Routing PPTPD 7270

Grisu-2008

Neuer User
Mitglied seit
17 Okt 2008
Beiträge
44
Punkte für Reaktionen
2
Punkte
8
Hallo Leute,

ich habe erfolgreich auf meine Fritzbox 7270 (Firmware-Version 54.04.59freetz-devel) PPTPD zum Laufen gebracht. Die Konfiguration sieht wie folgt aus:
Ip-Adresse der Fritzbox: 192.168.112.1
Subnetzmaske: 255.255.255.0

IP-Adresse des VPN-Server: 192.168.112.100
Subnetzmaske: 255.255.255.255
DNS: 192.168.112.1
Clients bekommen die IP-Adressen 192.168.112.101-105

Die Verbindung kann erfolgreich aufgebaut werden, jedoch ist jegliche Kontaktaufnahme (Ping oder VNC) unmöglich. Sobald die VPN-Verbindung steht kann ich von der lokalen Seite den VPN-Server pingen,jedoch nicht die VPN-Clients. Von der externen Seite ist kein Ping möglich.Ich weiß, dass ich noch irgendeine Route auf der Fritbox eintragen muss, jedoch hab ich verschiedene Routen schon versucht, aber keine führte zum Erfolg :-(.

Kann mir jemand von euch weiterhelfen und die korrekten Einstellungen mitteilen? Vielen Dank bereits im vorraus.

Grüße
Grisu
 
Ich verstehe zwar nicht was bei dir die "lokale" Seite ist, aber versuch doch mal dem VPN-Server die gleiche Adresse zu geben wie der FritzBox, also 192.168.112.1
Routen mußt du dann keine hinzufügen.
So funktioniert es bei mir.
 
Unter lokalen Seite verstehe ich das Netzwerk auf das ich mich per VPN verbinden möchte, also meine Clients im Netz 192.168.112.0 mit der Subnetzmaske 255.255.255.0.
Ich habe auch schon versucht dem VPN-Server die 192.168.112.1 zu geben, doch leider hat dies auch keine Änderung der Situation bewirkt. Ich denke dies liegt an den verschiedenen Subnetzmasken.
 
Das hatte ich übersehen! Dann mach die Subnetzmasken mal gleich!

Mal ne blöde Frage: Wo gibst du die Subnetzmasken an? In meinen Configfiles habe ich sie nirgends stehen!
 
das ist eine gute Frage, die ich dir nicht beantworten kann. Ich habe in keinem Configfile die Subnetzmaske angegeben, wo die herkommt weiß ich leider nicht :confused:

Anbei mal meine Configfiles:

PPTPD Options

[Edit frank_m24: Bitte benutzt CODE Tags für lange Ausgaben.]
Code:
# Authentication

# Name of the local system for authentication purposes 
# (must match the second field in /etc/ppp/chap-secrets entries)
name fritzbox

# Strip the domain prefix from the username before authentication.
# (applies if you use pppd with chapms-strip-domain patch)
#chapms-strip-domain

# Encryption
# (There have been multiple versions of PPP with encryption support,
# choose with of the following sections you will use.)

# BSD licensed ppp-2.4.2 upstream with MPPE only, kernel module ppp_mppe.o
# {{{
refuse-pap
refuse-chap
refuse-mschap
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
require-mschap-v2
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
# require-mppe-128
mppe required
# }}}

# Network and Routing

# If pppd is acting as a server for Microsoft Windows clients, this
# option allows pppd to supply one or two DNS (Domain Name Server)
# addresses to the clients.  The first instance of this option
# specifies the primary DNS address; the second instance (if given)
# specifies the secondary DNS address.
ms-dns 192.168.112.1

# If pppd is acting as a server for Microsoft Windows or "Samba"
# clients, this option allows pppd to supply one or two WINS (Windows
# Internet Name Services) server addresses to the clients.  The first
# instance of this option specifies the primary WINS address; the
# second instance (if given) specifies the secondary WINS address.
#ms-wins 10.0.0.3
#ms-wins 10.0.0.4

# Add an entry to this system's ARP [Address Resolution Protocol]
# table with the IP address of the peer and the Ethernet address of this
# system.  This will have the effect of making the peer appear to other
# systems to be on the local ethernet.
# (you do not need this if your PPTP server is responsible for routing
# packets to the clients -- James Cameron)
proxyarp

# Logging

# Enable connection debugging facilities.
# (see your syslog configuration for where pppd sends to)
#debug

# Print out all the option values which have been set.
# (often requested by mailing list to verify options)
#dump

# Miscellaneous

# Create a UUCP-style lock file for the pseudo-tty to ensure exclusive
# access.
lock

# Disable BSD-Compress compression
nobsdcomp 

# Disable Van Jacobson compression 
# (needed on some networks with Windows 9x/ME/XP clients, see posting to
# poptop-server on 14th April 2005 by Pawel Pokrywka and followups,
# [url]http://marc.theaimsgroup.com/?t=111343175400006&r=1&w=2[/url] )
novj
novjccomp

# turn off logging to stderr, since this may be redirected to pptpd
#nologfd

PPTPD Config
Code:
# TAG: ppp
#	Path to the pppd program, default '/usr/sbin/pppd' on Linux
#
ppp /usr/sbin/pppd

# TAG: option
#	Specifies the location of the PPP options file.
#	By default PPP looks in '/etc/ppp/options'
#
option /etc/ppp/options.pptpd

# TAG: debug
#	Turns on (more) debugging to syslog
#
#debug

# TAG: stimeout
#	Specifies timeout (in seconds) on starting ctrl connection
#
#stimeout 10

# TAG: noipparam
#       Suppress the passing of the client's IP address to PPP, which is
#       done by default otherwise.
#
#noipparam

# TAG: logwtmp
#	Use wtmp(5) to record client connections and disconnections.
#
#logwtmp

# TAG: bcrelay <if>
#	Turns on broadcast relay to clients from interface <if>
#
bcrelay lan

# TAG: localip
# TAG: remoteip
#	Specifies the local and remote IP address ranges.
#
#       Any addresses work as long as the local machine takes care of the
#       routing.  But if you want to use MS-Windows networking, you should
#       use IP addresses out of the LAN address space and use the proxyarp
#       option in the pppd options file, or run bcrelay.
#
#	You can specify single IP addresses seperated by commas or you can
#	specify ranges, or both. For example:
#
#		192.168.0.234,192.168.0.245-249,192.168.0.254
#
#	IMPORTANT RESTRICTIONS:
#
#	1. No spaces are permitted between commas or within addresses.
#
#	2. If you give more IP addresses than MAX_CONNECTIONS, it will
#	   start at the beginning of the list and go until it gets 
#	   MAX_CONNECTIONS IPs. Others will be ignored.
#
#	3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,
#	   you must type 234-238 if you mean this.
#
#	4. If you give a single localIP, that's ok - all local IPs will
#	   be set to the given one. You MUST still give at least one remote
#	   IP for each simultaneous client.
#
# (Recommended)
localip 192.168.112.100
remoteip 192.168.112.101-102
# or
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
 
Zuletzt bearbeitet von einem Moderator:
okay also ändere in der pptpd config
localip 192.168.112.100
nach
localip 192.168.112.1

Und woher hast du das dann mit den Subnetzmasken?

Welche IP haben deine Clients in ihren lokalen Netzen? Sie sollten ein anderes Subnetz haben als das deines Servernetzes bzw. VPN Netzes.
 
auch wenn ich die local ip in der Config auf 192.168.112.1 abändere kann ich keinen Remoteclient erreichen und umgekehrt auch nicht.
Die Subnetzmaske lese ich in der Eingabeaufforderung über ipconfig/all ab und dort ist unter der Vpn-Verbindung die Subnetzmaske 255.255.255.255 zu finden.
Die Clients haben in meinem lokalen Netz die Ip-Adressen 192.168.112.10-20 unter der Subnetzmaske 255.255.255.0
 
Du mußt den Clients in deinem lokalen Netz ein anderes Subnetz geben. zb. 192.168.113.10-20 mit der Maske 255.255.255.0

Glaub ich zumindest...

In welche Richtung funktioniert denn jetzt das pingen? Nur vom lokalen Client zum Server, nicht aber zu den Rechnern im Servernetzwerk?
 
Zuletzt bearbeitet:
ich hab jetzt für VPN ein neues Nezt gemacht.
Der VPN-Server hat nun die 192.168.113 und die Remoteclients bekommen die IPs 192.168.113.100-105. Die Subnetzmaske lautet 255.255.255.255 (hab bis jetzt immernoch keine Ahnung wo die herkommt).
Die lokale Seite sieht immernoch so aus: Fritbox 192.168.112.1 Clients 192.168.112.10-20 und Subnetzmaske 255.255.255.0
Sobald ein User eingewählt ist kann ich von einem lokalen Client (192.168.112.11) den VPN Server pingen, aber keinen Remoteuser.
Der Remoteuser kann nichts anpingen, auch nicht den VPN-Server.
Da nun der VPN-Teil in einem anderen Netz ist muss ich doch irgendeine Route setzen oder nicht?
 
Ja theoretisch schon...

Aber nicht wenn du es so machst:

Fritzbox: 192.168.112.1 Subnetzmaske 255.255.255.0
VPN-Server: 192.168.112.1

IP für die Rechner die sich einwählen: 192.168.112.100-105 in der config angeben. Das ist die IP die die Rechner bei der Einwahl via PPtP zugewiesen bekommen, sie bekommt automatisch die Subnetzmaske 255.255.255.255 und wird als virtuelle IP automatisch bei der Einwahl angelegt. Das ist nicht die IP die diese Rechner in ihrem eigenen Netz haben!

IP für die Rechner die sich einwählen in ihrem eigenen Netz aus einem anderen Subnetz: 192.168.113.xxx Subnetz 255.255.255.0 unter Windows bei der Netwerkkonfiguration angeben. StandardGateway ist die IP des dort verwendeten DSL-Routers aus dem 113er Netz.

IP für die Rechner die mit der FritzBox im Netz sind: 192.168.112.xxx Subnetz 255.255.255.0 unter Windows bei der Netwerkkonfiguration angeben. StandardGateway ist die IP der FritzBox.

Sobald sich ein Rechner aus dem 113er Netz einwählt erzeugt er eine virtuelle Netzwerkkarte und bekommt für diese vom VPN Server eine IP aus dem 112er Netz. Soll nun ein IP-Paket an das 112er Netz gesendet werden weiß der Rechner dass er seine virtuelle Netzwerkkarte dafür benutzen soll und sendet das Paket an den VPN-Server, der dieses in sein lokales Netz leitet.

Damit die Rechner auf der Seite des VPN-Servers antworten können muß der arpproxy auf dem Server aktiv sein. Der nimmt dann alle Pakete in seinem lokalen Netz die an die 112.101-105er IPs adressiert sind entgegen und leitet diese in den richtigen VPN-Tunnel.

So, ich hoffe das war verständlich...
 
Zuletzt bearbeitet:
danke für deine Bemühungen.

Ich habe dem VPN-Server die IP 192.168.112.1 und den clients,die sich einwählen, in der config die 192.168.112.100-105 gegeben.
Diese Clients besitzen ein anderes Subnetz in ihrem lokalen Netz. Dieses Subnetz ist 192.168.178.0 mit der Subnetzmaske 255.255.255.0.
Die Rechner die mit der Fritzbox vernetzt sind haben die Ipadressen 192.168.112.10-20 unter der Subnetzmaske 255.255.255.0

Wie kann ich nun den approxy auf dem Server aktivieren, damit die VPN-Clients antworten können?
 
Hallo,

ich verfolge gerade den Thread und hab auch noch mal mit der besagten Box gekämpft. Bei mir läuft OpenVPN einwandfrei. Die Einträge in die ar7.cfg sind übrigens gemacht worden. Kannst du bitte mal deine Konfig posten?

Gruß

Tobias
 
@Grisu

Dein arpproxy ist laut deiner config aktiviert! (proxyarp)

Also eigentlich sollte ein ping in alle Richtungen funktionieren. Ich kann keinen Unterschied zu meinen Configs feststellen. Außer: Meine Options Datei hat einen anderen Pfad:
"option /var/flash/options.pptpd"
Aber ich glaube nicht das es daran liegt.
Ich habe weder auf der FritzBox noch auf den Clients irgendwelche Routen hinzugefügt und kann in alle Richtungen jeden Rechner erreichen.

Kannst du denn von der FritzBox aus alle Rechner anpingen?

@Papi
Die configs sind weiter oben doch gepostet?? Oder willst du meine? Es geht um PPtP und nicht um OpenVPN ?
 
Von der Fritzbox aus lassen sich auch nur meine lokalen Rechner, die mit der Fritzbox verbunden sind, pingen, die Remoteseite ist nicht erreichbar.
Ich hab mir mal die Routingtabelle vor und während des Einwählens angeschaut.
Im "Normalbetrieb" ohne Einwahl sieht das ganze wie im Bild 1 aus. Bild 2 zeigt den Zustand während ein User eingewählt ist. Ist damit alles in Ordnung?
 

Anhänge

  • 1.JPG
    1.JPG
    19.8 KB · Aufrufe: 12
  • 2.JPG
    2.JPG
    23.2 KB · Aufrufe: 12
Das sieht in Ordnung aus.
Was bringt ifconfig für eine Ausgabe?
 
ifconfig zeigt an:

1.) im "Neutralen", nicht eingewählten Zustand
Code:
/var/mod/root # ifconfig
ath0      Link encap:Ethernet  HWaddr 00:1F:3F:13:A0:BC
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:2290  Metric:1
          RX packets:18628 errors:0 dropped:0 overruns:0 frame:0
          TX packets:26183 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1882559 (1.7 MiB)  TX bytes:32948279 (31.4 MiB)

cpmac0    Link encap:Ethernet  HWaddr 00:1F:3F:55:5B:80
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3888310 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5310160 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:556914752 (531.1 MiB)  TX bytes:1968155490 (1.8 GiB)

dsl       Link encap:Point-to-Point Protocol
          inet addr:169.254.2.1  P-t-P:169.254.2.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:883397 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1558536 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:784907768 (748.5 MiB)  TX bytes:170543110 (162.6 MiB)

eth0      Link encap:Ethernet  HWaddr 00:1F:3F:55:5B:80
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:3888310 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5309783 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:128
          RX bytes:556914752 (531.1 MiB)  TX bytes:1967769013 (1.8 GiB)

lan       Link encap:Ethernet  HWaddr 00:1F:3F:55:5B:80
          inet addr:192.168.112.1  Bcast:192.168.112.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:4564995 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2846423 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:539210389 (514.2 MiB)  TX bytes:2870330575 (2.6 GiB)

lan:0     Link encap:Ethernet  HWaddr 00:1F:3F:55:5B:80
          inet addr:169.254.1.1  Bcast:169.254.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:35396 errors:0 dropped:0 overruns:0 frame:0
          TX packets:35396 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2108250 (2.0 MiB)  TX bytes:2108250 (2.0 MiB)

wifi0     Link encap:Ethernet  HWaddr 00:1F:3F:13:A0:BC
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:19462 errors:0 dropped:0 overruns:0 frame:2803
          TX packets:26472 errors:2 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2677020 (2.5 MiB)  TX bytes:34067028 (32.4 MiB)
          Interrupt:80 Memory:c03e0000-c03f0000

2.)im eingewählten Zustand:
Code:
/var/mod/root # ifconfig
ath0      Link encap:Ethernet  HWaddr 00:1F:3F:13:A0:BC
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:2290  Metric:1
          RX packets:19131 errors:0 dropped:0 overruns:0 frame:0
          TX packets:26618 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1953931 (1.8 MiB)  TX bytes:33179578 (31.6 MiB)

cpmac0    Link encap:Ethernet  HWaddr 00:1F:3F:55:5B:80
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3888745 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5310697 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:557037821 (531.2 MiB)  TX bytes:1968431958 (1.8 GiB)

dsl       Link encap:Point-to-Point Protocol
          inet addr:169.254.2.1  P-t-P:169.254.2.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:883872 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1559285 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:785126623 (748.7 MiB)  TX bytes:170716318 (162.8 MiB)

eth0      Link encap:Ethernet  HWaddr 00:1F:3F:55:5B:80
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:3888745 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5310320 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:128
          RX bytes:557037821 (531.2 MiB)  TX bytes:1968045481 (1.8 GiB)

lan       Link encap:Ethernet  HWaddr 00:1F:3F:55:5B:80
          inet addr:192.168.112.1  Bcast:192.168.112.255  Mask:255.255.255.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:4565933 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2846958 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:539389958 (514.4 MiB)  TX bytes:2870569387 (2.6 GiB)

lan:0     Link encap:Ethernet  HWaddr 00:1F:3F:55:5B:80
          inet addr:169.254.1.1  Bcast:169.254.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:35398 errors:0 dropped:0 overruns:0 frame:0
          TX packets:35398 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2108354 (2.0 MiB)  TX bytes:2108354 (2.0 MiB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:192.168.112.1  P-t-P:192.168.112.100  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1400  Metric:1
          RX packets:44 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:4166 (4.0 KiB)  TX bytes:475 (475.0 B)

wifi0     Link encap:Ethernet  HWaddr 00:1F:3F:13:A0:BC
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:20035 errors:0 dropped:0 overruns:0 frame:2880
          TX packets:26919 errors:3 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2774703 (2.6 MiB)  TX bytes:34318811 (32.7 MiB)
          Interrupt:80 Memory:c03e0000-c03f0000
 
Sieht exakt aus wie bei mir...
Wie hast du denn die Portweiterleitung eingerichtet um von extern auf den VPN-Server zu kommen? Ich habe bei mir ein 2. Interface eth0:1 mit einer 2. IP für die Box angelegt und im WebIF eine Portweiterleitung auf diese IP eingerichtet. Ich weiß aber nicht ob das bei den aktuellen Images noch geht.

Meine Installtion ist mindestens 1 Jahr alt und läuft noch auf dem 2.4er Kernel einer FritzBoxWLAN. Ich habe gestern mal ein aktuelles Image für meine W900V mit PPtP kompiliert und aufgespielt, ich werde das mal damit testen...
 
ich habe die ar7.cfg bearbeitet und dort die Portweiterleitungen eingeleitet. Eine virtuelle IP habe ich daher nicht erstellt, sondern alles direkt in der ar7.cfg hinterlegt.
 
Mit einem aktuellen Image 34.04.59freetz-devel-2682 funktioniert meine Konfiguration wie oben beschrieben. Ich kann in alle Richtungen pingen ohne irgendwelche Routen zu setzen. Die Portweiterleitung mache ich jedoch mit Hilfe von VirtualIP. Ich habe keine weiteren Pakete außer PPtPd installiert.
Vielleicht versuchst du dass mal. Ein anderer Verdacht wäre noch ein anderes interface in den configs auszuwählen (bcrelay lan , statt lan mal eth0?). Da kenne ich mich nicht wirklich aus, aber vielleicht sind die interfaces bei der 7270 anders zugeordnet?

EDIT:
Ich habe meine Portfreigabe nun auch in der ar7.cfg eingetragen und virtualip deaktiviert, was auch funktioniert.
Ich weiß wirklich nicht was bei dir schief geht, compilier dir doch mal testweise ein minimalimage, falls du das noch nicht getan hast...
 
Zuletzt bearbeitet:
ich werde am Wochenende mal eine Firmware mit Virtueller Ip einspielen und das ganze damit dann testen. Ich werde mich melden sobald ich Ergebnisse habe. Danke für die Hilfe.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,300
Beiträge
2,249,714
Mitglieder
373,904
Neuestes Mitglied
Elemir
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.