Openvpn netz nurvon box erreichbar

[Mysterious]

Hallo,

ich habe hier ein Problem mit aktuellem freetz auf ner avm 7170. Die OpenVPN Verbindung steht und über den telnetzugang kann ich von der box aufs entfernte netz zugreifen ping, telnet,etc.. von meinen client pc´s im lan hinter dieser 7170 komme ich abernicht auf das per vpn angebundene netz. Muss hier noch etwas an den iptables oder ähnlichem geändert werden? Routingeinträge auf der Box zum entfernten Netz sind da. Wie geagt direkt on der Box aus klappt alles aber nicht von den PC´s im LAN. Das ganze st mit per TUN Device eingebunden und mit client und serverzertifikaten. OB ich unter freetz "LAN bridgen" anhake oder nicht macht ledier keinen unterschied.

Vielen Dank für hilfreiche Hinweise da eine Forensuche mich nicht weiterbrachte.

Grüße

Mysterious

 

[RalfFriedl]

Vermutlich trotzdem ein Routing-Problem.
Die Routing-Tabellen müssen auf dem lokalen Rechner, dem lokalen Router, dem entfernten Router und dem entfernten Rechner stimmen.
Das Programm tcpdump ist für solche Probleme sehr nützlich. Du solltest es erstellen und auf die Box bringen (ob Image, external oder einfach ins RAM). Damit kannst Du verfolgen, wo Pakete noch ankommen und wo nicht mehr.

 

[Mysterious]

Ok, klar das kann ich machen. Denke das es ein Problem auf der Box ist da ich vom Entfernten Netz die Box pingen kann, und von der Box das entfernte Netz. Nut aus dem eigenen Netz geht es nicht Richtung entferntes Netz. Mir ist eingefallen das mein Uplink nicht auf dem DSL-Port hängt sondern über LAN1 per IP-Client mit DHCP realisiert ist. evtl ist in der Standart-Freetz Config bei den Routing Tabellen nur der DSL-Port vorgesehen als Uplink?? Wo sind denn die Routing Regeln definiert in der Fritzbox? iptables ist es ja scheinbar nicht soweit ich gestern mal gesehen hab.

 

[sf3978]

[...]Wo sind denn die Routing Regeln definiert in der Fritzbox? iptables ist es ja scheinbar nicht soweit ich gestern mal gesehen hab.

Schau dir die Ausgabe von "route" auf der Box an.

 

[Mysterious]

Das habe ich bereits gemacht und alle Routingeinträge ins VPN-Netz sind vorhanden mit korrektem gateway. Daher war meine Frage ob es noch einen IP-Filter auf der Box gibt den ich anpassen muss oder es wirklich mit den Routing Einträge getan ist sofern nur das openvpn paket zusätzlich auf der box ist und keine avm firewall oder ähnliches. Kann leider erst heute abend testen daher versuch ich möglichst viele Anhaltspunkte hier zu bekommen wo ich mich heute abend in Ruhe entlang hangeln kann auf der cli der box. Im Bereich Routing bin ich meines Erachtens fit aber das ist leider meine erste gefreezte fritzbox und der erste Ausflug auf die CLI der box.

Noch ne Frage, welches sind die relevanten Dateien für das Routing bzw IP-Filter in der Box und wo liegen Sie? Alles in der ar7.conf?

 

[sf3978]

Das habe ich bereits gemacht und ...

Dann solltest Du mal genau schreiben was Du schon gemacht hast und was Du noch nicht gemacht hast.

... auf der box ist und keine avm firewall oder ähnliches.

Ich denke schon, dass Du eine AVM-Firewall auf der Box hast.

 

[Mysterious]

Ok, habe nun einen Fernzugriff auf die Box und kann testen.

Also: hier der Aufbau:

Mein Netzwerk Netz: 192.168.250.0/24
Entferntes Netz: 192.168.71.0/24
VPN-Zwischennetz auf entferntem VPN-Server(Astaro Firewall): 10.242.2.0

Aufgespielt habe ich freetz und das openvpn paket, ansonsten nichts. Anschließend über die freetz GUI OpenVPN Konfiguriert. Tunnel steht und ich kann, wenn ich mich per telnet auf meiner Fritzbox einlogge (192.168.250.1) die Firewall (192.168.71.1) oder auch einen CLinet PC (192.168.71.x) pingen. Von einen an der Fritzbox angeschlossenen PC (LAN2) klappt der Ping nicht (Firewall etc ist aus auf dem Client-PC).

Hier mal die Ausgabe von Route:

/var/mod/root # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Ifac
192.168.180.1 * 255.255.255.255 UH 2 0 0 dsl
10.242.2.9 * 255.255.255.255 UH 0 0 0 tun0
192.168.180.2 * 255.255.255.255 UH 2 0 0 dsl
10.242.2.1 10.242.2.9 255.255.255.255 UGH 0 0 0 tun0
192.168.71.0 10.242.2.9 255.255.255.0 UG 0 0 0 tun0
192.168.200.0 * 255.255.255.0 U 2 0 0 dsl
192.168.250.0 * 255.255.255.0 U 0 0 0 lan
169.254.0.0 * 255.255.0.0 U 0 0 0 lan
default * 0.0.0.0 U 2 0 0 dsl

192.168.200.0/24 ist das Netz von LAN1 was als Uplink ins Internet dient.

 

[MaxMuster]

Denke das es ein Problem auf der Box ist da ich vom Entfernten Netz die Box pingen kann, und von der Box das entfernte Netz.

Wie kannst du die Box denn aus dem entfernten Netz erreichen? Mit ihrer LAN-IP (192.168.250.1)? Denn dein "Test", von der Box in das andere Netz (192.168.71.0/24) macht die Box mit der Source-IP vom Tunnel, also 10.242.2.x.
Meine erste Frage/Vermutung: Auf der Gegenseite, bei der Astaro, ist da auch das Netz 192.168.250.0/24 zur VPN-IP der Box geroutet?

Wie kommt es, dass die Route für das 71-er Netz nicht nur über den Tunnel, sondern auch zum Internet/DSL geroutet wird??

192.168.71.0 10.242.2.9 255.255.255.0 UG 0 0 0 tun0
192.168.71.0 10.242.2.9 255.255.255.0 UG 0 0 0 dsl

Jörg

 

[Mysterious]

Das mit dem Routing der Astaro muss ich klären wie weit dort eine Route zum 192.168.250.0 Netz existiert. Warte grad noch auf den Rückruf des Admins der Astaro.

Dieser Eintrag :192.168.71.0 10.242.2.9 255.255.255.0 UG 0 0 0 dsl

kam daher das ich in der Fritzbox eine IP-Route definiert hatte für das NEtz zum testen. Ist aber inzwischen entfernt aber hat keine Effekt. Habe den letzen Beitrag daher editiert.

 

[MaxMuster]

O.k., wenn der Admin heute arbeitet
Der "richtige" Test ist, ob du aus dem Netz hinter der Astaro die Box unter 192.168.250.1 erreichen kannst. Wenn auf den Clients keine Firewall dazwischen haut, sollte, wenn das geht, auch das ganze Netz 192.168.250.0/24 erreichbar sein.

Jör

 

[Mysterious]

Ok, nachdem ich das Routing auf der Astaro Seite korrigiert habe bzw der Admin der Astaro klapp es nun. Die Astaro verlangt für site2site ssl vpn allerdings noch username und passwort zusätzlich zu den zertifikaten. habe das nun in einem file auf der box hinterlegt unter /var/... allerdings löscht er mir das file nach dem reboot da nur tmpfs. Wo ist denn auf der Box ein sinnvoller bereich um eine Datei dauerhaft zu speichern wo sie auf nen reboot überlebt?

Falls jemnd mal den Fall aht mit Astaro und Openvpn zu koppeln kann ich denke ich nun helfen da das alles bissl speziell ist.

 

[sf3978]

[...]... allerdings löscht er mir das file nach dem reboot da nur tmpfs. Wo ist denn auf der Box ein sinnvoller bereich um eine Datei dauerhaft zu speichern wo sie auf nen reboot überlebt?

Je nach dem zu welchem Zeitpunkt die Daten in dem file nach einem reboot zur Verfügung stehn sollen, z. B. auf dem USB-Stick oder im Verzeichnis "/var/tmp/flash/mod" auf der Box.

 

[MaxMuster]

Was genau brauchst du denn für die Verbindung zur Astaro "anders", im Gegensatz zu der erzeugten GUI?
Muss etwas raus oder reichen zusätzliche Einträge (vermutlich schonmal "auth-user-pass"?)? Sowas kannst du auch relativ einfach in die von der GUI erzeugte Config einbringen: Expertenmodus wählen und den zusätzlichen Befehl (oder die Befehle mit Semikolon getrennt) in die Extra-Zeile eingeben.


Jörg