun funktioniert es ... Hurra ! DHCP Server ist nun auch aus, muss ich nur noch per "Wifi Static" auf den Android Telefonen je nach WLAN die Einstellungen umschalten.

Vielen lieben Dank für die Hilfe und Mühe hier ! Ich hoffe nun läufts glatt mit dem VPN ;-)

Gruß

Grmpf

 

[Grmpf]

Ohhh nun taucht doch noch ein Problem auf - die Fritzboxen rebooten im Minutentakt (naja alle paar Minuten). Nach etwas Sucherei habe ich folgenden Thread gefunden: Kernel Bug mit openvpn und tatsächlich wenn ich in der Fritzbox GUI das WLAN auf beiden Seiten ausschalte (eine Seite alleine habe ich nicht probiert bisher) bleiben die Fritzboxen stabil und die VPN hält die Verbindung.

So ohne WLAN ist allerdings etwas "doof", daher die Frage kann ich irgendwie das WLAN "abkoppeln" vom VPN - keines der Geräte im WLAN (im Grunde nur Smartphones) benötigt das VPN, sondern nur "lokalen" Internetzugriff und würde das das Problem lösen ? Bzw gibt es seit kurzer Zeit die 54/74.05.05 Firmware (ich habe die 74.04.88 drauf), würde die eine Lösung bringen (und würde meine OpenVPN Version damit auch laufen, oder muss die neu kompiliert werden ?) ? Ansonsten müsste ich im Keller mal nach den guten alten WAP54G suchen, da bliebe die Frage ob die Fritz!App Fon auch über diesen Umweg mit der Fritzbox sprechen mag... würde dann eine Bastelei für die nächsten Tage und natürlich wäre mir eine Fritzbox "interne" Lösung lieber.

Gruß

Grmpf

 

[finreg]

ich habe hier eine 6320 (server) mit einer 7170 (client1) per bridge gekoppelt.
Konfigs siehe

http://www.ip-phone-forum.de/showthread.php?t=237574

Cave: unterschiedliche openvpn binarys sind nötig für 7170 und 6230.

Gruß
finreg