.titleBar { margin-bottom: 5px!important; }

OpenVPN Site-to-End über FBF 7050

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von Ingenieur, 22 Jan. 2007.

  1. Ingenieur

    Ingenieur Neuer User

    Registriert seit:
    19 Aug. 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 Ingenieur, 22 Jan. 2007
    Zuletzt bearbeitet: 28 Jan. 2007
    Hallo IP-Phone-Forum Gemeinde,

    ich beabsichtige per OpenVPN eine Site-to-End Verbindung mit dem Laptop (WinXP) von der UNI aus zu mir nach Hause auf die FBF 7050 aufzubauen. Da ich mein eigener und einziger Client bin, reicht eine Static Key Lösung völlig aus. Zur Vorbereitung habe ich mir den wohl allseits bekannten Tecchannel-Beitrag und das halbe Forum durchgelesen.
    In die Box wurden bereits die Server für Telnet, FTP und OpenVPN integriert und getestet. Ebenso wurde auf dem Laptop die OpenVPN Software von www.openvpn.se installiert. Ein DynDSN Konto wurde erstellt und in die FBF übernommen, die Fritzbox IP auf 192.168.100.1 abgeändert und Port 1194 sowohl für UDP als auch für TCP freigegeben.
    Nun das essentielle, die Configs (Sicherheitsrelevante Stellen sind mit x zensiert):

    SERVER:
    Code:
    ### Start des Telnet Daemons
    /usr/sbin/telnetd -l /sbin/ar7login
    ### Internet Verbindung anregen
    while !(ping -c 1 www.google.de);do
    sleep 10
    done
    ### Installation des FTP-Servers
    cd /var/tmp
    wget http://www.xxxxxxx.de/fritzbox/bftpd.conf
    wget http://www.xxxxxxx.de/fritzbox/bftpd
    chmod +x bftpd 
    chmod 777 bftpd.conf 
    ### User und Passwort-Hash fuer FTP Zugang
    echo "xxxxx:xxxxxxxxxxxxxxx:0:root:/:null" >> /var/tmp/passwd
    /var/tmp/bftpd -d -c /var/tmp/bftpd.conf
    ### Schreibt den VPN Key
    cat > /var/tmp/static.key << 'ENDSECRETKEY'
    
    
    #
    # 2048 bit OpenVPN static key
    #
    -----BEGIN OpenVPN Static key V1-----
    
    xxxxxxxxxxxxxxxxxxxxxxxxxxxx
    xxxxxxxxxxx KEY xxxxxxxxxxxx
    xxxxxxxxxxxxxxxxxxxxxxxxxxxx
    
    -----END OpenVPN Static key V1-----
    
    ENDSECRETKEY
    
    ### Schreibt die VPN Config
    cat > /var/tmp/openvpn.conf << 'END-SERVER-OVPN'
    #
    dev-type tun
    ifconfig 10.0.0.1 10.0.0.2
    secret /var/tmp/static.key
    dev-node /dev/misc/net/tun
    tun-mtu 1400
    fragment 1300
    mssfix
    comp-lzo
    ping 15
    ping-restart 60
    ping-timer-rem
    persist-tun
    persist-key
    
    END-SERVER-OVPN
    
    ### OpenVPN herunterladen
    wget http://www.xxxxxxxxxx.de/fritzbox/openvpn
    # ausfuehrbar machen
    chmod +x /var/tmp/openvpn
    chmod 0600 /var/tmp/openvpn.conf
    chmod 0600 /var/tmp/static.key
    # OpenVPN starten
    /var/tmp/openvpn --cd /var/tmp --daemon --config openvpn.conf
    
    ### Ende
    
    CLIENT:
    Code:
    disable-occ
    
    remote xxxxxxx.homeunix.com
    float
    
    dev tun
    tun-mtu 1400
    ifconfig 10.0.0.2 10.0.0.1
    route 192.168.100.0 255.255.255.0
    fragment 1300
    mssfix
    secret static.key
    ping-restart 60
    persist-tun
    persist-key
    ping 15
    comp-lzo
    
    Will ich nun eine Verbindung mit dem Client zum Server aufbauen, läuft das Script ab und die Anzeige in der Tray wird grün aber das wars auch schon. Ich kann die FBF weder anpingen noch sehe ich etwas in der Netzwerkumgebung. Was muss ich im übrigen beim TAP-Win32 Adapter bei der MTU einstellen? Ich hoffe ihr könnt mir weiterhelfen, wäre euch sehr dankbar dafür. Im Anhang noch ein Auszug der Verbindungsrouten des Clients.
     

    Anhänge:

  2. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Moin,
    vielleicht solltest du dich an die Uni-Admins wenden, eventuell läßt der Server dich nicht raus/rein.
    So wie ich gesehen hab, sind die Uni-Server bei 1.96 und 1.97.
    1.96 als Gateway und deine ist die 1.97.42 (Zugeteilt von den Admins?)
    Dann kann es ja nicht funktionieren, oder?
     
  3. Ingenieur

    Ingenieur Neuer User

    Registriert seit:
    19 Aug. 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ja, die IP's werden per DHCP verteilt. Die Ports an der Uni sind alle geblockt, was ja aber eigentlich kein Problem darstellen sollte, da ich ja von dort aus eine Verbindung aufbaue, oder liege ich da falsch?
    Muss ich das Standardgateway ändern, wenn ja wie? Ich steige bei diesen Gateways noch nicht so ganz durch.
     
  4. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Wenn du sagst, das alle Uni-Ports geblockt werden und du schreibst oben
    wie sollte da der Tunnel zur Uni denn zustande kommen?
    Zudem bist du nie sicher, welche IP du beim nächsten Hochfahren des Lappis bekommst, also müßtest du jedes mal die IP im Script ändern.

    Frag doch bitte die Uni-Admins, wie du dich verhalten sollst, ob es geht und die werden dir dann eventuell eine feste IP geben.
    Bedenke bitte: Es wird oft nicht gern gesehen und gibt nachher Ärger, O.K.?
     
  5. Ingenieur

    Ingenieur Neuer User

    Registriert seit:
    19 Aug. 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Die Portfreigabe bezog sich nur auf die FBF. Ich dachte eigentlich das ich von überall einen VPN Tunnel aufbauen kann, unabhängig vom Standort und der zugewiesenen IP.
    Angenommen die oben genannte IP der Uni wäre fest zugewiesen, wie müsste ich dann die Configs abändern?
     
  6. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
  7. Ingenieur

    Ingenieur Neuer User

    Registriert seit:
    19 Aug. 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke für deine Hilfe. Hab es jetzt mit Zertifikaten und nicht mit static Key gemacht. Es funktioniert hervorragend, FB anpingen, einloggen per Telnet, und sogar das Webinterface.

    Aber wie kann ich PC's im Netzwerk hinter der FB erreichen (Gleiche IP-Range wie FB 192.168.100.xx). Wenn ich meinen Home-PC anpinge bekomme ich keine Antwort. Habe in der Firewall der FB udp 0.0.0.0 1194 192.168.100.20 1194 freigegeben.
     
  8. Ingenieur

    Ingenieur Neuer User

    Registriert seit:
    19 Aug. 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #8 Ingenieur, 29 Jan. 2007
    Zuletzt bearbeitet: 30 Jan. 2007
    Also so langsam nähere ich mich dem Problem. Ich hatte zu Beginn die fertigen Config Dateien aus Post Nr.6 genommen, welche folgende Besonderheiten aufwiesen:

    Server Config Ausschnitt (server.ovpn):
    Code:
    server-bridge 192.168.100.1 255.255.255.0 192.168.100.140 192.168.100.150
    
    und Server Firewall Config Ausschnitt (ar7.cfg):
    Code:
    # Bei brinterfaces (zeile interfaces) per nvi das tap0 eingefuegt
    
            brinterfaces {
                    name = "lan";
                    dhcp = no;
                    ipaddr = 192.168.100.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    interfaces = "tap0", "eth0", "usbrndis", "eth1", "tiwlan0", 
                                     "wdsup0", "wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3";
                    dhcpenabled = yes;
                    dhcpstart = 192.168.100.20;
                    dhcpend = 192.168.100.200;
            } {
    
    Mit dieser Configuration konnte ich wie im Post zuvor erwähnt auf die FBF zugreifen, anpingen etc. aber nicht auf das Netzwerk dahinter zugreifen per Netzwerkumgebung!

    Daraufhin habe ich die Config an Hellspawn's Anleitung angepasst mit:
    Server Config Ausschnitt (server.ovpn):
    Code:
    server 10.0.0.0 255.255.255.0
    
    und der gleichen ar7.cfg wie oben.
    Jetzt kann ich in Windows über die Netzwerkumgebung auf PC's hinter der FBF zugreifen aber weder diese noch die FBF anpingen????

    Nehme ich aus der oberen ar7.cfg das "tap0" wieder raus habe ich zwar keinen Kontakt mehr über die Netzwerkumgebung kann aber die FBF und PC's dahinter anpingen und mich dort einloggen.


    Wo liegt der Fehler?
     
  9. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Moin,

    vielleicht hilft dir das hier weiter. Er hat das etwas anders gelöst.

    Die Suchfunktion, mit den richtigen Keywords, befördert aber auch ne Menge zu Tage.
     
  10. Ingenieur

    Ingenieur Neuer User

    Registriert seit:
    19 Aug. 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Dein Link hilft mir nicht wirklich weiter, er verwirrt mich nur noch mehr. Ich habe alles so gemacht wie in Hellspawns Anleitung. Nur der Unterschied von einem eingefügten "tap0" entscheided darüber ob ich das Netzwerk anpingen oder über die Netzwerkumgebung darauf zugreifen kann.

    Fühl dich bitte nicht angegriffen aber da ich seit ca. 10 Jahren das Internet nutze weis ich sehr wohl wie man Suchfunktionen benutzt. Ich poste nur wenn ich selbst das Problem nicht lösen kann und bisher konntest auch du meine Fragen nicht konkret beantworten. Trotzdem bin ich dir für deine Hilfe sehr dankbar!
     
  11. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Hallo,
    sorry, hab leider z.Zt. wenig Zeit und da ich die VPN im Homeoffice hatte und einen FP-Crash beheben mußte, stehen auch meine Configs nicht zur Verfügung, so daß ich dir nicht sagen kann, wie ich es gelöst hatte.
    Du hast dir doch die Zip von Flunki gezogen, hast du den Thread mal gelesen?
    Schick Frank (Flunki) doch mal eine PN mit einem Gruß von mir, er wird dir sicher weiterhelfen.
     
  12. flunki

    flunki Neuer User

    Registriert seit:
    13 Nov. 2006
    Beiträge:
    104
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Falls du dich verrannt hast kanst du ja mal deine server und client *.ovpn, die ar7cg, debug.cfg . . . hier als Datei anhaengen.

    Gruss Frank
     
  13. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Moin,

    @Frank: Danke! :D Hab echt wenig Zeit, Sorry!
     
  14. Ingenieur

    Ingenieur Neuer User

    Registriert seit:
    19 Aug. 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Im Anhang sind jetzt alle relevanten Daten vorhanden. Die Sicherheitskritischen Stellen sind natürlich mit einem "x" zensiert. Ich hoffe du kannst mir weiterhelfen.
     

    Anhänge:

  15. Ingenieur

    Ingenieur Neuer User

    Registriert seit:
    19 Aug. 2006
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ahhh, es funktioniert! An den zuvor geposteten Einstellungen habe ich allerdings nichts mehr geändert. Vielen Dank doc456 und flunki für eure Hilfe und die Config-Beispiele.

    Nur noch eine Frage, kann ich auf die Datei brctl völlig verzichten oder muss ich sie trotzdem runterladen?
     
  16. flunki

    flunki Neuer User

    Registriert seit:
    13 Nov. 2006
    Beiträge:
    104
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Bei meiner 7170 lief brctl schon und da du das tap interface in der ar7cfg schon in der bridge hast: Bin der Meinung das du es nicht brauchst.

    Auch hier gilt wie so oft: versuch macht Kluch. Einfach mal die einzelnen Befehle per Telnet zeilenweise abarbeiten. Dann siehst du auch wo es Mecker gibt.

    P.S.: Solltest du auf deiner FB irgendwann mal DHCP enablen dann solltest du den Bereich von 20-200 auf 20-139 einschraenken da dein "VPN-DHCP" von 140-150 geht.

    Gruss Frank