.titleBar { margin-bottom: 5px!important; }

Portfreigabe & OpenVPN

Dieses Thema im Forum "Freetz" wurde erstellt von for0nes, 5 Feb. 2009.

  1. for0nes

    for0nes Neuer User

    Registriert seit:
    27 Dez. 2008
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    ich habe hier einen Speedport920W gefritzt, mit Freetz (Firmware-Version 54.04.67freetz-devel-3002M).

    Versuche OpnVPN über das WebInterface zu konfigurieren, die Gegenstelle hat die gleiche Kiste.

    OpenVPN-Server: 192.168.100.5
    OpenVPN-Client: 192.168.101.4

    Die Rechner hinter dem jeweiligen Router befinden sich im Netz 192.168.100.X, bzw. 192.168.101.X.
    Oder müssen die Ip-Adressen bei beiden im gleichen Bereich liegen?

    Es scheitert schon an der Portfreigabe auf die Fritzbox selber. Ich habe ein zweites Interface eth0:0 mit einer anderen IP (z.B. 192.168.100.253) anlegt.

    In die debug.cfg folgendes eingetragen:
    echo "ifconfig eth0:0 192.168.100.253 netmask 255.255.255.0 up" > /var/flash/debug.cfg

    Anschließend im WebIF Freetz das Portforwarding eingerichtet, Regel:
    udp 0.0.0.0:1194 192.168.100.253:1194 0 # OpenVPN

    Muß ich den Port dann auch noch in der AVM-Firewall freigeben?
    Da stehen is jetzt nur die Standard-Regeln drin.

    Einstellungen übernommen und Box sogar neu gestartet.
    Wie kann ich jetzt testen, ob der Port tatsächlich von außen erreichbar ist. Hab schon mit www.port-scan.de versucht, der zeigt den nicht an.

    Ich denke mal, das sich meine Probleme mit OpenVPN von alleine erledigen, wenn die Portfreigabe funktioniert.

    Vielen Dank fürs Lesen!
     
  2. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das Portforwarding klappt so nicht mehr, suche mal nach virtualIP und Probleme.

    Forwarding auf eine eigene IP und in diesem Fall merkt die Box, dass es eine eigene ist, werden ignoriert, wenn die IP besteht bevor die Forwardings angelegt werden, also bevor die dsl-verbidnung steht.

    Lege am besten ein Forwarding auf 0.0.0.0 an.
     
  3. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Näheres ist hier zu lesen.
     
  4. for0nes

    for0nes Neuer User

    Registriert seit:
    27 Dez. 2008
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Zu VirtualIP, aus dem wiki:
    ....Es wird empfohlen stattdessen, dass AVM-Firewall Paket zu nehmen.

    Das hab ich ja drauf. Neue Forwarding-Regel in er AVM-Firewall erstellt:
    udp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPN

    Übernommen und Box neu gestartet.
    port-scan.de zeigt aber immer noch keinen offenen Port an.

    Was mach ich nur falsch:confused:
     
  5. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,923
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Zwei Fragen:

    - OpenVPN ist auch gestartet?
    - Der Test findet auf der "Server-Seite" statt, also auf die Box, wo der OpenVPN-Server läuft?

    Jörg
     
  6. for0nes

    for0nes Neuer User

    Registriert seit:
    27 Dez. 2008
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    So, wie ich oben das Forwarding im Freetz-WebIF eingtragen habe, wird im WebIF von AVM gar keine Freigabe angezeigt. Also ist auch keine Freigabe definiert!?

    Ja, OpenVPN Server läuft hier. und versuch auch hier den Port test...

    Hab mal die Forwardings angehängt...
     

    Anhänge:

  7. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hast Du die ar7.cfg angepasst (port forwarding nach 0.0.0.0)?
     
  8. for0nes

    for0nes Neuer User

    Registriert seit:
    27 Dez. 2008
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    wie kann ich die ar7.cfg editieren? über telnet?

    Sorry, hab ich noch nicht gemacht...
     
  9. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    die brauchst du ja nicht mehr editieren, da du das per Firewall-CGI gemacht hast.

    Hast du den Hacken unten rechts zum übernehmen und anwenden der Regeln angehackt beim übernehmen?
     
  10. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,923
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Hi,

    wenn die Forwardingregel so drin ist, ist es o.k.. Mich wundert etwas, das in der FirewallGUI keine Regeln für VoIP zu sehen sind... Poste doch mal bitte die Ausgabe von diesem Befehl in der "RudiShell":

    Code:
    sed -n '/dsldp/,/} {/ {p; /} {/ q}' /var/flash/ar7.cfg
    
    Nachtrag: Hast du auf der "Dienste" Seite mal geprüft, ob das OpenVPN auch gestartet ist?


    Nur so am Rande: Die OpenVPN-Config ist so vermutlich nicht o.k., denn du vergibst dem Tunnel Adressen aus dem LAN, wenn ich das richtig sehe. Richtig wäre es, wenn du dafür komplett andere IP's nimmst, also z.B. lokal 192.168.200.1 und remote 192.168.200.2 . Die Verbindung zwischen den Netzen passiert dann über das Routing...


    Jörg
     
  11. for0nes

    for0nes Neuer User

    Registriert seit:
    27 Dez. 2008
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @matze1985

    ja, den Haken hab ich gemacht beim Übernhemen.

    @maxmuster

    Hatte gestern nochmal ein neues Image erstellt, da ging dann aber Rudi.Shell nicht, wegen Sicherheitsstufe. Hab jetzt das alte wieder eingespielt.

    Log:
    [Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]
    Code:
    dsldpconfig {
                            security = dpsec_firewall;
                            lowinput {
                                    policy = "permit";
                                    accesslist = 
                                                 "deny ip any 242.0.0.0 255.0.0.0", 
                                                 "deny ip any host 255.255.255.255", 
                                                 "deny udp any any range 161 162", 
                                                 "deny udp any any eq 111";
                            }
                            lowoutput {
                                    policy = "permit";
                            }
                            highinput {
                                    policy = "permit";
                            }
                            highoutput {
                                    policy = "permit";
                                    accesslist = 
                                                 "reject ip any 242.0.0.0 255.0.0.0", 
                                                 "deny ip any host 255.255.255.255", 
                                                 "reject ip any 169.254.0.0 255.255.0.0", 
                                                 "reject udp any any range 161 162", 
                                                 "reject udp any any eq 111";
                            }
                            forwardrules = 
                                           "udp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPN";
                    }
                    hansenet_manual_mode = no;
            } {
    
    Auf der Dienste Seite kann ich openVPN stoppen und restarten, also wird der wohl laufen.

    Sind eigentlich die Standard-regeln + OpenVPN.
    Wofür brauch ich VoIP?
     
  12. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    zum Telefonieren über Internet, aber dass muss jeder für sich selbst entscheiden :rolleyes:...
     
  13. for0nes

    for0nes Neuer User

    Registriert seit:
    27 Dez. 2008
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ja, das war mir schon klar.
    weiß nur nicht , wie das jetzt mit OpenVPN zusammen hängen sollte.
     
  14. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,923
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    ... hat cando ja schon beantwortet. Hintergrund der Frage war, dass ich bislang dachte, dass alle VoIP-Boxen standardmäßig in den forward-Regeln so anfangen:

    Code:
                            }
                            forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060", 
    
    
    Könntest du nochmal dieses eingeben?
    Code:
    cat `find /etc/default* | grep ar7.cfg`| sed -n '/dsldp/,/} {/ {p; /} {/ q}'
    (Wenn du das Ergebnis zwischen [noparse]
    Code:
     und 
    [/noparse] postest, ist es besser zu lesen...)

    Danke!

    Jörg
     
  15. for0nes

    for0nes Neuer User

    Registriert seit:
    27 Dez. 2008
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke für die Antwort und den Hinweis mit dem Code, wieder was gelernt...
    Wie gesagt, es ist ein Speedport W920 von der Telekom, gefritzt nach der Anleitung hier im Forum. Und anschließend noch Freetz hinzugefügt.
    Läuft eigentlich super, nur die kleinen Probleme mit VPN.


    Code:
                   dsldpconfig {
                            security = dpsec_firewall;
                            lowinput {
                                    policy = "permit";
                                    accesslist = 
                                                 "deny ip any 242.0.0.0 255.0.0.0", 
                                                 "deny ip any host 255.255.255.255", 
                                                 "deny udp any any eq 135", 
                                                 "deny tcp any any eq 135", 
                                                 "deny udp any any range 137 139", 
                                                 "deny tcp any any range 137 139", 
                                                 "deny udp any any range 161 162", 
                                                 "deny udp any any eq 520", 
                                                 "deny udp any any eq 111", 
                                                 "deny udp any any eq 22289", 
                                                 "deny udp any any eq 1710", 
                                                 "deny udp any any eq 1048", 
                                                 "deny udp any any eq 158", 
                                                 "deny udp any any eq 515";
                            }
                            lowoutput {
                                    policy = "permit";
                            }
                            highinput {
                                    policy = "permit";
                            }
                            highoutput {
                                    policy = "permit";
                                    accesslist = 
                                                 "reject ip any 242.0.0.0 255.0.0.0", 
                                                 "deny ip any host 255.255.255.255", 
                                                 "reject ip any 169.254.0.0 255.255.0.0", 
                                                 "reject udp any any range 161 162", 
                                                 "reject udp any any eq 111";
                            }
                    }
            } {
    
     
  16. for0nes

    for0nes Neuer User

    Registriert seit:
    27 Dez. 2008
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hier sind dann auch noch meine config vom
    VPN-Server:

    Code:
    #  OpenVPN 2.1 Config, Sat Jan  1 01:01:10 CET 2000
    proto udp
    dev tun
    secret /tmp/flash/static.key
    port 1194
    ifconfig 10.5.0.10 10.5.0.20
    route 192.168.101.0 255.255.255.0 10.5.0.20
    push "route 192.168.100.0 255.255.255.0"
    tun-mtu 1500
    mssfix
    verb 3
    daemon
    cipher BF-CBC
    comp-lzo
    keepalive 10 120
    status /var/log/openvpn.log
    

    und der Client:

    Code:
    #  OpenVPN 2.1 Config, Sat Jan  1 01:01:08 CET 2000
    proto udp
    dev tun
    secret /tmp/flash/static.key
    remote ####.dyndns.org
    nobind
    route 192.168.100.0 255.255.255.0 10.5.0.10
    ifconfig 10.5.0.20 10.5.0.10
    tun-mtu 1500
    mssfix
    verb 3
    daemon
    cipher BF-CBC
    comp-lzo
    keepalive 10 120
    resolv-retry infinite
    status /var/log/openvpn.log
    
    So krieg ich keine Verbindung hin, geht auch kein Ping auf RemotIP...
    Woran kann das liegen? Vielleicht doch an den Weiterleigunsregeln auf der Fritzbox?

    gruß
     
  17. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,923
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Tja, viel fällt mir nicht mehr ein...

    Könntest du mal eine "normale" Portweiterleitung über das Webinterface der Box einrichten und dann den Inhalt der ar7.cfg nochmal posten (wie in Beitrag #11)?

    Jörg
     
  18. milchbart

    milchbart Neuer User

    Registriert seit:
    17 Sep. 2006
    Beiträge:
    23
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo,

    ich habe derzeit das gleiche Problem. Nur eine ewig alte Regel auf 443 funktioniert, alle neuen in der ar7.cfg mit Neustarten funktionieren nicht.

    @MaxMuster: Habe ich auch in meinem OpenVPN Thread erwähnt.

    Wäre für jeden Vorschlag dankbar!

    Lg
    Martin
     
  19. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hmm, poste doch mal den forward-Bereich aus der ar7.cfg es gab da schon mal Fälle wo sowas durch ein falsches komma oder so hervorgerufen wurden.
     
  20. for0nes

    for0nes Neuer User

    Registriert seit:
    27 Dez. 2008
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #20 for0nes, 9 Feb. 2009
    Zuletzt bearbeitet: 10 Feb. 2009
    mal spasshalber emule über das mormale webinterface frei gemacht:

    Code:
                    dsldpconfig {
                            security = dpsec_firewall;
                            lowinput {
                                    policy = "permit";
                                    accesslist = 
                                                 "deny ip any 242.0.0.0 255.0.0.0", 
                                                 "deny ip any host 255.255.255.255", 
                                                 "deny udp any any range 161 162", 
                                                 "deny udp any any eq 111";
                            }
                            lowoutput {
                                    policy = "permit";
                            }
                            highinput {
                                    policy = "permit";
                            }
                            highoutput {
                                    policy = "permit";
                                    accesslist = 
                                                 "reject ip any 242.0.0.0 255.0.0.0", 
                                                 "deny ip any host 255.255.255.255", 
                                                 "reject ip any 169.254.0.0 255.255.0.0", 
                                                 "reject udp any any range 161 162", 
                                                 "reject udp any any eq 111";
                            }
                            forwardrules = 
                                           "udp 0.0.0.0:1194 0.0.0.0:1194 0 # OpenVPN", 
                                           "udp 0.0.0.0:4672 192.168.100.10:4672 0 # eMule UDP";
                    }
                    hansenet_manual_mode = no;
            } {
    

    Sollte ich mir vielleicht eine andere Firmware basteln?
    Nach dieser Anleitung: http://www.ip-phone-forum.de/showthread.php?t=172137 Beitrag 8...
    "Anleitung für 58er FW + Freetz"

    Vieeleicht geht damit ja VPN bei mir...