OpenVPN-Paket

[MaxMuster]

Die wichtigste Info wäre die Config des Servers. Ist dort auch die Route für 192.168.10.0/24?
Denk auch dran, dass eine "Multi-Client-Lösung" nur mit Zertifikaten funktioniert und dann für Netze beim Client nicht nur der "route"- sondern auch der "iroute"-Eintrag zu einem bestimmten Client erforderlich ist.

 

[MysticJay2]

Re: Mit OpenVPN eine Aussenstelle anbinden

Danke für die schnelle Reaktion...
Multi-Client will ich ja gerade nicht. denn da stehen auch Drucker die erreicht werden müssen.
heißt das nicht bridge mode?

Die server.ovpn (links)

proto udp
remote 5.5.5.5 #rechts
rport 1200
local 4.4.4.4 #links
lport 1200
dev tun7
ifconfig 192.168.7.1 192.168.7.2
secret client.key
verb 3
cipher BF-CBC
auth SHA1
daemon
mlock
comp-lzo
comp-noadapt
keepalive 10 60
ping-timer-rem
passtos
mtu-test
route-up "/usr/local/bin/openvpnroute 7"

**************

in route-up werden 192.168.10.0/24 und 192.168.178.0/24 mit
"ip route add .." gesetzt. Die Seite dürfte OK sein. Wie gesagt, ich vermute der UDP-connect kommt schon gar nicht an...

irgendwo muss ich doch den 1200 öffnen?!

Gruß
Mystic

 

[MaxMuster]

Trag mal auf beiden Seiten (oder keiner) "comp-lzo" ein.

Sehe gerade: Der Server hat je auch eine Client-Config ("remote xy"). Du musst schon einen Server haben ;-)

 

[MysticJay2]

Hi,
sowohl man-page als auch die examples geben für "remote" was anderes an.

http://openvpn.net/index.php/open-source/documentation/manuals/65-openvpn-20x-manpage.html#lbBA

hier logs, netstat und route während die FB es versucht..

ovpn.log
-------------
Mon Mar  3 08:23:32 2014 us=851643 WARNING: file '/var/tmp/client.key' is group or others accessible
Mon Mar  3 08:23:32 2014 us=853141 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Mar  3 08:23:32 2014 us=854321 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Mar  3 08:23:32 2014 us=856015 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Mar  3 08:23:32 2014 us=857101 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Mar  3 08:23:32 2014 us=858536 Socket Buffers: R=[204800->131072] S=[204800->131072]
Mon Mar  3 08:23:32 2014 us=881563 TUN/TAP device tun0 opened
Mon Mar  3 08:23:32 2014 us=882454 TUN/TAP TX queue length set to 100
Mon Mar  3 08:23:32 2014 us=884299 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Mar  3 08:23:32 2014 us=885283 /sbin/ifconfig tun0 192.168.7.2 pointopoint 192.168.7.1 mtu 1500
Mon Mar  3 08:23:32 2014 us=902450 /sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.7.1
Mon Mar  3 08:23:32 2014 us=910730 Data Channel MTU parms [ L:1548 D:1350 EF:48 EB:4 ET:0 EL:0 ]
Mon Mar  3 08:23:32 2014 us=912099 Fragmentation MTU parms [ L:1548 D:1400 EF:48 EB:4 ET:0 EL:0 ]
Mon Mar  3 08:23:32 2014 us=912935 UDPv4 link local (bound): [undef]
Mon Mar  3 08:23:32 2014 us=913927 UDPv4 link remote: [AF_INET]4.4.4.4:1200
Mon Mar  3 08:23:34 2014 us=78617 FRAG_IN error flags=0xfa2a187b: FRAG_TEST not implemented
Mon Mar  3 08:23:34 2014 us=79324 FRAG_IN error flags=0xfa287f34: spurrious FRAG_WHOLE flags
... (2 lines repeated )
Mon Mar  3 08:27:35 2014 us=815451 FRAG_IN error flags=0xfa2a187b: FRAG_TEST not implemented
Mon Mar  3 08:27:35 2014 us=815941 FRAG_IN error flags=0xfa287f34: spurrious FRAG_WHOLE flags
Mon Mar  3 08:27:42 2014 us=293583 Inactivity timeout (--ping-restart), restarting
Mon Mar  3 08:27:42 2014 us=294012 TCP/UDP: Closing socket
Mon Mar  3 08:27:42 2014 us=294459 /sbin/route del -net 192.168.0.0 netmask 255.255.255.0
Mon Mar  3 08:27:42 2014 us=301866 Closing TUN/TAP interface
Mon Mar  3 08:27:42 2014 us=303384 /sbin/ifconfig tun0 0.0.0.0
Mon Mar  3 08:27:42 2014 us=344028 SIGUSR1[soft,ping-restart] received, process restarting
Mon Mar  3 08:27:42 2014 us=345206 Restart pause, 2 second(s)
----------


# busybox route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.7.1     *               255.255.255.255 UH    0      0        0 tun0
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
5.5.5.5         *               255.255.255.255 UH    2      0        0 dsl
217.237.151.205 *               255.255.255.255 UH    2      0        0 dsl
217.237.150.115 *               255.255.255.255 UH    2      0        0 dsl
192.168.0.0     192.168.7.1     255.255.255.0   UG    0      0        0 tun0
192.168.179.0   *               255.255.255.0   U     0      0        0 guest
192.168.10.0    *               255.255.255.0   U     0      0        0 lan
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:51111           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:51112           0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:1011          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:8888          0.0.0.0:*               LISTEN
tcp        0      0 192.168.10.239:22       192.168.10.1:49675      ESTABLISHED
tcp        0      0 127.0.0.1:1011          127.0.0.1:59663         ESTABLISHED
tcp        0      0 192.168.10.239:22       192.168.10.1:49326      ESTABLISHED
tcp        0      0 127.0.0.1:59663         127.0.0.1:1011          ESTABLISHED
tcp        0      0 192.168.10.239:22       192.168.10.1:62048      ESTABLISHED
udp        0      0 192.168.10.239:137      0.0.0.0:*
udp        0      0 169.254.1.1:137         0.0.0.0:*
udp        0      0 0.0.0.0:137             0.0.0.0:*
udp        0      0 192.168.10.239:138      0.0.0.0:*
udp        0      0 169.254.1.1:138         0.0.0.0:*
udp        0      0 0.0.0.0:138             0.0.0.0:*
udp        0      0 192.168.10.239:41631    0.0.0.0:*
udp        0      0 192.168.10.239:58283    0.0.0.0:*
udp        0      0 0.0.0.0:1200            0.0.0.0:*
udp        0      0 127.0.0.1:323           0.0.0.0:*
udp        0      0 0.0.0.0:67              0.0.0.0:*
udp        0      0 0.0.0.0:1900            0.0.0.0:*
udp        0      0 192.168.10.239:1900     0.0.0.0:*
udp        0      0 192.168.10.239:1900     0.0.0.0:*
udp        0      0 0.0.0.0:1900            0.0.0.0:*
udp        0      0 192.168.10.239:1900     0.0.0.0:*
udp        0      0 0.0.0.0:1900            0.0.0.0:*
udp        0      0 0.0.0.0:123             0.0.0.0:*
raw        0      0 0.0.0.0:2               0.0.0.0:*               2
raw        0      0 0.0.0.0:2               0.0.0.0:*               2
raw        0      0 0.0.0.0:2               0.0.0.0:*               2
raw        0      0 0.0.0.0:2               0.0.0.0:*               2

Noch ne idee?

Gruß
Mystic

 

[MaxMuster]

Der "FRAG_IN error" kommt vermutlich, weil du nur auf einer Seite die Defragmentierung hast. Mit dem "remote" wirst du wohl recht haben, dass auch so geht, dass beide Seiten Client und Server sind. Ich hatte mich da nur am Mini-Howto hier orientiert.

Sieht denn die Gegenseite die reinkommenden Pakete? Wenn die FB auch "Server" sein soll, musst du für reinkommende Pakete eine Portweiterleitung auf die Box selbst machen.

Auch wenn das erst nach dem Verbindungsaufbau zur Nichtfunktion führt ;-): Den lzo-Fehler hast du schon korrigiert?

 

[MysticJay2]

Ja LZO stimmt jetzt (auf beiden Seiten drin).

Ich such jetzt seit 45 Minuten hier im Forum wie/wo die aktuelle ar7.cfg (die der Firmare 6.03) muss damit der Port freigegeben wird. Aussagen "ich hab in der ar7 den Port freigegegen" gibt es genug, aber HOWTO?

- mystic -

 

[MaxMuster]

Das liegt daran, dass sich noch keiner die Mühe gemacht hat, das "ordentlich" für die neuen FWs zu dokumentieren...

Auf die Schnelle: Auf der AVM-GUI die "Fernwartung" zulassen und speichern (sofern das nicht schon besteht). Dann (wichtig) AVM-GUI verlassen.
In der ar7.cfg gibt es jetzt einen "neuen" Eintrag

internet_forwardrules =

Den "kaperst" du für deine Zwecke, indem du Protokoll und Port veränderst.
Vorher eine Sicherung deiner Daten wäre gut, denn Fehler in der ar7.cfg "bestraft" die Box mit Default-Werten.

cat /var/flash/ar7.cfg > /tmp/ar7.cfg
vi /tmp/ar7.cfg
# hier kommen deine Änderungen in der temporären Datei
#
# nochmal kontrollieren, Fehler können zum "Werksreset" führen
# ... und zurückschreiben

cat  /tmp/ar7.cfg > /var/flash/ar7.cfg

# danach am besten gleich einen "Reboot" ausführen und hoffen, das alles geklappt hat.
reboot

Sofern die Box nicht zufällig auch was in die ar7.cfg geschrieben hat, bevor du neu booten konntest, sind die neuen Einstellungen drin. Sonst nochmal machen.

Die "Fernwartung" kann je nach Bedarf dann wieder ausgestellt werden.

Aber: Ist denn der "Internet-Server" (die 4.4.4.4) nicht erreichbar? Damit sollte zumindest ja die FB dieses Gerät erreichen können...

 

[MysticJay2]

wie testest Du ob der port von einer FB auf UDP erreichbar ist?
Aber Ja, der Port ist grundsätzlich sobald der VPN-Kanal definiert und aktiviert ist auch erreichbar.
aber weil eben UDP benötigt es die Freigabe auf der FB damit die Antwort auch ankommt.

und wenn wir schon dabei sind:

internet_forwardrules = "UDP 0.0.0.0:1200 0.0.0.0:1200 0"
wofür steht die Null?

hat eigentlich noch keiner rausgefunden wie die Syntax von "iprule list.." ist oder warum steht das (auch) nirgends?

der cat-Befehl oben sieht merkwürdig aus... da ist glaube ich ein CAT zuviel... (korrigier das mal, nur falls mal einer das auch versuchen sollte.)

 

[MaxMuster]

wie testest Du ob der port von einer FB auf UDP erreichbar ist?

Wie du es auch bei anderen Geräten testen würdest, per nmap oder von einem Online "Port Checker".
Ich hab es mit diesem hier probiert, ob der seriös ist, kann ich natürlich nicht sagen...
http://www.base64online.com/port-check.php

internet_forwardrules = "UDP 0.0.0.0:1200 0.0.0.0:1200 0"
wofür steht die Null?

Da müsste man wohl AVM fragen, bislang habe ich noch keine Antwort dazu gefunden.

hat eigentlich noch keiner rausgefunden wie die Syntax von "iprule list.." ist oder warum steht das (auch) nirgends?

Macht wohl das gleiche, wie "ip rule list", zumindest steht das hier so beschrieben.

der cat-Befehl oben sieht merkwürdig aus... da ist glaube ich ein CAT zuviel... (korrigier das mal, nur falls mal einer das auch versuchen sollte.)

Danke, hab ich korrigiert.

Sieht denn die Gegenseite die reinkommenden Pakete?

Aber: Ist denn der "Internet-Server" (die 4.4.4.4) nicht erreichbar?

Könntest neben den vielen Fragen auch mal selbst welche beantworten ;-)? Kommen auf dem Server die Anfragen der FB an?

 

[MysticJay2]

Diesmal erst Antworten ;-) :
1) der Port am linken System ist offen
2) die IP-Adressen (beide fest) dr router sind jeweils pingbar.
3) die Regel in der ar7.cfg ist fest drin.
4) die tunnel IPs sind weiterhin nicht pingbar
5) die Anfragen vom portchecker tauchten im FW-Log auf (da darf nur die von der FB also 5.5.5.5 durchkommen)
ob die von der FB auch ankommen weiß ich noch nicht, denn dazu muss ich erst die FW entsprechend konfigurierern.

ich werde morgen mal den Entwickler vom Server nerven...

BTW: die "ip rule list" syntax bleibt weiterhin ein Rätsel. Da steht auch nur das drin, was im help-Text ausgegegebn wird...

Stay tuned....

 

[MaxMuster]

Das wichtigste wären die Logs des OpenVPN, wenn die Gegenseite einen Verbindungsversuch macht. Sind diese Versuche jeweils sichtbar? Wie "endet" das Log dann, mit einem Fehler oder "Initialization Sequence Completed"?

"ip" ist doch ein gut dokumentiertes Programm, was willst du denn jetzt über "ip rule" genau wissen bzw. was fehlt? Die "busybox-interne" Hilfe ist prinzipbedingt etwas knapp ;-).

 

[MysticJay2]

Die Logs sind oben schon dokumentiert, daran hat sich nichts geändert.
Es ist gar nichts zu sehen, daher gehe ich davon aus, das die FB auch gar nichts sendet.
Allerdings taucht im Syslog des Severs einmalig ein FW-Eintrag während eines reboots auf dass eine Anfrage auf udp 1200 abgewiesen wurde.
Alles sehr suspect.

 

[MaxMuster]

Hm, ich finde oben keine Logs des Servers, nur die der FB (die hier als "Client" agiert)?!? Oder übersehe ich die?

Edit: Wenn mit der Server "sieht nix" gemeint ist, dass laut Log keine Anfrage der FB ankommt, würde ich auch die Firewall des Servers genauer ansehen.

 

[komsec]

VoIP (1und1.de) über OpenVPN-Server im Internet: kein Ton in eine Richtung?

Hallo. Habe hier ein nächstes Problem. Meine FritzBox 7170 tunnelt den ganzen Internet-traffic an einen OpenVPN-Server im Internet. Internet surfen für die Klienten funktioniert dadurch perfekt. Das Netz hinter der Fritzbox ist auch von außen durch VPN-Verbindungen gut erreichbar. Nun habe ich auf der Fritzbox meine Internet-Nummer von 1und1 (VoIP) registriert. Leider funktioniert das VoIP nur teilweise. Von der Fritzbox aus gehen die Telefonate schon: der Angerufene hört den Partner der Anrufende jedoch nicht. Wird ein Telefonat auf die Fritzbox gemacht so klingelt das Telefon an der Fritzbox jedoch merkt die Gegenstelle die Reaktion vom Partner nicht. Auf der FritzBox ist freetz-2.0-11789 auf Basis 4.X-firmware installiert. Ja, ohne VPN-Tunnel funktioniert VoIP tadellos. VPN wird über TCP mit NAT-Routing aufgebaut.

Unten ist die Route vom OpenVPN-Server:


Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 134.134.34.2 0.0.0.0 UG 0 0 0 eth0 # eth0 ist Internet-Schnittstelle
10.7.0.0 10.7.0.2 255.255.255.0 UG 0 0 0 tun1 # 10.7.0.1 ist VPN-Netzwerk
10.7.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun1
134.134.34.1 0.0.0.0 255.255.255.128 U 0 0 0 eth0
192.168.168.0 10.7.0.2 255.255.255.0 UG 0 0 0 tun1 # 192.168.168.0 ist Fritzbox-Netzwerk


Was fehlt bei der Konfiguration?
Ich bedanke mich im Voraus.

 

[hoppala00]

Openvpn und VPN anbieter

Hallo

Ich hab 7390 international version FW 06.03.

Ich möchte rundum the uhr internet über VPN anbieter benutzen.

Ich hab 7390 international version , bin Ich damit zufrieden.

aber leide schaft das VPN über anbieter nicht .

letzte woche habe Ich viel darüber gelesen aber bis jetzt nichts gemacht .

als Anbieter möchte Ich privateinternetaccess.com benutzen.

wenn Ich openvpn ( freetz ) firmware nutze, kann Ich diese VPN anbieter benutzen oder wie Ich schon gelesen habe , werde Ich NAT Problem mit 7390 haben ( ıch glaube nur mit manche firmwares ) ?

Ich hoffe dass es geht.

welche VPN anbieter kann Ich mit fritzbox einfach benutzen ?

 

[RalfFriedl]

Es hängt nicht vom Anbieter ab, sondern von der Firmware Version auf der Box.
Oder genauer gesagt, die Box selbst wird eine Verbindung herstellen können, aber die an der Box angeschlossenen Rechner werden diese nicht mit benutzen können, und das ist meistens der Zweck, warum man das VPN auf der Box einrichten will.

 

[hoppala00]

Es hängt nicht vom Anbieter ab, sondern von der Firmware Version auf der Box.

dann geht das mit 7390 international version FW 06.03 ?

oder muss Ich das selbst finden ? (wird nicht einfach für mich sein )

 

[MaxMuster]

Mit der wird es m.W. nicht gehen bzw. die genannten Probleme mit iptables NAT geben :-(.

 

[Arragon]

DNS Lookup funktioniert noch. Ping ging nicht, was ich jetzt glaube ich hinbekommen habe. Allerdings bekomme ich netfilter's nat-Tabelle bei Freetz nicht kompiliert während andere Targets und Tables (bsw mangle) ihren Weg ins Image finden. Bin etwas überfragt was mir hier entgeht. Würde schon gerne die VPN Verbindung auch für die Rechner im LAN nutzen können

 

[pink-panther]

Mittlerweile habe ich Zeit gehabt das ganze Thema noch einmal anzugehen. Dabei habe ich herausgefunden, dass man nicht zwingend IPTables benötigt!
Es reicht, wenn man an der Server-Box den Haken bei "Erweiterte Clientkonfiguration" setzt. Anschließend muss man dem Zertfikat, welches der Client verwendet, eine feste IP zuordnen und das "Netz bei Client" definieren. Letzteres ist wohl der entscheidende Punkt, damit die Paket den Weg zur Client-Box finden.
Nun gehen keine Sprachpakete mehr verloren.