StrongVPN mit 7240
- Ersteller Kirk
- Erstellt am
olistudent
IPPF-Urgestein
- Mitglied seit
- 19 Okt 2004
- Beiträge
- 14,787
- Punkte für Reaktionen
- 13
- Punkte
- 38
Freetz mit Paket OpenVPN bauen und richtig konfigurieren!?
Um den gesamten Clientverkehr über das VPN zu routen braucht man wohl iptables?
StrongVPN stellt dir doch nur den Server bereit, wenn ich das richtig verstanden habe?
Gruß
Oliver
Um den gesamten Clientverkehr über das VPN zu routen braucht man wohl iptables?
StrongVPN stellt dir doch nur den Server bereit, wenn ich das richtig verstanden habe?
Gruß
Oliver
sf3978
IPPF-Promi
- Mitglied seit
- 2 Dez 2007
- Beiträge
- 8,014
- Punkte für Reaktionen
- 28
- Punkte
- 48
Ja, lt. StrongVPN soll das mit OpenVPN möglich sein. Die größere Herausforderung für dich, wird evtl. sein, deine FritzBox so zu konfigurieren (iptables?), dass der Verkehr der Box und zur Box (Clients an der Box), durch den Tunnel geht.
- Mitglied seit
- 15 Aug 2004
- Beiträge
- 266
- Punkte für Reaktionen
- 0
- Punkte
- 16
hmm,
ob ich mich nun per DSL PPPoE einwähle oder per VPN...ich müßte der Box doch nur sagen alles was keine privat Adresse hat schicke über das VPN Interface. Oder richtet OpenVPN kein eigenes Device ein? Bei dem VPNC war das recht einfach.
Leider vergißt man die Sachen immer so schnell wieder....
Kirk
ob ich mich nun per DSL PPPoE einwähle oder per VPN...ich müßte der Box doch nur sagen alles was keine privat Adresse hat schicke über das VPN Interface. Oder richtet OpenVPN kein eigenes Device ein? Bei dem VPNC war das recht einfach.
Leider vergißt man die Sachen immer so schnell wieder....
Kirk
Alles "drüber zu schicken" wird nicht das Problem sein. Die Frage ist, ob auch "alles zurückkommt" ;-).
Nur die Box ist beim VPN-Server angemeldet und nur sie hat eine VPN-IP, die der Server kennt. Alles, was hinter der Box kommt (deine Geräte im (W)LAN), würden mit ihrer normalen IP-Adresse beim Server aufschlagen, und der müsste also wissen, dass "dein LAN" sich bei "deiner" VPN-Client-IP befindet.
I.d.R. kannst du aber ein solches Routing nicht beeinflussen, so dass du dann dein privates Netz hinter der VPN-IP verstecken müsstest (per NAT). Und dafür brauchst du wohl iptables...
Nur die Box ist beim VPN-Server angemeldet und nur sie hat eine VPN-IP, die der Server kennt. Alles, was hinter der Box kommt (deine Geräte im (W)LAN), würden mit ihrer normalen IP-Adresse beim Server aufschlagen, und der müsste also wissen, dass "dein LAN" sich bei "deiner" VPN-Client-IP befindet.
I.d.R. kannst du aber ein solches Routing nicht beeinflussen, so dass du dann dein privates Netz hinter der VPN-IP verstecken müsstest (per NAT). Und dafür brauchst du wohl iptables...
- Mitglied seit
- 15 Aug 2004
- Beiträge
- 266
- Punkte für Reaktionen
- 0
- Punkte
- 16
das ist doch bei einer DSL Verbindung nicht anders, oder?
Natürlich sollen die Clients hinter der Fritzbox die "VPN IP" genattet nutzen. Macht ja sonst keinen Sinn. So lief es mit meinem WRT und dem vpnc zum Cisco Gateway auch.
Hat so eine ähnliche Config schon jemand mit StrongVPN und der 7240 (7390) am laufen?
Kirk
Natürlich sollen die Clients hinter der Fritzbox die "VPN IP" genattet nutzen. Macht ja sonst keinen Sinn. So lief es mit meinem WRT und dem vpnc zum Cisco Gateway auch.
Hat so eine ähnliche Config schon jemand mit StrongVPN und der 7240 (7390) am laufen?
Kirk
Zuletzt bearbeitet:
Nein, bei einer DSL-Verbindung ist es auch nicht anders.
Der Unterschied ist aber, dass bei der DSL-Verbindung der dsld von AVM diese Umsetzung macht und beim VPN nicht.
Der Unterschied ist aber, dass bei der DSL-Verbindung der dsld von AVM diese Umsetzung macht und beim VPN nicht.
Bei DSL wird das Natten direkt von der Box gemacht (das macht der "dsld" der Box). Wenn du das über VPN machst, musst du dich halt selbst drum kümmern ;-)
- Mitglied seit
- 15 Aug 2004
- Beiträge
- 266
- Punkte für Reaktionen
- 0
- Punkte
- 16
und das es kein stabel für die 7240 (7390) gibt habe ich auch gerade rausgefunde.......
Welchen Sinn macht es denn den Tunnel in der Box zu terminieren und dann nicht automatisch zu routen? Für was braucht man so eine Funktion?
Kirk
Welchen Sinn macht es denn den Tunnel in der Box zu terminieren und dann nicht automatisch zu routen? Für was braucht man so eine Funktion?
Kirk
Zuletzt bearbeitet:
- Mitglied seit
- 15 Aug 2004
- Beiträge
- 266
- Punkte für Reaktionen
- 0
- Punkte
- 16
na warum sollte ich der Box eine "VPN IP" verpassen die dann nicht geroutet wird? Ok, man könnte bridgen. Aber dann kann ich mir den Client auch gleich auf dem PC installieren, oder?
Kirk
PS: Ich glaube ich werde erstmal mit einer anderen Box testen und dann wieder mit Fragen nerven...
Kirk
PS: Ich glaube ich werde erstmal mit einer anderen Box testen und dann wieder mit Fragen nerven...
Zuletzt bearbeitet:
Ich erkenne nicht, worauf du hinaus willst?!? Die Box routet doch? Die Box macht als VPN-CLient ganz genau das, was auch jedes andere Gerät macht: Sie ist ein Client und kann natürlich routen, aber fürs Routing brauchst du immer zwei, damit die Pakete auch zurückkommen. Sonst wird nur die Client-IP Zugriff auf das VPN haben.
Wenn du damit nicht klarkommst, weil du die Funktionalität "missbrauchen" willst, und nicht nur mit dem Client, sondern einem ganzen Netz dahinter zugreifen willst, muss das entsprechend konfiguriert werden.
Das ist nichts besonderes, sondern das gleiche Verhalten, was auch dein PC zeigen würde, wenn du ihn mit dem VPN verbindest.
Welchen Sinn das hat? Wenn der Server "weiß", dass dein Client kein Endgerät, sondern ein Router ist, kann er dorthin dein LAN routen. Es geht auch ohne NAT: Sage dem Serverbetreiber, dass er dein LAN zu deinem Client routet, und du brauchst keine weiteren Schritte. Geht das nicht: siehe oben.
Wenn du damit nicht klarkommst, weil du die Funktionalität "missbrauchen" willst, und nicht nur mit dem Client, sondern einem ganzen Netz dahinter zugreifen willst, muss das entsprechend konfiguriert werden.
Das ist nichts besonderes, sondern das gleiche Verhalten, was auch dein PC zeigen würde, wenn du ihn mit dem VPN verbindest.
Welchen Sinn das hat? Wenn der Server "weiß", dass dein Client kein Endgerät, sondern ein Router ist, kann er dorthin dein LAN routen. Es geht auch ohne NAT: Sage dem Serverbetreiber, dass er dein LAN zu deinem Client routet, und du brauchst keine weiteren Schritte. Geht das nicht: siehe oben.
- Mitglied seit
- 15 Aug 2004
- Beiträge
- 266
- Punkte für Reaktionen
- 0
- Punkte
- 16
Hallo zusammen,
jetzt habe ich fast alles zusammen. Ich habe für die 7240 und Freetz 1.2 ein image erstellt. Jetzt habe ich OpenVPN auf der Box und einen StrongVPN Account.
Nun wollte ich höflichst fragen wie ich die Zertifikate auf der Fritzbox installiere?
Ich habe von StrongVPN folgendes bekommen:
ca.crt
ovpn204.crt
ovpn204.key
ovpn204.ovpn
ta.key
die OpenWRT Skripte mal ausgenommen.
Gruß Kirk
jetzt habe ich fast alles zusammen. Ich habe für die 7240 und Freetz 1.2 ein image erstellt. Jetzt habe ich OpenVPN auf der Box und einen StrongVPN Account.
Nun wollte ich höflichst fragen wie ich die Zertifikate auf der Fritzbox installiere?
Ich habe von StrongVPN folgendes bekommen:
ca.crt
ovpn204.crt
ovpn204.key
ovpn204.ovpn
ta.key
die OpenWRT Skripte mal ausgenommen.
Gruß Kirk
Am besten schaust du nochmal im Wiki zum OpenVPN-Paket unter Zertifikaten.
Kurz gesagt: Die Dinge so in der GUI hineinkopieren (Datei im Editor öffnen und auf der Box reinkopieren).
ca.crt = CA Cert
ovpn204.crt = Box Cert
ovpn204.key =Private Key
ovpn204.ovpn ist vermutlich ein Config-File, aus dem du die Parameter "ablesen" kannst
ta.key = vermute, dass ist ein Key für TLS-Auth?
Wenn er das ist und die Konfig darauf besteht. dann müsstest du den als "Static Key" auf die Box bringen, aber nur, sofern die Vorgabe der Box dazu passt
Es könnte sein, dass die bei tls-auth keine "Richtung" mit angeben, oder diese Richtung nicht mit der "Freetz-Konventio" übereinstimmt,
dann darfst du das nicht in der Config nicht anhaken, sondern musst das als Zusatz-Parameter selbst eintragen...
Poste mal den Eintrag dazu aus der Config, dann kann man das sehen...
Jörg
Kurz gesagt: Die Dinge so in der GUI hineinkopieren (Datei im Editor öffnen und auf der Box reinkopieren).
ca.crt = CA Cert
ovpn204.crt = Box Cert
ovpn204.key =Private Key
ovpn204.ovpn ist vermutlich ein Config-File, aus dem du die Parameter "ablesen" kannst
ta.key = vermute, dass ist ein Key für TLS-Auth?
Wenn er das ist und die Konfig darauf besteht. dann müsstest du den als "Static Key" auf die Box bringen, aber nur, sofern die Vorgabe der Box dazu passt
Es könnte sein, dass die bei tls-auth keine "Richtung" mit angeben, oder diese Richtung nicht mit der "Freetz-Konventio" übereinstimmt,
dann darfst du das nicht in der Config nicht anhaken, sondern musst das als Zusatz-Parameter selbst eintragen...
Poste mal den Eintrag dazu aus der Config, dann kann man das sehen...
Jörg
- Mitglied seit
- 15 Aug 2004
- Beiträge
- 266
- Punkte für Reaktionen
- 0
- Punkte
- 16
So,
ich habe jetzt die Zertifikate mit dem Editor geöffnet und auf die Box kopiert.
Die Box soll wie gesagt als Client funktionieren und die VPN Verbindung ins interne LAN routen (nein natten!)
Die ovpn204.ovpn scheint die Konfigdatei zu sein:
remote 98.158.122.205 4672
proto udp
ca ca.crt
cert ovpn204.crt
key ovpn204.key
tls-auth ta.key 1
client
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
verb 4
mute 5
tun-mtu 1500
route-method exe
route-delay 2
explicit-exit-notify 2
fragment 1390
mssfix 1390
was mache ich damit?
Kirk
PS:nicht routen, ich meinte NATen....
ich habe jetzt die Zertifikate mit dem Editor geöffnet und auf die Box kopiert.
Die Box soll wie gesagt als Client funktionieren und die VPN Verbindung ins interne LAN routen (nein natten!)
Die ovpn204.ovpn scheint die Konfigdatei zu sein:
remote 98.158.122.205 4672
proto udp
ca ca.crt
cert ovpn204.crt
key ovpn204.key
tls-auth ta.key 1
client
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
verb 4
mute 5
tun-mtu 1500
route-method exe
route-delay 2
explicit-exit-notify 2
fragment 1390
mssfix 1390
was mache ich damit?
Kirk
PS:nicht routen, ich meinte NATen....
Zuletzt bearbeitet:
O.k., als Client nutzt auch die FB "tls-auth ${keypath}static.key 1", bedeutet für dich: Kopiere ta.key als "Static Key" auf die Box und hake "TLS-Authentifizierung" an.
Die restlichen Parameter sollten klar sein, wo sie Ihre Entsprechung finden?!?
Für die Zusatzparameter wie "fragment 1390" und "mssfix 1390" musst du die "Experteneinstellungen" freischalten.
Diese Dinge sind nur für Windows von Interesse und können ignoriert werden:
Jörg
EDIT: Fürs NATten musst du iptables installiert haben und entsprechend konfigurieren:
Die restlichen Parameter sollten klar sein, wo sie Ihre Entsprechung finden?!?
Für die Zusatzparameter wie "fragment 1390" und "mssfix 1390" musst du die "Experteneinstellungen" freischalten.
Diese Dinge sind nur für Windows von Interesse und können ignoriert werden:
Code:
route-method exe
route-delay 2
explicit-exit-notify 2Jörg
EDIT: Fürs NATten musst du iptables installiert haben und entsprechend konfigurieren:
Code:
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Zuletzt bearbeitet:
- Mitglied seit
- 15 Aug 2004
- Beiträge
- 266
- Punkte für Reaktionen
- 0
- Punkte
- 16
Das habe ich mir auch schon gedacht und so übernommen. Aber welche Verschlüsselung soll ich einstellen?
;-) Moment, TLS kann ich nur anhaken wenn ich Zertifikate ausgewählt habe????
Zuletzt bearbeitet:
Neueste Beiträge
-
-
[Problem] Gigaset AE 690A Lautsprecher- Letzte: Zwanzigeinundzwanzig
-
-
Open Stage 40 hfa auf sip flashen- Letzte: DukeFake
