[solved] dynamische IP: VPN herstellen zum Zugriff auf Intranetserver im Büro

[procarion]

Hallo zusammen!
Ich habe gerade alle meine Fritzboxen zusammengekramt und bin auf freetz gestoßen, weil ich wusste, dass man daraus mehr machen kann. Nun habe ich mein erstes Minimal-Image auf eine 7050 gebracht und möchte versuchen, mir von meiner 7170 (Haupt-Box) einen kleinen Gefallen tun zu lassen:
Ich habe in unserem Haus einen Intranetserver laufen. Dessen Webseiten möchte ich z.B. vom Blackberry oder UMTS-Laptop auch unterwegs aufrufen können.
((Damit nicht aus Zweifel am Sinn die Hilfe verweigert wird: Dort finden sich z.B. gescannte Kundenunterlagen, die ich gern mal vergesse auszudrucken und dann beim Termin unvorbereitet dastehe. So hätte ich die Chance, wenigstens einen kleinen Blick reinzuwerfen oder die notdürftig auszudrucken.))

Nun ist meine halbjährige Linux (Slackware)-Erfahrung mittlerweile acht Jahre her, ich hatte eh seltenst Kontakt zur Kommandozeile und mir fehlt der Überblick.
Welche Pakete muss ich installieren, um die Fritzbox dazu zu bringen, VPN-Verbindungen anzunehmen? Und ist die VPN-Verbindung schon alles? Dann im Blackberry-Browser nur "10.168.254.110:80" (private Adresse vom Intranetserver) eingeben und es läuft? Oder muss ich an der NAT fummeln?

Dank und Gruß!
Steve.

 

[MaxMuster]

Hm, welche Box soll jetzt was tun? Die 7170 oder die 7050?
Was soll sich wohin verbinden? Das Gerät selber oder soll die 7050 "dazwischen-geschaltet" werden?

Der einfachste Weg wäre aus meiner Sicht SSH auf der Heim-Box (dropbear) und du verbindest dich z.B. mit dem NB erst per SSH mit der Box und kannst dann Ports aus deinem Netz auf deinen NB getunnelt erreichen, soweit es sich um TCP-Anwendungen (wie HTTP) handelt.


Jörg

 

[procarion]

Ich habe die 7050 nur als "Spielbox" benutzt, weil ich ja nicht so fit bin im Basteln. Aber laufen soll alles auf einer 7170, das ist auch meine Hauptbox. Die wählt sich direkt ins Internet (Arcor) ein. Telefon macht die gar nicht, das geht alles direkt über S0 aus der NTBA.
Ich habs mir so vorgestellt:

• Auf der Box läuft ein DynDNS-tool, dass unter "steve.no-ip.org" oder wo auch immer einen Eintrag zu meiner aktuellen IP pflegt.
• Auf der Box läuft ein VPN-Akzeptierer (Bin mir der Terminologie nicht sicher), der dafür sorgt, dass ich z.B. mit Cisco Anyconnect zu "steve.no-ip.org" eine Verbindung aufbauen kann.
• Dann ist doch auch mein UMTS-Laptop in der "Netzwerkumgebung" (Windowskind^^) bei mir im Büro, oder?
• Also sollte ich dann "intra.net" oder "10.168.254.110" in Opera oder Firefox eingeben können und auch in Köln meinen Intranetserver in Teltow erreichen. Stimmts?

Wenn ich soweit richtig gedacht hab kanns doch gar nicht mehr schwer sein

Danke für die schnelle Hilfe!
Steve.

 

[MaxMuster]

Also ;-)

Einen dynamische DNS brauchst du immer, das geht ja auch gut über die AVM-GUI.

Die 7170 bietet ein eingebautes VPN ("Fernzugang") wofür es ziemlich ausführliche Seiten bei AVM zu der Konfiguration und geeigneten Clients gibt. Damit bräuchtest du an der Box nichts weiter verändern, nur die Konfig erstellen und den Client auf dem NB installieren.

Mit Freetz bietet sich wie erwähnt für TCP-Dienste ansonsten auch dropbear an, mit OpenVPN gibt es eine SSL-basierte VPN-Lösung, die auch "Bridging" erlaubt, damit wird dann ein CLient virtuell in das LAN verbunden, was zwar viel Bandbreite kosten kann, aber die ganzen "Windowsdienste", die auf Broadcasts aufbauen, ohne weiteres Zutun funktionieren lässt ("Netzwerkumgebung" und sowas ;-))

Jörg

 

[procarion]

Oh nein! Ewigkeiten fummelt man sich mit diversen AVM-Produkten durchs Leben um dann innerhalb von Minuten zu lernen, dass man VPN unter "Fernzugang" zu suchen hat... Ich muss gleich testen, ob das wirklich so einfach ist!

Großes Danke!
Steve.

Edit: Konnte weder bei der 7170 noch bei der 7050 "Fernzugang" finden. Lediglich "Fernwartung", die über HTTPs funktionieren soll. Kann mir aber nicht vorstellen, dort richtig zu sein?!
Ich mache mich mal über dropbear schlau. Eventuell schreibt aber noch jemand dazwischen, wo ich das Feature bei einer 7170 (nightly build) finden kann.
Edit2: Wie peinlich. Erst lesen, dann denken, dann posten. Unter "Einstellungen | Erweiterte Einstellungen | Freigaben | VPN" findet sich das gewünschte Feature. Nun aber in Ruhe Funktionsweise testen. Danke für die Geduld. Ich trink zuviel Kaffee

 

[MaxMuster]

Jau, geht erst ab der 7170. Bei AVM findest du hier was dazu.

;-)Ich hol mir jetzt 'nen Kaffee ;-)

Jörg

 

[procarion]

So. Schön gemacht, aber für untauglich befunden.
Ich möchte mit zwei verschiedenen Nutzern verbinden können und es wäre enorm hilfreich, wenn das mit Cisco AnyConnect Client funzte, weil wir den auf den Firmenlaptops haben und nix weiter installieren können

Edit: Ich installiere OpenVPN, da die 7050 nur als LAN-Client dran hängt muss ich das auf der 7170 tun, ich hoffe, es geht nix kaputt :|

 

[MaxMuster]

... wenn die 7050 in deinem LAN eine feste IP hat, kannst du das auch da drauf bringen und von der 7170 den gewünschten Port auf diese IP weiterleiten.
Wenn die 7050 sonst nix weiter tun muss, also z.B. nicht selbst ins Netz, kannst du z.B. "remove dsld" wählen, dann sollte openVPN da auch mit der stable Version reinpassen, ansonsten brauchst du dann ja auch Telefonie nicht und kannst das auch rauspatchen.

Jörg

 

[hermann72pb]

Ich würde aber echt abchecken, ob deine Bedürfnisse nicht mit dropbear / putty und tunnels bereits abgegrast werden könnten. VPN braucht man meistens entweder für ständige Verbindungen zwischen zwei Netzen, oder wenn sich sehr viele Geräte/Dienste in einem oder beiden Subnetzen befinden. So wie es sich bei dir anhört, hält sich alles noch im Rahmen, sodass man es auch mit dropbear schaffen könnte.
Ich verstehe aber aus deiner Erklärung nur Bahnhof, warum du die Boxen bei dir in der Wohnung/Privat brauchst, wenn du denn auf das Intranet in der Firma zugreifen willst. Darüberhinaus läuten bei mir schon langsam die Glocken, wenn du sagst, dass die Admins deiner Firma es nicht so gerne sehen, wenn du etwas an deinem Notebook installierst. Hast du dich schon gefragt, warum es so ist?

MfG

 

[procarion]

So. Nu isses passiert

Die 7050 hatte ich als Spielbox benutzt, da hat alles gut geklappt. DSLd musste ich deinstallieren, damit OpenVPN drauf passte.
Beim Flashen auf die 7170 habe ich tr609 nciht entfernt; die 7170 liegt hier blubbernd neben mir...
Hatte eigentlich die 7050 als Backup konfiguriert, aber ohne DSLd geht da nix^^ Also musste ich die zweite 7170 entstauben und bin nun wenigstens wieder online.

Eine Frage aber noch:
Dropbear ist ein SSH client... ich sehe nicht, wie ich damit meinen Intranet-Server im Internet sichtbar machen soll.
Allerdings hab ich auch zu kompliziert gedacht, wenn ich die dynamische IP per dyndns schon von außen erreichbar mache sollte ein port forward (port 80 auf 10.168.254.110) ja schon reichen. Als "Sicherheit" nehme ich dann eine .htaccess, dann müssen sich die Damen im Büro eben daran gewöhnen, dass sie sich im Intranet anmelden...

Denke ich jetzt besser?

 

[procarion]

Lieber Hermann,

die "Admins" meiner "Firma" sind Angestellte. Die denken nicht. Teilweise sogar Frauen! Also erst Recht nicht. Denen isses "Wurscht" ob wir im Außendienst erfolgreich sind. Je bekloppter die sich anstellen, desto mehr haben die zu Tun und desto sicherer ist deren öder Bürojob.
Aber das tut eigentlich nix zur Sache, denn ich will auch gar nichts auf dem Dienstrechner installieren; das habe ich ja geschrieben. Ich wollte das Tool verwenden, das schon installiert ist. Cisco AnyConnect client.
In meinem ersten Post habe ich schon versucht, Leuten wie Dir, die anstatt zu helfen mit "warum willst Du das" oder "haha, das ist Unsinn" oder unkreativem Denken ("ich verstehe Deine Beschreibung nicht") ihren postcount hochtreiben freundlich zu sagen, dass ich solcherlei infantiles Gehabe nicht ausstehen kann; Das hat auch gut geklappt, Du hast Dich als Einziger in dieses Schema verirrt. Verschnitt ist immer, da lese ich eigentlich drüberweg. Aber ich hab so gut geschlafen, dass ich jetzt die Zeit habe, Dir zu schreiben, was ich davon halte: Nüx.

Jörg hat mich verstanden und mir geholfen, so blöd kann ich mich also nicht ausgedrückt haben. Und dafür möchte ich ihm danken. Hat alles geklappt.
Letztendlich habe ich lediglich die GUI für die AVM-Firewall aktiviert. Dort habe ich eine Route für Port 80 angelegt, die auf meinen Intranetserver zeigt. Dort habe ich fürs erste per .htaccess dafür gesorgt, dass ich beruhigt schlafen kann. Ich habs direkt getestet. Mein Blackberry kommt nicht klar, aber mit unseren Windows-Geräten kann ich alle Unterlagen flugs einsehen.

Dank an Jörg!

PS: Hermann, nicht, dass Du mich falsch verstehst: Mein Arbeitgeber hat 200000 Mitarbeiter weltweit. Das Firmen-Extranet und das Firmen-Intranet interessieren mich nicht. Es ging und geht lediglich darum, das Intranet (selbst gekaufter und modifizierter SS-4200) in meiner Außenstelle (4 Angestellte, ein Partner und ich) für uns zwei Außendienstler auch z.B. im Auto erreichbar zu machen.

 

[hermann72pb]

@procarion:
1. Die Sache erscheint mir trotz deiner Erklärungen und gerade deswegen krum. Ich kann mir nicht vorstellen, dass eine Firma mit 200000 Angestellten nur Idioten in der IT-Abteilung sitzen hat. Und streng genommen ist es deren Job dafür zu sorgen, dass du vernünftig arbeiten kannst. Solche Versuche Löcher in die Sicherheitssysteme solcher großen Firmen zu bohren haben noch nie gut vollendet. Aber sei es rum. Es ist dein alleiniges Recht darüber zu entscheiden, ob du damit klar kommst oder nicht.
2. Deine Frauenfeindlichkeit in diesem Sinne kann ich nicht teilen. Ich habe zwar auch meine eigene Meinung dazu, was Männer und was Frauen besser können, aber IT-Betreuung gehört zufällig in meiner Liste zur Aufgaben, die Frauen recht gut bewältigen können, wenn sie anfangen sich damit überhaupt professionell zu beschäftigen. Glaub mir, ich weiß wovon ich rede.
3. Ich hatte dich genauer ausgefragt, weil deine Angaben sehr sparlich und unvollständig waren und man echt 3 Mal lesen müsste, um trotzdem deine Konfiguration nicht zu verstehen. Erst mit dem letzten Post habe ich die von dir gestreuten Informationen zu einem halbwegs geschlossenen Kreis zusammenführen können. Jörg musste auch mehrfach nachfragen, bevor er dir seine Antworten gab.
4. Zu deinem Cisco-Dingens. Ich sehe da deine Chancen schwarz, dass du mit dem Tool was erreichst. Denn es ist viel schwieriger um einen Klient herum einen VPN-Server zu bauen, als anders rum.
5. dropbear ist im Falle FREETZ ein Server und ich weiß nicht, ob er überhaupt auch als Klient fungieren kann. Wenn du dropbear installierst, brauchst du putty oder was Vergleichbares als Klient, um sich "einzuwählen". In deinem Falle wäre es die billigere Alternative. Aber weil du dich hier so bockig verhälst, kriegst du von mir keine weitere Hilfe hier.

MfG

 

[procarion]

Dankesehr!

Aber wie gesagt habe ich das "Problem" schon auf zweierlei Wegen gelöst.
Mit Hilfe von Jörg (sicher von ihm _so_ nicht beabsichtigt) quick n dirty (dynDNS und Route)(brauchte ich dazu überhaupt freetz? hab die Routingfunktion vorher nie bemerkt...)
Und da ich so langsam wieder Freund werde mit Linux und auch putty auch mit Deiner Hilfe: Dropbear aufgesetzt und im Putty einen SSH Tunnel definiert. Und Putty läuft anstandslos auf dem Dienstlaptop.

Meine Konfiguration schreibe ich ab sofort in die Signatur, hätte ich gleich tun sollen. Dann hättest Du mich besser verstanden, das war 100%ig mein Fehler und das wollte ich Dir nicht vorwerfen, auch wenn es sich im Nachhinein so liest.

OT: Was Frauen in unserer IT angeht habe ich meine Meinung mittlerweile in Wissen gefestigt. Für unseren Bereich ist eine Frau Hauptansprechpartnerin... Sie hat ein paar Schulungen besucht und hat einen Rollout-Plan bekommen. Sieht aus wie ein Cisco-Update-Plan^^. Aber das versteht sie. Mehr auch nicht.
Bei mir im Büro war die gewachsene Verkabelung eher "kreativ", weil sie Rechner blöde verteilt waren und beim Einzug in das neue Büro die alte Struktur weiterbenutzt werden sollte. Also habe ich das selbst in die Hand genommen. (Und es hat tadellos funktioniert)
Nachdem Rollout (wohlbemerkt nur W2k gegen XP getauscht) hatte ich eine Sterntopologie aus dem Lehrbuch.
Leider mitten im Büro.
Ungelogen. Ethernetkabel wurden frei auf dem Boden verlegt und der Router stand da, wo man den geometrischen Schwerpunkt eines Achtecks erstimiert. Die Krönung war, dass der Router hochkant auf _einer_ Ecke stand, weil das Netzkabel gerade so zur Steckdose gereicht hat und dementsprechend nicht nur elektrisch Spannung hatte.
Als ich dann Lösungsvorschläge gebracht habe scheiterte es leider an ihrem beschränkten Horizont... Keine Ahnung, was DHCP is, SMB, VPN waren böhmische Dörfer. Meine jetzige Konfiguration habe ich selbst erstellt und mich dabei an den Gegebenheiten orientiert. Nun funzt alles und man kann sich im Büro wieder bewegen...
Diese "Fachkraft" ist nicht mal in der Lage, nen Druckertreiber zu installieren, angeblich, weil ihr Adminrechte fehlen. Mit ein Bißchen Kreativität habe ich mir das Paket selbst aus Netinstall gezogen. Und wenn ihr mal nicht die Fachkenntnis fehlen würde, dann scheitert es daran, dass es eine Angestellte ist: Urlaub, krank, Feierabend oder Schulung. (Okay, das ist sicher überspitzt, aber bisher hatte ich wirklich dieses Pech wenn ich was von ihr wollte, daher mache ich alles soweit selbst)

 

[hermann72pb]

ok, freut mich, dass du doch bei dropbear angelangt bist. Such hier bitte weiter, es gab irgendwo Anleitungen, wie man für dropbear Schlüssel erstellen kann. Für diesen Fall wäre es bequemer, als jedes Mal Passwort einzutippen. Dann könntest du für deinen Rechner eine bat-Datei schreiben, die putty mit commandozeile-Optionen aufrufen würde. Es gibt auch Tools, die es zur Taskleiste minimieren liesen. Dann wäre kaum ein Unterschied zum OpenVPN-GUI oder zum CISCO-Client mehr zu spüren. Die AVM-eigene Lösung hatte ich meinerzeit auch nicht für besonders gut empfunden.

MfG