OpenVPN Problem auf der FB 7170

[squib]

Hallo,

seit nun mehr Tagen versuche ich OpenVPN auf FB 7170 zum laufen zu bringen - leider ohne Erfolg

Mein Vorhaben:
Ich möchte mit der FB eine VPN Verbindung zum meinem Server aufbauen und anschließend diese Verbindung meinen lokalen Rechnern zur Verfügung stellen.

PC (zuhause) --> FB mit VPN Verbindung (VPN Client, IP 10.9.0.12) --> Internet --> Server (VPN Server mit der IP 10.9.0.1)

Stand der Dinge:
Eigentlich sieht es nicht allzu schlecht aus.

1. Ich kann eine Verbindung zum Server aufbauen und diesen auch von der FB aus anpingen (10.9.0.1).

2. Tap0 (10.9.0.12) auf der FB ist auch vom PC (zuhause) erreichbar

3. Also fehlt nur noch die Bridge.

Problem
Jedoch nach "brctl addif lan tap0" geht nix mehr
Ich kann weder von der FB noch vom PC (zuhause) den Server (10.9.0.1) erreichen.

Leider habe ich keine Ahnung was da schief läuft - über Hilfe würde ich mich sehr freuen

Zusatz Infos:

FRITZ!Box Fon WLAN 7170 (UI) Labor-Version 29.04.99-14119

OpenVPN config

client
dev tap0
dev-node /var/tmp/tun
proto tcp
remote xxxx.de
resolv-retry infinite
nobind
persist-key
persist-tun
ca   xxxx.crt
cert xxxxx.crt
key  xxxxx.key
ns-cert-type server
comp-lzo
verb 3
cipher DES-EDE3-CBC

Route

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
213.219.133.25  *          255.255.255.255 UH    2      0        0 dsl
192.168.180.1   *          255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *          255.255.255.255 UH    2      0        0 dsl
192.168.2.0     *          255.255.255.0   U     0      0        0 lan
10.9.0.0        *          255.255.255.0   U     0      0        0 tap0
169.254.0.0     *          255.255.0.0     U     0      0        0 lan
212.58.0.0      10.9.0.1   255.255.0.0     UG    0      0        0 tap0
default         *          0.0.0.0         U     2      0        0 dsl

Ifconfig

tap0    Link encap:Ethernet  HWaddr FE:FD:48:D3:92:CF
          inet addr:10.9.0.12  Bcast:10.9.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:120 errors:0 dropped:0 overruns:0 frame:0
          TX packets:271 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:6694 (6.5 KiB)  TX bytes:43153 (42.1 KiB)

 

[colonia27]

Hallo squib und Willkommen im Forum,

erstmal meine Frage: Wie hast du Ovpn eigentlicht auf deine Box bekommen?
Lädst du es über die debug.cfg aus dem Netz oder hast du deine FW um freetz erweitert?
Letzteres wäre sicherlich die bessere und vor allem komfortablere Art und Weise.
Du kannst ja mal hier bei freetz vorbeischauen, und hier zum Theam OpenVPN.
Was sonst noch so möglich ist, findest du u.A. hier.

Btw: leg dir doch bitte eine aussagekräftige Signatur an. Viele Fragen lassen sich dadurch schon im Vorfeld umgehen.

 

[squib]

Besten Dank für die Links zu dem sehr interessantes Projekt.

Momentan habe ich openvpn auf einem USB-Stick ausgelagert.

Leider konnte ich mit den angebenen Seiten mein Problem der Bridge noch nicht lösen

 

[MaxMuster]

Also, das Bridging zwischen VPN und LAN bringt dir nur was, wenn die auch gleiche IP-Adressbereiche nutzen. Normalerweise werden auch die IPs der Brücke selbst (hier: "lan") zugewiesen und nicht den interfaces, obwohl das natürlich auch geht.

Bei "nach "brctl addif lan tap0" geht nix mehr" bezieht sich "nix" auf das VPN, oder?
Wie sieht das ifconfig nach dem brctl addif aus?
Was ist die Ausgabe von arp -an (oder, falls es den Befehl nicht gibt, "cat /proc/net/arp ")?

Diese offizielle IP, die du im Routing über das VPN erreichen willst

212.58.0.0      10.9.0.1   255.255.0.0     UG    0      0        0 tap0

ist aber nicht die IP der Gegenstelle (des Servers), oder? Das könnte nicht gehen, sondern gäbe eine "unendliche Schleife": Um ein Paket durch den Tunnel zu schicken, muss das Paket auf die "Gebenseite", und die ist durch den Tunnel zu erreichen .....



Jörg

 

[squib]

Hallo Jörg,

besten Dank für deine Antwort.

Bei "nach "brctl addif lan tap0" geht nix mehr" bezieht sich "nix" auf das VPN, oder?
Wie sieht das ifconfig nach dem brctl addif aus?
Was ist die Ausgabe von arp -an (oder, falls es den Befehl nicht gibt, "cat /proc/net/arp ")?

Du hast recht "nix" bezieht sich auf die VPN-Verbindung das LAN und der normale Internetzugang funktionieren weiterhin.

Meine ifconfig nach brctl sieht wie folgt aus (die gleichen Werte wie vor brctl):

tap0      Link encap:Ethernet  HWaddr 52:73:ED:C7:3C:02
          inet addr:10.9.0.12  Bcast:10.9.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:24 errors:0 dropped:0 overruns:0 frame:0
          TX packets:78 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1692 (1.6 KiB)  TX bytes:9253 (9.0 KiB)

# cat proc/net/arp

IP address       HW type     Flags       HW address            Mask     Device
192.168.2.100    0x1         0x2         00:0E:35:AB:3F:2F     *        lan
10.9.0.1         0x1         0x0         16:E3:8C:2F:33:57     *        tap0

212.58.0.0      10.9.0.1   255.255.0.0     UG    0      0        0 tap0

ist aber nicht die IP der Gegenstelle (des Servers), oder?

Nein, die 212.58.0.0 ist eine Server, denn ich duch die VPN-Verbindung erreichen möchte. Der VPN-Server hat die IP 213.229.xxx.xxx - also das Problem mit der Endloschleife sind wir damit los

Also, das Bridging zwischen VPN und LAN bringt dir nur was, wenn die auch gleiche IP-Adressbereiche nutzen. Normalerweise werden auch die IPs der Brücke selbst (hier: "lan") zugewiesen und nicht den interfaces, obwohl das natürlich auch geht.

Diesen Abschnitt habe ich leider nicht voll durchdrungen - muss ich meine IP von TAP0 (10.9.0.12) ändern oder ist das kein Problem?

 

[MaxMuster]

Tja, für mich ist so nicht ganz klar, warum der Server nach dem brctl nicht mehr erreicht wird. Vielleicht müsstest du den ARP-Cache leeren, weil die ARP-Auflösung vorher stattgefunden hat und nach dem Bridging "unklar" ist, wo denn diese MAC im Bezug auf die Brücke ist???

... muss ich meine IP von TAP0 (10.9.0.12) ändern oder ist das kein Problem?

Wenn du das TAP mit LAN "brückst" willst du damit ja was bezwecken, nämlich von einem PC "hinter dem Client" auch auf den Server oder Geräte dort zugreifen. Das macht so aber nur Sinn, wenn das TAP-Netz und das LAN aus IP-Sicht "übereinstimmen", wenn also z.B. ein PC bei dir im LAN 10.9.0.123 oder sowas hätte. Dann würde die Brücke dafür sorgen, dass dieser PC den VPN-Server unter 10.9.0.1 "findet" und umgekehrt.

Wenn du jedoch lokal ein anderes IP-Netz hast, müsste dieses Netz per Routing mit dem VPN und den Netzen dahinter verbunden werden. "Problem" dabei ist, dass das auch für die Gegenseite beim Server gilt, der müsste also auch wissen, dass das LAN 192.168.2.x "bei dir", also beim VPN-Client 10.9.0.12 zu finden ist.


Jörg

 

[squib]

Mmh ich habe den Cache für die MAC-Adressen gelöscht - leider keine Besserung meines Problems (eigentlich sollten die MAC-Adressen auch keine Probleme beim bridging machen).

Jetzt verstehe ich auch die Anmerkung zu der IP des Tap0 - die IP von Tap0 (10.9.0.12) ist aus dem Netz des VPN-Servers (10.9.0.0, 255.255.255.0), nicht aus dem LAN der FB (192.168.2.0, 255.255.255.0) - demnach sollte alles passen.

Gibt es vielleicht eine Alternative zu brctl? Sowas wie das MASQUERADING von iptables?

 

[MaxMuster]

Innerhalb des OpenVPN gibt es diese Möglichkeit der Adressübersetzung nicht, du müsstest das bei Bedarf dann doch mit iptables und NAT auf dem TAP-Interface erledigen. Oder eben dein lokales Netz zu deinem Client routen lassen.

Jörg

 

[squib]

Mmh,

irgendwie immer noch komisch, warum ich vor "brctl addif lan tap0" den VPN-Server (10.9.0.1) anpingen kann und dannach nicht mehr.

Hat jemand hierfür eine Erklärung?

Vielen Dank schonmal vorab