OpenVPN + FB7050 als Server?

[Hasenmelker]

Hallo...

habe mich schon ein wenig eingelesen und umhergeschaut. ABER, ich bin noch zu keiner zufriedenstellenden Antwort gekommen:

FB7050 soll mit OpenVPN als Server bestückt werden. Der Zugriff von aussen dann über meinen WinXP Laptop. Gibt eine eine stabile Lösung? Die eigentlichen Funktionen der FB sollen zudem erhalten bleiben.

Hintergrund: Ich möchte eine sichere Verbindung von einem fremden WLAN/ Lan auf meine NAS und DVR daheim aufbauen. Beide bieten kein VPN/ FTP.

Bye

 

[MaxMuster]

Hallo,

es gibt zwei Möglichkeiten: Eine modifizierte Firmware mit ds-mod/freetz. Ob openvpn in die "enge" 7050-er FW passt kann ich nicht sagen; könnte sein, dass es nicht geht.
Die "Nachlade-Methode" (z.B. von www.the-construct.com).

Ist beides im Wiki ganz gut beschrieben.

Jörg

 

[Hasenmelker]

Hallo...

habe mich heute mir der Anleitung von Tecchannel auseinandergesetzt und mein Bestes gegeben. Habe die Datei soweit fertig und in das tmp-Verzeichnis hochgeladen. Dann rüberkopiert in das flash-Verzeichnis und die Bos neu gestartet. Nachdem reboot jedoch, ist die Datei im flash auf 0 Kb und nachdem Befehl "ps" steht nichts in der Liste was eigentlich stehen soll.

Geht die Anleitung überhaupt noch? Soll ich mal meine debug-Datei einfügen? Oder habe ich einen fehler gemacht?

Bye

 

[MaxMuster]

Wie es mit der "Tecchannel"-Variante im Moment weiß ich nicht, die von "www.the-construct.com" sollte auf jeden Fall noch gehen.

Wenn du den Inhalt der debug.cfg postest, könnte man mal drübersehen...

Jörg

 

[Hasenmelker]

Hallo

Habe leider keinen Webserver...

Bye

 

[MaxMuster]

... nur den Inhalt der Datei, die du auf die Box geladen hast, hier anhängen, meinte ich...

Ansonsten doch mal den anderen Weg probieren, das "Pseudoupdate" nimmt dir das ganze Kopieren ab.

Jörg

 

[Hasenmelker]

Sorry...habe ich vorhin überlesen. Hier der Inhalt:

# # # # # # # # # Start des telnet-daemons
/usr/sbin/telnetd -l /sbin/ar7login


while !(ping -c 1 [url]www.tecchannel.de);[/url] do
sleep 7
done


# # # # # # # # # Installation FTP-Server
cd /var/tmp
wget [url]http://www.tecchannel.de/download/432803/bftpd.conf[/url]
wget [url]http://www.tecchannel.de/download/432803/bftpd[/url]
chmod +x bftpd
chmod 777 bftpd.conf

# Hier den Usernamen und den Passwort-Hash für den FTP-Server eintragen
echo "von mir geändert:0:0:root:/:null" >> /var/tmp/passwd
/var/tmp/bftpd -d -c /var/tmp/bftpd.conf


# set hostname to fritz.box
hostname fritz.box

# load VPN-Server (OpenVPN)


# change dir
cd /var/tmp

# write 'secret.key' to file
cat > /var/tmp/secret.key << 'ENDSECRETKEY'
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
von mit entfernt
-----END OpenVPN Static key V1-----

ENDSECRETKEY

# write 'server.ovpn' to file
cat > /var/tmp/server.ovpn << 'END-SERVER-OVPN'
#
dev tun0
dev-node /dev/misc/net/tun
ifconfig 192.168.36.2 192.168.36.1
tun-mtu 1500
float
mssfix

#Pfad zum Key File
secret /var/tmp/secret.key

#Protokoll auf TCP und Port 1194
proto tcp-server
port 1194

#Protokollierung auf 4
verb 4

#daemon

#Routen setzen, bei route Subnetz des Clients eintragen
route 192.168.1.0 255.255.255.0

#Verbindung erhalten
ping 15
ping-restart 120


END-SERVER-OVPN

# load files
wget [url]http://www.tecchannel.de/download/435560/openvpn[/url]


# make them executable
chmod +x /var/tmp/openvpn
chmod 0600 /var/tmp/server.ovpn
chmod 0600 /var/tmp/secret.key

# start OpenVPN
./openvpn --config ./server.ovpn &

 

[MaxMuster]

Sieht doch auf den ersten Blick o.k. aus. Was sagt denn ein "cat /var/flash/debug.cfg"? Ist da alles drin? Ansonsten müsstest du das ganze am besten nochmal auch mit "cat" in die Datei schreiben:

Inhalt nach /var/tmp und dann "cat /var/tmp/<Datei> > /var/flash/debug.cfg". Dann wie oben nochmal prüfen, ob es auch drinsteht.

Nach einem Neustart müssten diese Dateien existieren:

/var/tmp/openvpn
/var/tmp/secret.key
/var/tmp/server.ovpn

Wenn du dann das openvpn nicht im "ps" siehst, von Hand starten und sehen, welche Fehlermeldung eventuell kommt:

cd /var/tmp
./openvpn --config ./server.ovpn

Zwei mögliche Fehler:

1. Das Programm passt nicht zur Box (Fehlermeldung: "can't resolve symbol '__uClibc_start_main") -> Nimm the-construct !

2. Dir fehlt das tun-Device (Fehlermeldung: "Cannot open TUN/TAP dev /dev/misc/net/tun: No such file or directory ..."
Abhilfe in debug.cfg wie folgt ergänzen/ändern:

# set hostname to fritz.box
hostname fritz.box

# load VPN-Server (OpenVPN)
[B]
# 
# tun-device anlegen
mknod /var/tmp/tun c 10 200
[/B]
(....)
# write 'server.ovpn' to file
cat > /var/tmp/server.ovpn << 'END-SERVER-OVPN'
#
dev tun0
[B]dev-node /var/tmp/tun[/B]
ifconfig 192.168.36.2 192.168.36.1
tun-mtu 1500
(....)

Jörg

 

[Hasenmelker]

Hallo...

ich Danke Dir schonmal für die Mühen!!!!!!!!!!!!!!!!!

Habe "The Contruct" versucht aufzuspielen. Bin aber nicht weit gekommen:

"Das Firmware-Update ist fehlgeschlagen: Es trat ein nicht näher spezifizierter Fehler während des Updates auf"

Habe zwar eben schonmal schnell gesucht aber noch nichts gefunden. Werde morgen nachmittag weitermachen. Für heute reichts erstmal...

Bye

 

[MaxMuster]

... eine Fehlermeldung "am Ende" (also "nach" dem Pseudo-Update) ist o.k., damit sollte das schon erledigt sein.
Grund:alle Updates geben einen "Status" zurück, hier ein "Fehler", denn ohne Fehler würde die Box sofort einen Reboot machen und den Zeitpunkt sollst du selbst besimmen können....

Jörg

 

[Hasenmelker]

Welche Dateien sollte ich denn dann wo finden?? Funktionieren tut es nämlich nicht.

Kannst Du mir noch einen Tipp geben, wie ich den FTP fest verankern kann? Habe ihn nun im tmp. Aber nach jeden neustart ist er logischerweise weg. Komme mit den Befehlen noch nicht so richtig zurecht!

Bye

 

[MaxMuster]

Erstmal wäre die Frage, ob die debug.cfg korrekt ist ("cat /var/flash/debug.cfg").

Fest einbauen kannst du Teile (wie FTP) nur über eine geänderte Firmware...

Jörg

 

[Hasenmelker]

Sieht doch auf den ersten Blick o.k. aus. Was sagt denn ein "cat /var/flash/debug.cfg"? Ist da alles drin? Ansonsten müsstest du das ganze am besten nochmal auch mit "cat" in die Datei schreiben:

Inhalt nach /var/tmp und dann "cat /var/tmp/<Datei> > /var/flash/debug.cfg". Dann wie oben nochmal prüfen, ob es auch drinsteht.

Nach einem Neustart müssten diese Dateien existieren:

/var/tmp/openvpn
/var/tmp/secret.key
/var/tmp/server.ovpn

Jörg

Sooo,
diese Dateien habe ich per Telnet auch gefunden/ sie werden mir angezeigt. Sollte es somit funktionieren??

Jedoch wird der Dienst anscheinend nicht gestartet:

# ps
  PID  Uid     VmSize Stat Command
    1 root        336 S   init
    2 root            SWN [ksoftirqd/0]
    3 root            SW< [events/0]
    4 root            SW< [khelper]
    5 root            SW< [kthread]
    6 root            SW< [kblockd/0]
   23 root            SW< [pdflush]
   24 root            SW< [pdflush]
   26 root            SW< [aio/0]
   25 root            SW  [kswapd0]
   62 root            SW  [pm_info]
   70 root            SW  [mtdblockd]
   96 root            SW  [tffsd_mtd_0]
  340 root            SW< [capi_oslib]
  341 root            SW< [capi_oslib]
  342 root            SW  [ubik2_tx[8]]
  343 root            SW  [capitransp]
  389 root       1860 S N ctlmgr
  411 root        472 S   wpa_authenticator
  422 root        976 S   usermand
  434 root        956 R N websrv
  439 root       1324 S   igdd
  441 root        956 S N websrv
  442 root        956 S N websrv
  443 root        956 S N websrv
  448 root       1288 S   multid
  456 root       1264 S   dsld -i -n
  470 root       1108 S   telefon a127.0.0.1
  475 root        304 S   telnetd -l /sbin/ar7login
  476 root        432 S   -sh
  478 root       1560 S < voipd
  487 root        192 S   /bin/run_clock -c /dev/tffs -d
  494 root        624 S   capiotcp_server -p5031 -m1
  526 root       1324 S   igdd
  527 root       1324 S   igdd
  528 root       1324 S   igdd
  601 root            RWN [kdsld_token]
  618 root        336 S   init
  621 root        360 R   ps
#

cat /var/flash/debug.cfg

da ist alle so vorhanden wie es sein soll. Nur wenn ich das richtig überblicke, soll ja der ftp auch mit gestartet werden. Klappt aber auch nicht. Also muss die Box auf die Datei nicht zugreifen oder sie ist nicht so wie sie sein soll...

Wenn ich das hier mache:

./openvpn --config ./server.ovpn

kommt das: can-t resolve symbol ´__uCLibc_start_main`

Werde nun nochmals "The Contruct" versuchen...

Edit: Habe es versucht, aber das Gefühl das die alten Daten immer noch auf der FB sind. Trotzdessen ist versucht habe diese zu löschen......

Bye

 

[Hasenmelker]

So Schnauze voll. Nun habe ich alles wieder runtergeschmissen. Werde mich wohl die Tage nochmal ransetzen. So ein gammel...

bye

 

[MaxMuster]

Hi,

eigentlich sollten alle Dateien nur flüchtig im Speicher sein und nach einem Reboot nicht mehr da sein.

Du solltest vielleicht wirklich nochmal komplett neu anfangen und bei "the-construct" drauf achten, dass du da beim Erstellen wählst "Ich möchte bereits installierte Mods nicht behalten."

Das wird schon ;-)

Jörg

 

[Hasenmelker]

Hallo...

das habe ich versucht. Vielmehr habe ich erstmal versucht die alte "Debug.cgf" über The-Contruct" runterzuschmeissen. Das interessante war jedoch das, nach dem Reboot, die Dateien: openvpn, secret.key und server.opnv immer noch im tmp vorhanden waren...

Habe dann gestern Abend die AVM-Recover.exe rüberlaufen lassen. So war erstmal alles weg was auch weg sollte. Versuche nun morgen vormittag nochmals mein Glück.


Kann ich eigentlich, zum testen: Das ganze erstmal intern im LAN versuchen? Notfalls trotzdem mit meine DYNDNS-Adresse? Und muss ist den UDP-Port die der FB freigeben? Wenn ja an die IP der FB?

Ich habe auch noch das Problem mit der Bearbeitung der Client und Server.ovpn. Gibt es im Board eine gute, einfache und kurze Anleitung? Wo muss welche IP hin, welcher Punkt steht für was... Das habe ich bislang noch nicht finden können.

Bye

 

[MaxMuster]

... ja, du kannst das auch im LAN testen, mit gewissen Einschränkungen:
Es gibt bei openvpn ja den "Tunnel-" und "Brücken-Modus", mit dem letzteren wirst du intern nicht komplett arbeiten können.

Als Einstieg ein einfaches Beispiel findet sich z.B. direkt bei openvpn.net als "mini-Example", was abgewandelt für die Box so aussähe:

dev tun
dev-node /var/tmp/tun
ifconfig 10.8.0.1 10.8.0.2
secret /var/tmp/secret.key

Das entsprechende Client configuration file

remote myremote.mydomain
dev tun
ifconfig 10.8.0.2 10.8.0.1
#route 192.168.178.0 255.255.255.0
secret static.key

Statt "myremote.mydomain" die dyndns-Adresse eintragen, eventuell das Netz hinter dem "route" Befehl an dein Netz anpassen, das wars (den Part mit "route" nur nutzen, wenn du "von aussen" kommst, intern nicht, deshalb ist der auskommentiert). Der Client sollte sich dann mit der Box verbinden und die "neue" IP 10.8.0.2 bekommen, die Box die 10.8.0.1. Mit Ping 10.8.0.1 kannst du die Verbindung dann vom Client aus testen.


Die Freigabe des Ports ist auf jeden Fall erforderlich, wenn du von außen zugreifen willst. Wenn du dir zusätzlich bei der Pseudofirmware eine virtuelle Netzwerkkarte wählst ("Virtuelle Netzwerkkarte einrichten"), geht das auch über die normale "Portweiterleitungs-GUI", indem du UDP Port 1194 auf die 192.168.178.253 weiterleitest (die virtuelle IP ist bei the-construct immer 192.168.178.253)

Jörg

 

[Hasenmelker]

Hallo...

das "ifconfig" ist quasi die IP des VPN Servers in der FB.

die #route beim Client...wofür ist die? Für die virtuelle Netzwerkkarte in der FB?
Wozu dient die virtuelle Netzwerkkarte?

Bye

 

[MaxMuster]

Hi,

- ifconfig gibt dem VPN-Interfaces die IP (hier ist es eine "point-to-Point" IP, die erste ist die Lokale, die zweite die bei der Gegenstelle)

- der "route <Netz> <Maske>" Befehl schickt dieses Netz "auf die andere Seite" des VPN. Da käme in deinem Fall das Netz rein, in dem die Geräte sind, die du erreichen willst (also dein LAN). Das ist mit dem "#" auskommentiert, weil das für eine "interne Verbindung" aus dem LAN zur Box Probleme macht, weil dein LAN dann zweimal erreichbar wäre: direkt und über den VPN-Tunnel, was aber so nicht gewollt ist. Bei einer "externen Verbindung" wird das Kommentarzeichen entfernt und der Client weiß dann, dass er das LAN an der Fritzbox über das VPN erreichen kann.

- Die virtuelle Netzwerkkarte wird für "einfaches" Portweiterleiten benötigt: Die Fritzbox lässt es im Webinterface nicht zu, dass eine Weiterleitung auf die Box selbst gemacht wird. Diese Einschränkung kann man umgehen, indem man der Box eine zusätzliche IP vergibt, und diese als Weiterleitungsziel einträgt. (Die Alternative ist, dieses in der Datei /var/flash/ar7.cfg einzutragen, was deutlich aufwändiger und fehlerträchtiger ist).

Jörg

 

[Hasenmelker]

Hi,



- der "route <Netz> <Maske>" Befehl schickt dieses Netz "auf die andere Seite" des VPN. Da käme in deinem Fall das Netz rein, in dem die Geräte sind, die du erreichen willst (also dein LAN). Das ist mit dem "#" auskommentiert, weil das für eine "interne Verbindung" aus dem LAN zur Box Probleme macht, weil dein LAN dann zweimal erreichbar wäre: direkt und über den VPN-Tunnel, was aber so nicht gewollt ist. Bei einer "externen Verbindung" wird das Kommentarzeichen entfernt und der Client weiß dann, dass er das LAN an der Fritzbox über das VPN erreichen kann.

Jörg

Moin...

Also wenn ich dann später, vom Internet, meine NAS erreichen möchte trage ich dort die IP ein.

Kann ich denn auch generell alle Geräte auf dem Internet, daheim, im Lan erreichen?

Bye