Portfreigabe & OpenVPN

[for0nes]

Hi,

ich habe hier einen Speedport920W gefritzt, mit Freetz (Firmware-Version 54.04.67freetz-devel-3002M).

Versuche OpnVPN über das WebInterface zu konfigurieren, die Gegenstelle hat die gleiche Kiste.

OpenVPN-Server: 192.168.100.5
OpenVPN-Client: 192.168.101.4

Die Rechner hinter dem jeweiligen Router befinden sich im Netz 192.168.100.X, bzw. 192.168.101.X.
Oder müssen die Ip-Adressen bei beiden im gleichen Bereich liegen?

Es scheitert schon an der Portfreigabe auf die Fritzbox selber. Ich habe ein zweites Interface eth0:0 mit einer anderen IP (z.B. 192.168.100.253) anlegt.

In die debug.cfg folgendes eingetragen:
echo "ifconfig eth0:0 192.168.100.253 netmask 255.255.255.0 up" > /var/flash/debug.cfg

Anschließend im WebIF Freetz das Portforwarding eingerichtet, Regel:
udp 0.0.0.0:1194 192.168.100.253:1194 0 # OpenVPN

Muß ich den Port dann auch noch in der AVM-Firewall freigeben?
Da stehen is jetzt nur die Standard-Regeln drin.

Einstellungen übernommen und Box sogar neu gestartet.
Wie kann ich jetzt testen, ob der Port tatsächlich von außen erreichbar ist. Hab schon mit www.port-scan.de versucht, der zeigt den nicht an.

Ich denke mal, das sich meine Probleme mit OpenVPN von alleine erledigen, wenn die Portfreigabe funktioniert.

Vielen Dank fürs Lesen!

 

[matze1985]

Das Portforwarding klappt so nicht mehr, suche mal nach virtualIP und Probleme.

Forwarding auf eine eigene IP und in diesem Fall merkt die Box, dass es eine eigene ist, werden ignoriert, wenn die IP besteht bevor die Forwardings angelegt werden, also bevor die dsl-verbidnung steht.

Lege am besten ein Forwarding auf 0.0.0.0 an.

 

[ao]

Näheres ist hier zu lesen.

 

[for0nes]

Zu VirtualIP, aus dem wiki:
....Es wird empfohlen stattdessen, dass AVM-Firewall Paket zu nehmen.

Das hab ich ja drauf. Neue Forwarding-Regel in er AVM-Firewall erstellt:
udp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPN

Übernommen und Box neu gestartet.
port-scan.de zeigt aber immer noch keinen offenen Port an.

Was mach ich nur falsch

 

[MaxMuster]

Zwei Fragen:

- OpenVPN ist auch gestartet?
- Der Test findet auf der "Server-Seite" statt, also auf die Box, wo der OpenVPN-Server läuft?

Jörg

 

[for0nes]

So, wie ich oben das Forwarding im Freetz-WebIF eingtragen habe, wird im WebIF von AVM gar keine Freigabe angezeigt. Also ist auch keine Freigabe definiert!?

Ja, OpenVPN Server läuft hier. und versuch auch hier den Port test...

Hab mal die Forwardings angehängt...

 

[ao]

Hast Du die ar7.cfg angepasst (port forwarding nach 0.0.0.0)?

 

[for0nes]

wie kann ich die ar7.cfg editieren? über telnet?

Sorry, hab ich noch nicht gemacht...

 

[matze1985]

die brauchst du ja nicht mehr editieren, da du das per Firewall-CGI gemacht hast.

Hast du den Hacken unten rechts zum übernehmen und anwenden der Regeln angehackt beim übernehmen?

 

[MaxMuster]

Hi,

wenn die Forwardingregel so drin ist, ist es o.k.. Mich wundert etwas, das in der FirewallGUI keine Regeln für VoIP zu sehen sind... Poste doch mal bitte die Ausgabe von diesem Befehl in der "RudiShell":

sed -n '/dsldp/,/} {/ {p; /} {/ q}' /var/flash/ar7.cfg

Nachtrag: Hast du auf der "Dienste" Seite mal geprüft, ob das OpenVPN auch gestartet ist?


Nur so am Rande: Die OpenVPN-Config ist so vermutlich nicht o.k., denn du vergibst dem Tunnel Adressen aus dem LAN, wenn ich das richtig sehe. Richtig wäre es, wenn du dafür komplett andere IP's nimmst, also z.B. lokal 192.168.200.1 und remote 192.168.200.2 . Die Verbindung zwischen den Netzen passiert dann über das Routing...


Jörg

 

[for0nes]

@matze1985

ja, den Haken hab ich gemacht beim Übernhemen.

@maxmuster

Hatte gestern nochmal ein neues Image erstellt, da ging dann aber Rudi.Shell nicht, wegen Sicherheitsstufe. Hab jetzt das alte wieder eingespielt.

Log:
[Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]

dsldpconfig {
                        security = dpsec_firewall;
                        lowinput {
                                policy = "permit";
                                accesslist = 
                                             "deny ip any 242.0.0.0 255.0.0.0", 
                                             "deny ip any host 255.255.255.255", 
                                             "deny udp any any range 161 162", 
                                             "deny udp any any eq 111";
                        }
                        lowoutput {
                                policy = "permit";
                        }
                        highinput {
                                policy = "permit";
                        }
                        highoutput {
                                policy = "permit";
                                accesslist = 
                                             "reject ip any 242.0.0.0 255.0.0.0", 
                                             "deny ip any host 255.255.255.255", 
                                             "reject ip any 169.254.0.0 255.255.0.0", 
                                             "reject udp any any range 161 162", 
                                             "reject udp any any eq 111";
                        }
                        forwardrules = 
                                       "udp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPN";
                }
                hansenet_manual_mode = no;
        } {

Auf der Dienste Seite kann ich openVPN stoppen und restarten, also wird der wohl laufen.

Sind eigentlich die Standard-regeln + OpenVPN.
Wofür brauch ich VoIP?

 

[cando]

Wofür brauch ich VoIP?

zum Telefonieren über Internet, aber dass muss jeder für sich selbst entscheiden ...

 

[for0nes]

ja, das war mir schon klar.
weiß nur nicht , wie das jetzt mit OpenVPN zusammen hängen sollte.

 

[MaxMuster]

... hat cando ja schon beantwortet. Hintergrund der Frage war, dass ich bislang dachte, dass alle VoIP-Boxen standardmäßig in den forward-Regeln so anfangen:

                        }
                        forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",

Könntest du nochmal dieses eingeben?

cat `find /etc/default* | grep ar7.cfg`| sed -n '/dsldp/,/} {/ {p; /} {/ q}'

(Wenn du das Ergebnis zwischen [noparse]

 und

[/noparse] postest, ist es besser zu lesen...)

Danke!

Jörg

 

[for0nes]

Danke für die Antwort und den Hinweis mit dem Code, wieder was gelernt...
Wie gesagt, es ist ein Speedport W920 von der Telekom, gefritzt nach der Anleitung hier im Forum. Und anschließend noch Freetz hinzugefügt.
Läuft eigentlich super, nur die kleinen Probleme mit VPN.

               dsldpconfig {
                        security = dpsec_firewall;
                        lowinput {
                                policy = "permit";
                                accesslist = 
                                             "deny ip any 242.0.0.0 255.0.0.0", 
                                             "deny ip any host 255.255.255.255", 
                                             "deny udp any any eq 135", 
                                             "deny tcp any any eq 135", 
                                             "deny udp any any range 137 139", 
                                             "deny tcp any any range 137 139", 
                                             "deny udp any any range 161 162", 
                                             "deny udp any any eq 520", 
                                             "deny udp any any eq 111", 
                                             "deny udp any any eq 22289", 
                                             "deny udp any any eq 1710", 
                                             "deny udp any any eq 1048", 
                                             "deny udp any any eq 158", 
                                             "deny udp any any eq 515";
                        }
                        lowoutput {
                                policy = "permit";
                        }
                        highinput {
                                policy = "permit";
                        }
                        highoutput {
                                policy = "permit";
                                accesslist = 
                                             "reject ip any 242.0.0.0 255.0.0.0", 
                                             "deny ip any host 255.255.255.255", 
                                             "reject ip any 169.254.0.0 255.255.0.0", 
                                             "reject udp any any range 161 162", 
                                             "reject udp any any eq 111";
                        }
                }
        } {

 

[for0nes]

hier sind dann auch noch meine config vom
VPN-Server:

#  OpenVPN 2.1 Config, Sat Jan  1 01:01:10 CET 2000
proto udp
dev tun
secret /tmp/flash/static.key
port 1194
ifconfig 10.5.0.10 10.5.0.20
route 192.168.101.0 255.255.255.0 10.5.0.20
push "route 192.168.100.0 255.255.255.0"
tun-mtu 1500
mssfix
verb 3
daemon
cipher BF-CBC
comp-lzo
keepalive 10 120
status /var/log/openvpn.log

und der Client:

#  OpenVPN 2.1 Config, Sat Jan  1 01:01:08 CET 2000
proto udp
dev tun
secret /tmp/flash/static.key
remote ####.dyndns.org
nobind
route 192.168.100.0 255.255.255.0 10.5.0.10
ifconfig 10.5.0.20 10.5.0.10
tun-mtu 1500
mssfix
verb 3
daemon
cipher BF-CBC
comp-lzo
keepalive 10 120
resolv-retry infinite
status /var/log/openvpn.log

So krieg ich keine Verbindung hin, geht auch kein Ping auf RemotIP...
Woran kann das liegen? Vielleicht doch an den Weiterleigunsregeln auf der Fritzbox?

gruß

 

[MaxMuster]

Tja, viel fällt mir nicht mehr ein...

Könntest du mal eine "normale" Portweiterleitung über das Webinterface der Box einrichten und dann den Inhalt der ar7.cfg nochmal posten (wie in Beitrag #11)?

Jörg

 

[milchbart]

Hallo,

ich habe derzeit das gleiche Problem. Nur eine ewig alte Regel auf 443 funktioniert, alle neuen in der ar7.cfg mit Neustarten funktionieren nicht.

@MaxMuster: Habe ich auch in meinem OpenVPN Thread erwähnt.

Wäre für jeden Vorschlag dankbar!

Lg
Martin

 

[matze1985]

Hmm, poste doch mal den forward-Bereich aus der ar7.cfg es gab da schon mal Fälle wo sowas durch ein falsches komma oder so hervorgerufen wurden.

 

[for0nes]

mal spasshalber emule über das mormale webinterface frei gemacht:

                dsldpconfig {
                        security = dpsec_firewall;
                        lowinput {
                                policy = "permit";
                                accesslist = 
                                             "deny ip any 242.0.0.0 255.0.0.0", 
                                             "deny ip any host 255.255.255.255", 
                                             "deny udp any any range 161 162", 
                                             "deny udp any any eq 111";
                        }
                        lowoutput {
                                policy = "permit";
                        }
                        highinput {
                                policy = "permit";
                        }
                        highoutput {
                                policy = "permit";
                                accesslist = 
                                             "reject ip any 242.0.0.0 255.0.0.0", 
                                             "deny ip any host 255.255.255.255", 
                                             "reject ip any 169.254.0.0 255.255.0.0", 
                                             "reject udp any any range 161 162", 
                                             "reject udp any any eq 111";
                        }
                        forwardrules = 
                                       "udp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPN", 
                                       "udp 0.0.0.0:4672 192.168.100.10:4672 0 # eMule UDP";
                }
                hansenet_manual_mode = no;
        } {

Sollte ich mir vielleicht eine andere Firmware basteln?
Nach dieser Anleitung: http://www.ip-phone-forum.de/showthread.php?t=172137 Beitrag 8...
"Anleitung für 58er FW + Freetz"

Vieeleicht geht damit ja VPN bei mir...