.titleBar { margin-bottom: 5px!important; }

[Problem] Port Freigabe für OpenVPN

Dieses Thema im Forum "Freetz" wurde erstellt von pitzz, 17 Mai 2015.

  1. pitzz

    pitzz Neuer User

    Registriert seit:
    17 Mai 2015
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo, könnt Ihr mir helfen?
    Ich bekomm die Portweiterleitung für einen OpenVPN Server unter Freetz nicht hin. Folgendes System habe ich:
    FRITZ!Box Fon WLAN 7360 SL
    Firmware: 109.06.20 rev29220
    Freetz: devel-13065

    Mit Linux und ssh komm ich ein wenig zurecht. Folgendes habe ich schon versucht:
    1. Per vi habe ich erfolglos an der /var/flash/ar7.cfg geändert.
    2. Das Paket avm-firewall oder avm-Forwarding kann ich für einen neuen Build in der menuconfig nicht finden.

    Frage an euch: Welche Möglichkeiten gibt es und was würdet ihr mir empfehlen?
    Danke und Gruß Pitzz
     
  2. koyaanisqatsi

    koyaanisqatsi IPPF-Urgestein

    Registriert seit:
    24 Jan. 2013
    Beiträge:
    10,070
    Zustimmungen:
    69
    Punkte für Erfolge:
    48
    #2 koyaanisqatsi, 18 Mai 2015
    Zuletzt bearbeitet: 18 Mai 2015
    Moins

    Mit einen Trick gehts doch. ;)

    Bringe deine Freigaben in den VoIP Forwardrules unter.

    Beispielhaft für den TCP Port 8088...

    /var/flash/ar7.cfg
    Code:
            voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
                                "tcp 0.0.0.0:5060 0.0.0.0:5060",
    
    [B]                            "tcp 0.0.0.0:[COLOR=#ff0000]8088[/COLOR] 0.0.0.0:[COLOR=#ff0000]8088[/COLOR]",[/B]
    
                                "udp 0.0.0.0:7078+32 0.0.0.0:7078";
    
            tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";
    
    [B]        voip_ip6_forwardrules = "udp 5060,7078-7109", "tcp 5060,[COLOR=#ff0000]8088[/COLOR]";[/B]
    Nach abspeichern sofort ar7cfgchanged ausführen.
    Ein Neustart ist, glaub ich, nicht notwendig.

    Im AVM Webinterface einsehbar auf der Seite: "http://fritz.box/system/security.lua"

    PS: Willkommen im Forum
     
  3. pitzz

    pitzz Neuer User

    Registriert seit:
    17 Mai 2015
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    kein Erfolg

    Hallo koyaanisqatsi,
    Danke für deine Antwort. Ich denke ich bin ein Stückchen weiter aber funktionieren will es trotzdem noch nicht.
    Hier mal ein Protokoll von dem, was ich gemacht hab:
    Code:
    cat /var/flash/ar7.cfg > /var/tmp/ar7.cfg
     vi /var/tmp/ar7.cfg
    
            #vor Änderung:
            voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
                                "tcp 0.0.0.0:5060 0.0.0.0:5060",
                                "udp 0.0.0.0:7078+32 0.0.0.0:7078";
            tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";    
            voip_ip6_forwardrules = "tcp 5060", "udp 5060,7078-7109";
    
       
           #nach Änderung:
            voip_forwardrules = [B]"udp 0.0.0.0:1194 0.0.0.0:1194",[/B]  
                                "udp 0.0.0.0:5060 0.0.0.0:5060", 
                                "tcp 0.0.0.0:5060 0.0.0.0:5060",   
                                "udp 0.0.0.0:7078+32 0.0.0.0:7078";
            tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";    
            voip_ip6_forwardrules = "tcp 5060", "udp [B]1194[/B],5060,7078-7109";
    
          
    cat /var/tmp/ar7.cfg > /var/flash/ar7.cfg
    ar7cfgchanged
    
       
    # Die Einstellungen sind nun unter [URL]http://192.168.2.1/system/security.lua[/URL] im AVM Interface einsehbar.
    # Port 1194 wird als geöffnet angezeigt.
    # Portscan mit nmap
    nmap 192.168.2.1
    Starting Nmap 6.40 ( [URL]http://nmap.org[/URL] ) at 2015-05-18 23:34 CEST
    Nmap scan report for fritz.box (192.168.2.1)
    Host is up (0.013s latency).
    Not shown: 992 closed ports
    PORT     STATE SERVICE
    22/tcp   open  ssh
    53/tcp   open  domain
    80/tcp   open  http
    81/tcp   open  hosts2-ns                                                                                              
    443/tcp  open  https                                                                                                  
    2002/tcp open  globe                                                                                                  
    5060/tcp open  sip
    8080/tcp open  http-proxy
    
       
    Ein Neustart löscht alle Änderungen in der /var/flash/ar7.cfg

    Wie Du siehst wird der Port 1194 beim Portscan nicht als geöffnet angezeigt. Was mach ich falsch?

    Gruss Pitzz
     
  4. koyaanisqatsi

    koyaanisqatsi IPPF-Urgestein

    Registriert seit:
    24 Jan. 2013
    Beiträge:
    10,070
    Zustimmungen:
    69
    Punkte für Erfolge:
    48
    #4 koyaanisqatsi, 19 Mai 2015
    Zuletzt bearbeitet: 19 Mai 2015
    Wenn du einen UDP Port freigibst, solltest du auch UDP scannen: nmap -sU -Pn -p1194 [Öffentliche IP]

    Bei der ar7.cfg ist die F!B pingelig.
    ...was Leerzeichen Tabstops und so angeht.
    Mach deine Freigabe lieber nicht als Erstes hinter dem Gleichheitszeichen.
    Kopiere lieber eine vorhandene, füg die ein und ändere die ganz vorsichtig.
    ...und nimm nvi, als Wrapperskript macht es im Prinzip genau das,
    was du am Anfang und am Ende mit cat gemacht hast.
    Nach Speichern und ar7cfgchanged dann doch besser einen Reboot/Neustart?
    ...oder ohne ar7cfgchanged und gleich einen Reboot?
    ...oder wars Steckerziehen?
    ...bin mir nicht mehr sicher.

    Bei mir hält die Freigabe schon etliche Neustarts, nicht aufgeben also.
    ...und berichte dann bitte die richtige Vorgehensweise für eine: 7360SL
     
  5. pitzz

    pitzz Neuer User

    Registriert seit:
    17 Mai 2015
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    7360sl Portfreigabe hat funktioniert

    Danke koyaanisqatsi
    Meine 7360sl läuft jetzt

    Folgendes Vorgehen war richtig:

    Code:
    ssh root@[FritzboxIP]
    nvi /var/flash/ar7.cfg
           mit "/voip_f" die richtige Stelle zum Editieren suchen
           "Y" und "P" für Yank(copy) und Paste 
           "i" zum Editieren
           
            #vor Änderung:
            voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
                                "tcp 0.0.0.0:5060 0.0.0.0:5060",
                                "udp 0.0.0.0:7078+32 0.0.0.0:7078";
            tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";    
            voip_ip6_forwardrules = "tcp 5060", "udp 5060,7078-7109";
     
           #nach Änderung:
            voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
                                "tcp 0.0.0.0:5060 0.0.0.0:5060",
                                "udp 0.0.0.0:1194 0.0.0.0:1194",
                                "udp 0.0.0.0:7078+32 0.0.0.0:7078";
            tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";    
            voip_ip6_forwardrules = "tcp 5060", "udp 5060,7078-7109";
    
           "esc" ":wq" zum Schreiben und Quitieren
    
    #speichern bestätigen mit "y"
     
    Achtung: ar7cfgchanged + reboot und die Einstellungen waren wieder weg
    Achtung: nur reboot und die Einstellungen waren auch wieder verloren
    Netzstecker ziehen, warten, und die Port Weiterleitung funktionierte,
    Reboot, warten, und die Port Weiterleitung funktioniert immer noch


    Unter http://192.168.2.1/system/security.lua sind die Einstellungen im AVM Web-Interface einsehbar.
    Port 1194 wird als geöffnet angezeigt.
    nmap -sU -Pn -p1194 [Öffentliche IP] zeigt den Erfolg
     
  6. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    10,048
    Zustimmungen:
    341
    Punkte für Erfolge:
    83
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Und für's nächste Mal ... folgendes Vorgehen funktioniert auch ohne die Gefahr des Stromschlags:

    1. cat /var/flash/ar7.cfg >/var/tmp/ar7_edit.cfg
    2. vi /var/tmp/ar7_edit.cfg
    3. Änderungen ausführen, das ist vi-Handwerk, Speichern nicht vergessen
    4. ctlmgr -s
    5. jetzt muß es zügig gehen, sonst schlägt irgendwann der Watchdog an
    6. cat /var/tmp/ar7_edit.cfg >/var/flash/ar7.cfg
    7. ctlmgr
    8. der ctlmgr braucht so ca. 30 Sekunden, bis er alles wieder eingefangen hat
    9. Änderungen überprüfen mit "cat /var/flash/ar7.cfg"
    10. wenn nötig (hängt von den vorgenommenen Änderungen ab) jetzt noch ein "reboot", u.U. reicht auch ein "rc.net restart" (so macht es ar7cfgchanged auch bloß, das wird auch von der AVM-Firmware selbst gar nicht mehr verwendet, denn da fehlt eigentlich das Stoppen des ctlmgr, der nun mal die cfg-Files seinerseits cached)

    PS: Das mit dem SSH-Login funktioniert natürlich auch nur, wenn man dropbear auf der Box hat ... von sich aus kann die FRITZ!Box nur Tel(l)net.
     
  7. dad401

    dad401 Neuer User

    Registriert seit:
    26 Aug. 2007
    Beiträge:
    83
    Zustimmungen:
    1
    Punkte für Erfolge:
    8
    Ich hatte mit meiner 7490 das Problem, dass ich eine interne Portforwardregeln einfach nicht wegbekam - trotz der vorgenannten Anleitung. Wenn man zwischen Schritt 6 und 7 ar7cfgchanged aufruft klappt es jedoch. Vorher habe ich auf der Fritzbox-Oberfläche den TCP-Port für HTTPS freigegeben und danach wieder deaktiviert. Ob das zwingend notwendig war, kann ich nicht sagen.
    Eventuell hilft es jemanden.
    FW-Stand: FRITZ!OS 06.93-freetz-devel-14597M
     
    Micha0815 gefällt das.