.titleBar { margin-bottom: 5px!important; }

verschlüsselten Proxyserver auf FBF

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von MiataMuc, 7 Dez. 2005.

  1. MiataMuc

    MiataMuc Neuer User

    Registriert seit:
    19 Juni 2005
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    München
    Hallo,

    eine Frage - ich muß dazu sagen, daß mir der technische Hintergrund ein wenig fehlt, was Verbindungen zu einem Proxy, die verschlüsselt sind, angeht, aber mich interessiert, ob ich meine daheim den ganzen Tag mehr oder minder "arbeitslose" FrixtBox WLan dazu nützen könnte, verschlüsselt http-Anfragen anzunehmen, die georderten Daten aus dem Netz zu holen und dann entsprechend wieder verschlüsselt zurückzuliefern? Und das ganze nach Möglichkeit noch über Port 80...

    Hmm..vielleicht hat ja wer hier einen Geistesblitz..

    Gruß Flo
     
  2. lord-of-linux

    lord-of-linux Mitglied

    Registriert seit:
    3 Dez. 2005
    Beiträge:
    568
    Zustimmungen:
    1
    Punkte für Erfolge:
    0
    ich hätte an etwas ähnlichem Interesse, allerdings würde es mir reichen, wenn dies einfach gehalten und nicht verschlüsselt ist!
    Ich will auch den Filter umgehen, SSH geht aber vieleicht. muss ich noch testen. Hoffe es gibt die möglichkeit
     
  3. MiataMuc

    MiataMuc Neuer User

    Registriert seit:
    19 Juni 2005
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    München
    Oder - Idee - vielleicht dadurch, daß man eine VPN -Verbindung (OpenVPN) aufbaut, sich eine IP aus dem Bereich des Heim-Lans zuweisen läßt, und die Box praktisch glaubt, man säße im Heimlan?
     
  4. lord-of-linux

    lord-of-linux Mitglied

    Registriert seit:
    3 Dez. 2005
    Beiträge:
    568
    Zustimmungen:
    1
    Punkte für Erfolge:
    0
    Will ich mal ausprobieren, allerdings muss ich mich dann noch in die Config einarbeiten und die Forward rules ändern. Letzteres ist aber sehr heikel, wie ich bemerkt habe (FB TOT!) und die FB lässt ja keine Portweiterleitung (übers Web-Interface) auf die eigene IP zu. Mal schauen ob ich mich nochmal ran wage.
    Vieleicht könnte mir jemand bei der Config für VPN ein paar Tipps geben.

    Mein Netzwerkaufbau:
    FB (mit Telnet, Dropbear, OpenVPN) local auf 192.168.1.10 als Nameserver ohne DHCP im Netzwerk
    DynDNS-Adresse aktiv in der FritzBox

    Mein Wunsch:
    Internetverkehr eines externen Rechners durch die FritzBox leiten zwecks Content Filter


    EDIT: Bezüglich Port-Freigabe
    kann ich auch einfach dem OpenVPN eine weitere IP "spenden", die dann nicht im webinterface bei Portweiterleitung gesperrt ist? ist ja bei Linux normal irgendwie möglich.
     
  5. fritzchen

    fritzchen Aktives Mitglied

    Registriert seit:
    29 Dez. 2004
    Beiträge:
    813
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    http://www.ip-phone-forum.de/forum/viewtopic.php?p=176850#176850

    und da steht irgendwo drin, finde ich jetzt nicht:

    route-gateway 10.0.0.1
    redirect-gateway

    führt dazu, dass Du über die heimische DSL-Leitung surfst... viel Erfolg!
     
  6. lord-of-linux

    lord-of-linux Mitglied

    Registriert seit:
    3 Dez. 2005
    Beiträge:
    568
    Zustimmungen:
    1
    Punkte für Erfolge:
    0
    muss ich doch mal ausprobieren, vieleicht weiß ja auch jemand noch was zu meinem Edit des letzten beitrages.
    Vieleicht schaffe ich es ja mal des hinzubiegen.
    ist zwar nicht lebensnotwendig aber ist super, falls es funktioniert.

    Und noch nen herzlichen Dank ans Forum, ohne das ich nie auf diese "Features" gekommen wäre! :)
     
  7. MiataMuc

    MiataMuc Neuer User

    Registriert seit:
    19 Juni 2005
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    München
    Also, nach ewigem Gefummel 8was bare nicht an der fritzbox lag, sondern daran, daß ich die Routen für den Firmen-XP-Client richtig machen mußte (feste IPs, Cisco-VPN fürs SAP usw...) klappts hervorragend mit Openvpn. Ich habe mir mit FBFEDit einfach den Port 443 freigegeben und auf die interne 192.168.178.1:1194 geroutet (geht nicht im Web-Interface wg. Verbots des Routens von außen auf FBF-IPs). Nach einigen Spielerein mit den Namesever Einstellungen (192.168.178.1 etc. geht nicht - im Clinet-Openvpn-Srcipt "dhcp-option DNS xxx.xxx.xxx.xxx" einfügen - IP sollte natürlich die des heimischen NS des Providers sein..) läufts hervorragend. Nun muß ich noch den Upstream daheim verdoppeln lassen *g* und dann ists perfekt :)

    Gruß Flo
     
  8. fritzchen

    fritzchen Aktives Mitglied

    Registriert seit:
    29 Dez. 2004
    Beiträge:
    813
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @MiataMuc
    dann poste doch mal die config-Dateien hier, hilft bestimmt einigen...
     
  9. MiataMuc

    MiataMuc Neuer User

    Registriert seit:
    19 Juni 2005
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    München
    Zunächst muß ich allen fleißigen Arbeitern im Oenvpn-Thread danken :)

    Okay, hier die Konfig vom Client (WinXP):

    Code:
    remote fritzbox-von-flo.homeip.net 443
    # ob die folgende "local"-Anweisung hilft, weiss ich nicht..
    #hierdrin steht meine feste FirmenIP
    local xxx.xxx.xxx.xxx
    dev-type tun
    ifconfig 10.87.0.2 10.87.0.1
    # folgend der DNS-Server meines privaten Providers (MNet)
    dhcp-option DNS 212.18.0.5
    # route 192.168.178.0 255.255.255.0
    route-gateway 10.087.0.1
    redirect-gateway
    route 0.0.0.0 0.0.0.0 10.87.0.1
    # folgende fixe Route ist die zum SAP-Server - hier alles augeixt. 
    # (IP-SAP Server, Nertmask, IP Firmenrouter bzw. Firmen-Cisco-Kiste)
    route xxx.xxx.xxx.xxx 255.255.255.254 xxx.xxx.xxx.xxx
    # die folgende Route ermöglicht den Zugriff auf die Firmenrechner, die alle fixe IPs haben
    route xxx.xxx.xxx.0 255.255.255.224 eigene Firmen-IP 
    secret static.key
    dev tun
    tun-mtu 1400
    mssfix 
    proto tcp-client
    comp-lzo
    # timeouts
    ping               15
    ping-restart       60
    ping-timer-rem 
    persist-tun
    persist-key
    Auf der Fritzbox läuft die Standarconfig aus dem VPN-Thread (komme da gerade nicht dran vernünftig *g*); wie oben schon erwähnt sind auf der fritzbox eingehende Vebindungen auf Port 433 an 192.168.178.1, Port 1194 weitergeleitet.

    Das einzige, was bei mir so gar nicht klappt, ist das automatische Laden von Openvpn per debug.cnf - irgendwie wird alles nach dem Telnet-Start ignoriert..muß es also bislang noch manuell machen.

    Gruß, Flo
     
  10. lord-of-linux

    lord-of-linux Mitglied

    Registriert seit:
    3 Dez. 2005
    Beiträge:
    568
    Zustimmungen:
    1
    Punkte für Erfolge:
    0
    Wo kann man dieses Programm runterladen?
     
  11. buehmann

    buehmann Aktives Mitglied

    Registriert seit:
    11 Juni 2005
    Beiträge:
    1,810
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Es ist wohl der FBEditor hier gemeint: http://www.ip-phone-forum.de/forum/viewtopic.php?t=21648
     
  12. lord-of-linux

    lord-of-linux Mitglied

    Registriert seit:
    3 Dez. 2005
    Beiträge:
    568
    Zustimmungen:
    1
    Punkte für Erfolge:
    0
    ok thx

    kurze Frage noch:
    wie sollten die Foward Ruels aussehen?
    Code:
    "udp 0.0.0.0:7085 0.0.0.0:7085",
    ich hatte nämlich mal aus einem Thread eine Config kopiert, die ungefähr so aus sah:
    Code:
    "udp 0.0.0.0:7085 0.0.0.0:7085", # Für was diese Zeile ist
    damit war dann die FB erst mal Tot, deshalb frag ich lieber.

    ist die Zeile wie oben vom aufbau ok und die untere falsch?

    für was stehen das erste "0.0.0.0 und für was das zweite? Wie würde eine Beispielkonfiguration für OpenVPN aussehen?
     
  13. MiataMuc

    MiataMuc Neuer User

    Registriert seit:
    19 Juni 2005
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    München
    Also, ich habe die Freigabe sicherheitshalber so gemacht:
    Im Webinterface den Port 443 für die IP 192.168.178.21, Port 1194 (egal) freigegeben, und dann in der Konfig mit dem FBFEditor *g* daraus einfach 192.168.178.1 gemacht. Das ganze bei Bedarf doppelt, d.h. sowohl für TCP als auch für UDP.

    Gruß, Flo
     
  14. lord-of-linux

    lord-of-linux Mitglied

    Registriert seit:
    3 Dez. 2005
    Beiträge:
    568
    Zustimmungen:
    1
    Punkte für Erfolge:
    0
    Ist das dann auch ungefährlich? Wie schon geschrieben: FB war tot weil ich die ar7... geändert habe!
     
  15. MiataMuc

    MiataMuc Neuer User

    Registriert seit:
    19 Juni 2005
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    München
    hmm..also bei klappts. Im Grunde bedeutet es ja nur, daß von allen ankommenden (IPs) (0.0.0.0) aauf Port 443 von der fritzbox auf die IP 192.168.178.1, und da auf den port 1194 weitergeleitet werden (man hätte auch den Openvpn-server im Config-File auf Port 443 umsetzen können - dann würde halt auf 192.168.178.1, Port 443 umgeleitet).
    Ich seh' darin nix gefährliches - vielleicht weiß jemand mehr als ich?

    Gruß Flo
     
  16. wichard

    wichard IPPF-Promi

    Registriert seit:
    16 Juni 2005
    Beiträge:
    6,954
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Aachen
    Beachte: Die letzte Zeile in jedem dieser Blöcke hat ein Semikolon statt des Kommas am Ende. Steht dort ein Komma, startet die Box nicht durch, wie ich auch schon feststellen durfte... ;)


    Gruß,
    Wichard
     
  17. lord-of-linux

    lord-of-linux Mitglied

    Registriert seit:
    3 Dez. 2005
    Beiträge:
    568
    Zustimmungen:
    1
    Punkte für Erfolge:
    0
    Ich meinte, das es gefährlich ist, die Datei zu editieren!

    Das mit dem Semikolon hatte ich auch bemerkt und das mit den Kommas. Eigentlich habe ich nur gemeint, das ich einen Kommentar mit ner # am zeilenende gesetzt hatte. Das das eigentlich eine Zusammengehörende Kommagetrennt Reihe ist hatte ich nicht gemerkt! :doof:
    Und ich bin Schüler und mein Vater hats gefreut, das ich die Box gekillt hatte :beerdigu:
     
  18. MiataMuc

    MiataMuc Neuer User

    Registriert seit:
    19 Juni 2005
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    München
    Das ist der Grund, warum ich erst einen Eintrag über die Fritzbox-Weboberfläche gemacht habe, und nur die IP hinterher "manuell" editiert habe - so kann ich sicher sein, daß die Eintragung grundsätzlich / formal korrekt ist.

    Gruß Flo

    P.S. das ist natrülich schlecht, wenns eine Familienbox ist *g* ich leb' allein (naja, der Hund hat keine Bedürfnisse nach telekommunikation), und habe noch ne FBF ohne WLAN für Notfälle da.. :)
     
  19. lord-of-linux

    lord-of-linux Mitglied

    Registriert seit:
    3 Dez. 2005
    Beiträge:
    568
    Zustimmungen:
    1
    Punkte für Erfolge:
    0
    ich habe gestern dann auch das Webinterface genutzt und per Telnet in der ar7... nur noch die IP geändert. Hat super funktioniert, muss halt noch von extern ausprobieren.

    Aber ich finde Familienbox net schlecht, denn ich habe nichts bezahlt. Noch nicht. *g*
    wenn ich sie zerstöre, dann muss ich zahlen!
     
  20. lord-of-linux

    lord-of-linux Mitglied

    Registriert seit:
    3 Dez. 2005
    Beiträge:
    568
    Zustimmungen:
    1
    Punkte für Erfolge:
    0
    Habe noch was interessantes gesehen:
    Wenn ich bei dem Eintrag, den ich per Webinterface gemacht habe und per telnet auf die FB-IP gestellt habe, den Bearbeiten-Button drücke, da kommt folgende Meldung, obwohl der eintrag ja schon besteht:
    st ja super. ändern geht so nicht, aber die Box löscht es nicht, obwohl es ja "nicht zulässig" ist!
     

    Anhänge: