OpenVPN: Windows hinter FritzBox-to-FritzBox VPN

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
P

pal.sch

Neuer User
Mitglied seit
6 Jun 2006
Beiträge
55
Punkte für Reaktionen
0
Punkte
0
Hallo Leute,
jetzt bin ich auch mal soweit, dass ich nicht mehr nur durch googeln mit meinen Problemen zu recht komme. Jetzt muss ich auch mal Fragen stellen.

Mein Wunsch​
VPN Aufbau:
- FritzBox als OpenVPN Server
- Mehrere FritzBoxen als OpenVPN Clients

Anforderungen ans VPN:
Alle Rechner, die an all diese verschiedene FritzBoxen angeschlossen sind, sollen sich so sehen, als wären diese alle an ein und die selbe FritzBox angeschlossen.
-> Also soll man somit auch all die damit verbundenen Funktionalitäten nutzen können, z.B. Windows Freigaben, Windows 7 Heimnetzwerk, LAN Spiele (vor allem solche, wo man keine Möglichkeit hat eine Spielserver-IP einzugeben),...

Bis jetzt erreicht​
VPN:
- Alle nötigen Zertifikate wurden erstellt
- Server läuft
- Clients laufen und verbinden sich auch ohne Probleme zum Server
- Ping läuft in alle Richtungen, alle Rechner können die anderen anpingen
- Grober Aufbau: siehe Anhang
Sonstiges:
- Ich kann über das VPN eine Verbindung bei den Spielen aufbauen, bei denen man eine Server-IP eingeben kann, alle anderen Spiele, können sich nicht sehen/finden.

Momentane Probleme​
- All die aufgezählten Funktionalitäten funktionieren nicht (Windows Freigaben, Windows 7 Heimnetzwerk, LAN Spiele (siehe oben))

Meine Fragen
1. Wenn ich OpenVPN direkt auf einem Rechner (Windows) installiere, dann wird ja ein Virtueller Netzwerk Adapter erstellt, über den dann die VPN Verbindung läuft.
In FritzBox Fall, hab ich ja keine Virtuelle Netzwerk Adapter auf den Rechnern. Also sind die Rechner nur in Ihren Subnetzen drin, aber nicht in dem VPN Subnetz?! Dies könnte ja der Grund dafür sein, dass die oben genannten Funktionalitäten nicht laufen?! Was kann ich da tun? Oder verstehe ich das ganze irgendwie falsch?

Meine Configs​
Server (Mit Freetz GUI erstellt):
Code: 
proto udp
dev tap0
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
dh /tmp/flash/dh.pem
tls-server
tls-auth /tmp/flash/static.key 0
port 1194
mode server
ifconfig-pool 192.168.1.10 192.168.1.20
push "route 192.168.1.0 255.255.255.0"
route 192.168.1.0 255.255.255.0
ifconfig 192.168.1.1 255.255.255.0
push "route-gateway 192.168.1.1"
client-config-dir /clients_openvpn
topology subnet
push "topology subnet"
max-clients  10
push "route 192.168.179.0 255.255.255.0 192.168.1.1"
route 192.168.178.0 255.255.255.0 192.168.1.10
route 192.168.177.0 255.255.255.0 192.168.1.11
ifconfig 192.168.1.1 255.255.255.0
push "route-gateway 192.168.1.1"
push "route 192.168.179.0 255.255.255.0"
max-clients 10
client-to-client
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
daemon
cipher BF-CBC
comp-lzo
float
keepalive 10 120
status /var/log/openvpn.log
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Clients (Mit Freetz GUI erstellt):
Code: 
proto udp
dev tap0
ca /tmp/flash/ca.crt
cert /tmp/flash/box.crt
key /tmp/flash/box.key
tls-client
ns-cert-type server
tls-auth /tmp/flash/static.key 1
remote myserver.org
nobind
pull
tun-mtu 1500
mssfix
verb 3
daemon
cipher BF-CBC
comp-lzo
float
keepalive 10 120
resolv-retry infinite
status /var/log/openvpn.log
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key


Meine Routing Tabellen​
FritzBox Server:
Code: 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
92.200.219.111  *               255.255.255.255 UH    2      0        0 dsl
92.200.106.184  *               255.255.255.255 UH    3      0        0 dsl
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
192.168.178.0   192.168.1.10    255.255.255.0   UG    0      0        0 tap0
192.168.179.0   *               255.255.255.0   U     0      0        0 lan
192.168.177.0   192.168.1.11    255.255.255.0   UG    0      0        0 tap0
192.168.1.0     192.168.179.30  255.255.255.0   UG    0      0        0 lan
192.168.1.0     *               255.255.255.0   U     0      0        0 tap0
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl

FritzBox Client 1
Code: 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
88.64.206.18    *               255.255.255.255 UH    3      0        0 dsl
94.218.71.103   *               255.255.255.255 UH    2      0        0 dsl
192.168.178.0   fritz.box       255.255.255.0   UG    0      0        0 lan
192.168.178.0   *               255.255.255.0   U     0      0        0 lan
192.168.179.0   PC-VPN-FritzBox 255.255.255.0   UG    0      0        0 tap0
192.168.177.0   PC-VPN-FritzBox 255.255.255.0   UG    0      0        0 tap0
192.168.1.0     PC-VPN-FritzBox 255.255.255.0   UG    0      0        0 tap0
192.168.1.0     192.168.179.1   255.255.255.0   UG    0      0        0 dsl
192.168.1.0     *               255.255.255.0   U     0      0        0 tap0
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         *               0.0.0.0         U     2      0        0 dsl
Rechner beim Server:
Code: 
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.179.1   192.168.179.20     25
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
     192.168.56.0    255.255.255.0   Auf Verbindung      192.168.56.1    276
     192.168.56.1  255.255.255.255   Auf Verbindung      192.168.56.1    276
   192.168.56.255  255.255.255.255   Auf Verbindung      192.168.56.1    276
    192.168.179.0    255.255.255.0   Auf Verbindung    192.168.179.20    281
   192.168.179.20  255.255.255.255   Auf Verbindung    192.168.179.20    281
  192.168.179.255  255.255.255.255   Auf Verbindung    192.168.179.20    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.56.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.179.20    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.56.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.179.20    281
===========================================================================
 

Anhänge

  • Aufbau.png
    Aufbau.png
    35.5 KB · Aufrufe: 25
Dein Wunsch ist zwar technisch machbar, aber keine wirklich gute Idee...

Wenn du wirklich komplett ohne Routing auskommen musst, müsstest du die Netzwerke per Brücke verbinden, so dass Broadcasts über das VPN gehen. Das ist für eine Netzkopplung wirklich nicht geeignet, damit "müllst" du das VPN zu. Zudem müsste auf allen beteiligten Seiten das gleiche Netz sein (z.B. 192.168.178.x), aber mit zwingend verschieden genutzten Adressen (LAN A nutzt die IPs 192.168.178.1 - 192.168.178.50 , LAN B 192.168.178.51 - 192.168.178.100 und LAN C 192.168.178.101 - 192.168.178.150)

Netzwerkfreigaben lassen sich übrigens auch durch geroutete Netze nutzen, ohne weitere Angaben eben per IP statt per Namen (\\192.168.179.20\meinefreigabe). Denke dabei auch an die Firewall auf den PCs.

Wenn du wirklich zwingend ein gebrücktes Netz brauchst, dann mach das auf den PC's, so dass die PC's sich als OpenVPN-Client "virtuell" in das Server-LAN verbinden. Damit wird die Last wenigstens halbwegs erträglich, weil so der Broadcast-Traffic aus den Client-Netzen nicht durch das VPN geht.
 
Danke erst mal für deine Antwort.

Also hier meine weiteren Fragen:
1. Heißt das jetzt, dass bei einer Bridge, alle Subnetze gleich sein müssen? Den ich war der Meinung, das die auch verschieden sein können und man nur noch ein VPN-Subnetz erstellt, der dann sozusagen ein "ganzes" Subnetz bildet, welches alle Normalen-Subnetze enthält mit allen ihren Rechnern.
2. Wenn ich Routing benutze, wird kein Broadcasting über die Subnetze funktionieren?
3. Wenn ich Broadcast brauche, soll ich also am besten das gebrückte Netz nur mit den Rechnern aufbauen? Also ein Rechner mit OpenVPN Server, und die OpenVPN Clients sollen auch auf den Rechnern laufen, und nicht auf den FritzBoxen?
 
Also erstmal ist "Bridging" dafür da, verschiedene Interfaces auf Schicht2 zu verbinden.
Stell es dir wie einen Switch vor, an den du alles anschließt. Wenn bei dir im LAN alles im gleichen physikalischen Netz ist, hilft nicht bei allen Dingen, die angeschlossenen Geräte sollten auch schon alle im gleichen IP-Netz sein. Für Netzwerkprotokolle, die von IP unabhängig sind, könnte es natürlich auch ohne
das gehen.

Die Regel ist: Broadcasts breiten sich nur im LAN aus, am Router sind die Grenzen, ab da geht es per Routing weiter. Brodcasts werden (in der Regel) nicht geroutet.

Wenn du das brauchst ist der "sparsamste" Weg in der Tat, einen PC als Server zu nehmen und die anderen als Client, dann kann das Netz, dass so aufgebaut wird, auf diese Geräte beschränkt werden, und der Overhead im VPN ist am geringsten.

Ansonsten suchst du ein "Masternetz" aus, in dem die Fritzbox als Server steht mit Bridging, in den anderen Netzen sind die PCs die VPN-Clients. Dann werden die anderen PCs mit ihrem VPN-Interface zu "logischen" Komponenten dieses LANs. Das hätte den Vorteil, dass der eine PC nicht immer laufen muss.

Jörg
 
Da ich ja im Moment alle Rechner explizit anpingen kann, ist es möglich einen manuellen Broadcast zu verschicken? Also z.B. durch ein Tool (das ich bei nicht gebrauch ausschalten könnte), bei dem ich einstellen kann, zu welchen IP-Adressen die Pakete verschickt werden sollen.

Falls sowas nicht möglich ist, dann werde ich wohl die Methode mit den Rechnern nutzen.
 
... ich wüsste auf Anhieb nicht, wie die Box "directed Brodcasts" (das sind kurz gesagt "Broadcasts für ein anderes Netz") weitergeben sollte, zumal ich nicht weiß, ob dein PC die erzeugen könnte.

Jörg
 
Ein Broadcast ist ja eben nicht direkt an einen Empfänger, sondern an alle im Netzwerk angeschlossenen Geräte. Pakete werden als Broadcast versendet, wenn der Empfänger nicht bekannt ist, von daher wird es schwierig sein, in seiner solchen Situation dem PC beizubringen, die Pakete gezielt zu versenden.
Ein Programm, das auf der Box gezielt Broadcasts weiterleitet, wäre denkbar. Die Frage ist aber, wie der Empfänger auf Pakete reagiert, die ihn normalerweise gar nicht hätten erreichen können..
 
Ist es nicht so, dass bei Broadcast Pakete die IP des Senders mitgeschickt wird? Wenn es so ist, dann wäre dies doch kein Problem für den Empfänger eine Antwort an diese IP zu schicken. Da in meinem Fall ja alle Rechner, durch explizite IP Angabe, erreichbar sind.
So ein Tool für die FritzBox wäre wirklich nicht schlecht. Wenn man in das Tool die Subnetze eingeben könnte, an die die Broadcast Nachrichten weiter geschickt werden sollen, würden sicherlich viele Leute das Tool nutzen.
So wäre der Broadcast-Traffic nur dann zwischen den Subnetzen vorhanden, wenn man das Tool einschaltet. Und man könnte all die Funktionalitäten nutzen, die Broadcast voraussetzen.
Leider kenne ich mich da nicht so gut aus, und weiß auch nicht so ganz, wie die Broadcast Pakete genutzt werden.
 
Da an so einem Programm nichts Freetz spezifisches ist, gibt es vielleicht schon ein entsprechendes Programm, wenn es wirklich so nützlich ist.
 
Die große Frage ist letztlich, wie das Programm, was eigentlich "nur im LAN" funktioniert, tatsächlich arbeitet. Ob es z.B. überhaupt mit IP-Broadcasts arbeitet, oder vielleicht sogar ganz ohne IP??
Versuche doch mal, ob du nicht mehr darüber rausbekommst, wie das bei deinem konkreten Spiel so geht, und ob es nicht auch Möglichkeiten gibt, das über Router hinweg zu spielen.

Jörg
 
Man müsste das erstellte VPN, multicast-fähig machen, evtl. mit einem multicast-server (daemon) an dem sich die einzelnen PC's anmelden.
 
Ist "igmpproxy" so ein Multicast-Server in freetz?
 
ip-sec!

mach das doch mit dem ip-sec vpn das die boxen von haus aus mitliefern.
Du must halt zusehen, das jede box sich mit jeder verbindet.
also 3x3 vpn configs erstellen und die boxen entsprechend vernetzen.
so kann jeder pc in 3 netzwerken sich mit jedem pc in den anderen netzwerken verbinden. glaub mir das luppt prima!
wichtig ist halt das du nur ip adressen angibst.
wenn die namenauflösung klappen soll muß noch ein DNS her.
oder die host datei verwenden.
 
Wenn ich deinen Vorschlag richtig verstanden habe: Soweit (dass jeder jeden per IP erreichen kann) ist pal.sch ja schon (ich weiß auch nicht, ob alle Boxen IPSec-VPN-fähige Boxen sind).
Die Problematik hier ist ja, dass IP-Verbindungen wohl nicht reichen.

Jörg
 
Ja per IP funktioniert es jetzt schon super bei uns. Also so was wie CS können wir ohne Probleme spielen, da man dort direkt eine IP, zu dem Rechner mit dem Server, eingeben kann.
Nur solche Spiele wie Warcraft3 oder ähnliche, die Broadcasting benutzen, funktionieren nicht.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 487 (Mitglieder: 10, Gäste: 477)

Neueste Beiträge

Statistik des Forums

Themen
246,300
Beiträge
2,249,713
Mitglieder
373,904
Neuestes Mitglied
Elemir
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück