.titleBar { margin-bottom: 5px!important; }

[Problem] vpn auf zweiter Fritzbox

Dieses Thema im Forum "Freetz" wurde erstellt von sis71, 10 Jan. 2018.

  1. sis71

    sis71 Mitglied

    Registriert seit:
    16 Feb. 2009
    Beiträge:
    226
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,
    ich habe 2 Fritzboxen am Start, ein 7272 (neueste Firmware, alles original) als Hauptbox, die via DSL mit dem Internet (1+1) verbunden ist, DHCP-Server aktiviert (xxx.xxx.xxx.10 bis xxx.xxx.xxx.100). Dahinter sitzt ein 7362Sl (Firmware: 131.06.83 rev43615) mit Freetz und openvpv drauf, feste IP.
    Die 7362 hat über LAN1 von der 7272 Internet, und stelle dieses auch via WLAN an daran angeschlossene Geräte bereit. DHCP ist aus.
    Mein Anliegen:
    Die 7362 soll sich mit einem VPN verbinden (Daten vorhanden) und die Geräte die sich dann per WLAN mit der 7362 verbinden sollen dann über dieses VPN ins Internet und auf das lokale Netz keinen Zugriff mehr haben.
    Kann man sowas bewerkstelligen, wenn ja wie?
     
  2. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,183
    Zustimmungen:
    533
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Die Idee ist ja richtig gut. Wenn Du eine Lösung dafür finden kannst, solltest Du das unbedingt hier beschreiben (Deine Vorgehensweise und vielleicht sogar Links auf andere (legale) Quellen, die Dir dabei hilfreiche Informationen geliefert haben, wenn Du das nicht alles selbst austüftelst), damit denjenigen, die nach Dir noch auf diese Idee kommen, bei ihrer eigenen Suche nach bereits vorhandenen und beschriebenen Lösungen dann nicht dasselbe passiert, wie es bei Dir offenbar (oder doch nur "vermutlich"?) der Fall war.

    Ein ganzes Netz per VPN an einen anderen Standort "umzuleiten", könnte ja viele Vorteile haben, von besserem Schutz der Privatsphäre bis zum Unterlaufen von Regionalsperren bei irgendwelchen Streaming-Angeboten - das könnte sicherlich auch anderen helfen und wenn Du Dir nun schon die Arbeit machen willst, das als (vermutlich) Erster umzusetzen, dann sollte man das m.E. nach Kräften unterstützen und so kann und will ich Dir zumindest den ersten Teil Deiner Frage:
    beantworten und Dich damit zu weiteren (eigenen) Anstrengungen ermutigen:

    "Ja, man kann sowas bewerkstelligen."

    und ich hoffe, daß Du es mir nicht verübelst, wenn ich beim zweiten Teil dieser Frage dann passe.

    Zwar ist damit die Antwort durchaus unvollständig und das ist mir auch bewußt, aber da die Fragestellung auch sehr unspezifisch ist (was verstehst Du denn unter "einem VPN" und hat das "openvpv" aus Deinem Freetz-Image damit irgendetwas zu tun?), wäre die (korrekte und umfassende) Antwort darauf eher ein Buch - und hier besteht ein Limit von 50.000 Zeichen pro Beitrag und es wird nicht gerne gesehen, wenn man mehrere Beiträge aneinanderreiht.
     
  3. f666

    f666 Mitglied

    Registriert seit:
    6 Apr. 2016
    Beiträge:
    206
    Zustimmungen:
    24
    Punkte für Erfolge:
    18
    Ja, das geht. Vermute ich zumindest, da es mit anderen FritzBoxen geht.

    So wie ich dich verstehe, benutzt du momentan die 7362 im Modus "Anschluss an externes Modem oder Router / Vorhandene Internetverbindung mitbenutzen (WLAN Mesh / IP-Client-Modus)" (Text von einer 7490).
    Das bedeutet, die Box ist einfach nur ein Teilnehmer mit einer IP Adresse in einem großen, gebrückten Netzwerk. Ebenso das WLAN der 7362. Die Box arbeitet eher als Switch & Access Point.

    Du müsstest die Box in den Modus "Anschluss an externes Modem oder Router / Internetverbindung selbst aufbauen / Werden Zugangsdaten benötigt = Nein" versetzen. Die Box holt sich dann eine IP-Adresse per DHCP von der 7272 als ihre externe IP Adresse (oder halt manuell konfiguriert) und spannt ein eigenes internes Netzwerk mit eigenem Subnetz auf. Zwischen dem eigenen internen Netz und dem Netz der 7362 findet Masquerading/NAT statt. Sicherstellen, dass man nicht die selben IP Adressbereiche für die Netze der beiden FritzBoxen wählt.

    Jetzt kannst du auf der 7362 ein VPN einrichten, welches den internen Verkehr tunnelt.
     
  4. sis71

    sis71 Mitglied

    Registriert seit:
    16 Feb. 2009
    Beiträge:
    226
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    @f666

    jop so ungefähr solls sein.
    zum ersten Teil, so ist es jetzt bei mir.
    der zweite Teil, hab ich schon mal so hin bekommen ist mir auch klar,

    aber mit dem 3. Teil komme ich noch nicht so richtig klar.
     
  5. f666

    f666 Mitglied

    Registriert seit:
    6 Apr. 2016
    Beiträge:
    206
    Zustimmungen:
    24
    Punkte für Erfolge:
    18
    Du musst dich auf eine VPN Software festlegen, dann brauchst du auf der 7362 und auf einer Gegenstelle im Internet eben diese VPN Software.
    Soll es eine private Gegenstelle sein? Ein kommerzieller Anbieter?
    Falls du OpenVPN benutzt, ist es leicht, dieses in ein Freetz Image zu integrieren und zu benutzen.
    Das Thema verengt sich dann nur noch auf die Frage, wie eben die Konfiguration der gewählten VPN Software gemacht werden muss.
     
  6. sis71

    sis71 Mitglied

    Registriert seit:
    16 Feb. 2009
    Beiträge:
    226
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    ich hab einen komerzeillen VPN Anbieter der mir verschiedenen Konfigurationen breitstellt.
    Auf dem Android Spartphone, unterwegs ist das alles kein Problem. Da kann ich das fein Konfigurieren, ohne zusätzliche App.
    Für die 7362 hab ich mir ein Freetz zusammengelikt, das Openvpn beinhaltet, komme damit aber überhaupt nicht klar ....?
     
  7. f666

    f666 Mitglied

    Registriert seit:
    6 Apr. 2016
    Beiträge:
    206
    Zustimmungen:
    24
    Punkte für Erfolge:
    18
    Es gibt für Freetz momentan zwei verschiedene GUIs für OpenVPN (unter Pakete/Web-interfaces).
    Das V1 GUI bietet verschiedene Auswahlmöglichkeiten und generiert daraus eine Konfigurationsdatei für OpenVPN.
    Das V2 GUI hat nur ein Textfeld, in das man eine beliebige, selbst erzeugte Konfigurationsdatei eingibt.

    Mit den Angaben deines Anbieters solltest du die Konfiguration durchführen können.
    Ein Problem mit diesem Aufbau ist, dass der Anbieter dir ein komplettes IP Subnetz anbieten muss.
    Falls du nur eine einzige IP Adresse bekommst, muss auf der FritzBox Masquerading für das tun Interface durchgeführt werden. Auf einem normalen Linux System ist das nicht schwer (z.B. hier). Für die FritzBox muss man allerdings die entsprechenden Kernelmodule und iptables bauen, zusätzlich muss der AVM Packet Accelerator aus dem Weg geschafft werden. Wobei der beim IP Client Modus wahrscheinlich sowieso nicht aktiv ist.

    Um hier helfen zu können bedarf es deutlich mehr Informationen.
     
  8. imagomundi

    imagomundi IPPF-Promi

    Registriert seit:
    27 Okt. 2006
    Beiträge:
    3,684
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Ort:
    Santiago de Chile


    Die Konstellation habe ich auch (Anbieter ist Astrill) - inclusive Handy mit VPN unterwegs. Allerdngs habe ich das VPN-Netz nicht über eine FritzBox 2 mit openvpn, die über LAN an FB1 hängt, relaisiert, sondern benutze als VPN-Netz-Router einen mit dd-wrt geflashten TP-Link, der über eines der LANs einer 7390 ins Netz kommt - eine sehr lange Liste von Routern, die Du mit DD-WRT flashen kannst, gibt es auf der dd-wrt-Seite. Funktioniert stabil seit Jahren (benutze ich vor allem zum TV-Gucken aus anderen Ländern)
     
  9. sis71

    sis71 Mitglied

    Registriert seit:
    16 Feb. 2009
    Beiträge:
    226
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,
    schon mal danke.
    so mal noch ein paar Informationen.
    der Anbieter ist vpn unlimited die bieten eigentlich recht viel: PPTP; L2PT/IPSEC; IKEv1; IKEv2; OpenVPN.
    OpenVPN hab ich schon mal auf dem Handy am Start, die Config die VPPN unlimited anbietet funktioniert da schon mal super.

    Mit der FritzBox ?

    Mein Freetz:

    sieht so aus
     

    Anhänge:

  10. imagomundi

    imagomundi IPPF-Promi

    Registriert seit:
    27 Okt. 2006
    Beiträge:
    3,684
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Ort:
    Santiago de Chile
    Bist Du sicher, daß IKEv1 unterstützt wird? Ich habe trotz langer, intensiver Suche nie einen VPN Anbieter mit diesem Protokoll gefunden. Auch suf der Seite Deines Anbieters wird IKEv1 nicht gelistet. Ist jetzt hier etwas OT, frage deshalb hier spontan nach.
     
  11. sis71

    sis71 Mitglied

    Registriert seit:
    16 Feb. 2009
    Beiträge:
    226
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    sollte dabei sein ...
     

    Anhänge:

  12. f666

    f666 Mitglied

    Registriert seit:
    6 Apr. 2016
    Beiträge:
    206
    Zustimmungen:
    24
    Punkte für Erfolge:
    18
    Soweit ich, ohne dass ich Kunde bin, bei VPN unlimited sehen kann, gibt es unter Info / Manuals / How to manually create VPN configurations eine Anleitung um OpenVPN Konfigurationsdateien für Router zu erzeugen.

    Diese Konfigurationsdatei würde ich gerne sehen, natürlich um die Passwörter bereinigt. Da sollte dann ersichtlich werden, ob ein komplettes Netzwerk durchgeleitet werden kann und was man im Freetz GUI einstellen muss.
     
  13. sis71

    sis71 Mitglied

    Registriert seit:
    16 Feb. 2009
    Beiträge:
    226
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    #13 sis71, 16 Jan. 2018
    Zuletzt von einem Moderator bearbeitet: 16 Jan. 2018
    es wird eine openvpn.ovpn erzeugt, auf dem Smartphone funktioniert die super

    sieht so aus:

    Code:
    client
    dev tun
    reneg-sec 0
    persist-tun
    persist-key
    ping 5
    ping-exit 30
    nobind
    comp-lzo adaptive
    remote-random
    ns-cert-type server
    route-metric 1
    <ca>
    -----BEGIN CERTIFICATE-----
    xxxxxxxx
    -----END CERTIFICATE-----
    </ca>
    <cert>
    
    -----BEGIN CERTIFICATE-----
    xxxxxxxx
    -----END CERTIFICATE-----
    </cert>
    <key>
    -----BEGIN PRIVATE KEY-----
    xxxxxxxxxx
    -----END PRIVATE KEY-----
    
    </key>
    remote xx.vpnunlimitedxxx.com
    proto udp
    //edit stoney: in [CODE] ... [/CODE] gepackt
     
  14. f666

    f666 Mitglied

    Registriert seit:
    6 Apr. 2016
    Beiträge:
    206
    Zustimmungen:
    24
    Punkte für Erfolge:
    18
    Es ist an der Stelle wichtig, die Datei nicht für die Verwendung auf einem Smartphone zu erzeugen, sondern für einen Router!
    Der Unterschied, welchen ich mir erhoffe zu erkennen, sollte das Routing eines kompletten Subnetzes sein, und nicht nur einer einzelnen IP Adresse.
     
  15. Shirocco88

    Shirocco88 Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    707
    Zustimmungen:
    37
    Punkte für Erfolge:
    28
    #15 Shirocco88, 21 Jan. 2018
    Zuletzt bearbeitet: 21 Jan. 2018
    die Frage wurde hier im IPPF schon mehrfach gestellt:
    Die Recherche ergab, dass neben dem in #11 erwähnten "vpn unlimited" noch weitere VPN-Provider gemäß Webseiten das IKEv1 Protokoll unterstützen:

    vpn unlimited:
    https://www.vpnunlimitedapp.com/

    Cyberghost:
    https://www.ip-phone-forum.de/threads/fritzbox-als-vpn-client-für-cyberghost.283246/#post-2137484

    Hide.IO, Hide-Me:
    HideMyAss!:
    http://www.hidemyass.com/

    Bisher konnte ich im IPPF noch kein Posting mit einer erfolgreichen VPN-Verbindung von einer FritzBox zu einem VPN-Service-Provider finden.

    Update:
    HMA als weiteren VPN-Provider für IKEv1 eingepflegt;
    Korrektur gemäß #11 von Astrill-VPN nach "vpn unlimited"
     
  16. sis71

    sis71 Mitglied

    Registriert seit:
    16 Feb. 2009
    Beiträge:
    226
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    @f666 #14
    da gibt es leider keine Auswahl ...
     
  17. Theo Tintensich

    Theo Tintensich Aktives Mitglied

    Registriert seit:
    10 März 2008
    Beiträge:
    1,339
    Zustimmungen:
    21
    Punkte für Erfolge:
    38
    Ort:
    Berlin
    Damit die Daten der angeschlossenen Systeme durch den VPN-Tunnel gehen, muss die 7362SI der Default-Gateway sein.

    Damit die Geräte im lokalen Netz kein anderes System erreichen, müssten sie vom DHCP-Server mit der Subnetzmaste 255.255.255.255 und dem DG der 7362SI konfiguriert werden.

    Ob die bei der 7272 konfigurierbaren Daten das möglich machen?