VPN Connection Problem

[Aod]

Hallo Leute,
ich bräuchte mal wieder eure hilfe und hoffe ihr könnt mir weiter helfen.

Ich habe hier follgende situation:
Eine FRITZ!Box Fon WLAN 7141 die mit dem Internet verbunden ist, die dyndns verbindung aufbaut und die interne Netzwerk IP 192.168.10.1 hat.

Dazu habe ich noch eine FRITZ!Box WLAN 3030.
Diese hat Freetz 1.1.1 drauf und das VPN Packet.
Die interne Netzwerk IP ist 192.168.10.2

Soweit so gut.
Die FB3030 ist mit dem LAN anschluss Nr1 an dem LAN anschluss Nr1 der FB 7141 angeschlossen.
Wenn ich mit meinem Notebook über WLAN zu der FB 7141 verbunden bin, kann ich im netzwerk sowohl auf die FB 3030 als auch auf die FB 7141 zugreifen.

Soweit klappt auch noch alles.
In der FB 7141 ist auch der TCP und UDP port 1194 freigegeben und verweist auf die FB 3030

Wenn ich allerdings nun in einem fremden Internet bin und meine VPN verbindung aufbauen möchte, kommt keine verbindung zu stande.

Und genau da komme ich nicht weiter. Könnt ihr mir da helfen?

meine client config sieht so aus:

remote ***.dyndns.org
proto udp
dev tun
ifconfig 192.168.200.2 192.168.200.1
route 192.168.10.0 255.255.255.0
secret "C:\\Program Files (x86)\\OpenVPN\\Aod\\Aod.key"
tun-mtu 1500
float
mssfix
nobind
verb 3
keepalive 10 120
redirect-gateway def1

 

[MaxMuster]

Wie ist denn die VPN-Box (die 3030) netzwerkmäßig konfiguriert? Was ist also bei der Zugangsart eingetragen? Korrekt wäre vermutlich "Internet über LAN 1" und "Vorhandene Internetverbindung im Netzwerk mitbenutzen (IP-Client)". Wichtig dann, dass die Box auch ein korrektes "Standard-Gateway" eingetragen hat (die IP der 7141 192.168.10.1).

Kommst du von der 3030 ins Netz, geht also z.B. ein "ping -c 1 google.de" oder "ping -c 1 ping -c 1 74.125.77.104" aus der RudiShell?


Wenn das soweit o.k. ist, poste bitte auch die Server-Config der Box, die du per "cat /mod/etc/openvpn.conf " bekommst.
Hinweis: Als Code ([noparse]

[/noparse]) ist es übersichtlicher als wenn du es als Zitat ([noparse][/noparse]) einfügst.

Jörg

 

[Aod]

Die VPN-Box ist so eingestellt das sie als eigene IP die 192.168.10.2 hat.
Als zugangsart ist "FRITZ!Box als DSL-Modem nutzen" ausgewählt.
Die Option für "Internet über LAN 1" habe ich nicht, genauso wie "Vorhandene Internetverbindung im Netzwerk mitbenutzen (IP-Client)" nicht vorhanden ist.

Wenn ich mich mit der VPN Box verbinde, komme ich ins netz wenn ich in windows halt die standartgateway und dns adresse der 7141 einstelle.


Ich habe auch mal die ping befehle über telnet auf der box ausgeführt. Eregbniss ist keine antwort.
Wenn ich aber die 7141 über ping anspreche bekomme ich ein erfolgreiches ergebniss.

Die Server Config ist

proto udp
dev tun
secret /tmp/flash/static.key
port 1194
ifconfig 192.168.200.1 192.168.200.2
tun-mtu 1500
mssfix
verb 3
daemon
cipher BF-CBC
keepalive 10 120

 

[MaxMuster]

Moin,

damit ist das Problem wohl relativ klar: Die VPN-Box kann die Anfragen des Clinents nicht beantworten, denn es fehlt auf der Box das Standardgateway.

Zu den Einstellungen als "IP-Client": Hast du die "Expertenansicht" angehakt? Wenn es dann noch nicht geht, gibt es noch diesen "Trick" in der Rudishell:

sed -i "s%isAta '.%isAta '1%" /var/config.def

spätestens danach sollte die Möglichkeit "freigeschaltet" sein, Internet über LAN auszuwählen.

Wenn du damit noch immer nicht zum Ziel kommst, hilf ein

route add default gw 192.168.10.1

temporär, zur Not kannst du das auch bei jedem Start über "rc.customs" (im Freetz unter Einstellungen) ausführen lassen.

Solange zumindest der zweite Ping (auf die IP, ohne Namensauflösung) nicht funktioniert, wird auch das VPN nicht laufen.


Jörg

 

[Aod]

Moin
Also den Trick mit der Rudishell kann ich nicht machen, da Rudishell bei mir nicht geht. ( Rudi-Shell ist in der aktuellen Sicherheitsstufe nicht verfügbar! )

Das ist aber auch nicht das Problem, da ich es nicht benutze.

Ich habe gestern Abend noch etwas rumprobiert weil ich diese optionen in der VPN Box nicht habe (ja die Expertenansicht ist an)

Undzwar gibt es einen kleinen umweg wie ich halb zum ziel komme.
Ich habe einfach das Wlan der Box eingeschaltet, und denn Repeater aktiviert.
Dort habe ich ausgewählt "Diese FRITZ!Box ist ein Repeater für eine andere Basisstation."

Auf der Seite konnte ich dann die IP der Box, die Subnetzmaske, das Standartgateway und Primären und Sekundären DNS Server auswählen.
Dort habe ich nun stehen:
IP 192.168.10.2
SUB 255.255.255.0
Gateway 192.168.10.1
und DNS habe ich leer gelassen, was die box selber mit 192.168.180.1 und 192.168.180.2 ausgefüllt hat.

Diese einstellungen habe ich übernommen und das WLAN der vpn box wieder ausgeschaltet.

Danach hatte ich auf der Hauptseite der VPN box stehen: DSL Deaktiviert
Info unten sagt: Eine bestehende Internetverbindung im Netzwerk wird mitbenutzt.IP-Adresse 192.168.10.2


Soweit so gut. Ich habe dann mal versuch von aussen die VPN verbindung aufzubauen. Es hat vielleicht eine sekunge oder so gedauert (etwas länger als sonst) , aber die verbindung steht und ich komme auch über die virtuelle IP der VPN box auf die VPN box selbst drauf.
Allerdings funktioniert dann leider noch nicht das Internet. Ich kann also nicht über die VPN box surfen.
Da bräuchte ich jetzt wohl etwas hilfe was da falsch läuft.

(Wenn ich nun über telnet auf der VPN box ein ping signal an www.google.de oder an die IP von google schicke kommen alle packete an)

 

[MaxMuster]

Was sagt denn das Log beim Client, speziell über die Routen? Nach dem Verbindungsaufbau müsste sich die Routingtabelle so ändern, dass das Standardgateway die 192.168.200.1 ist.

Mach also bitte mal auf dem PC ein "route print" vor und nach dem Aufbau und vergleiche und schaue auch im Log des Clients, ob da Hinweise auf "Probleme" zu finden sind.

Als weiteren Punkt muss noch sichergestellt sein, dass die "Internetbox", also die 7141 eine Route für die VPN-Adressen (192.168.200.0 255.255.255.252) zur 192.168.10.2 (IP der 3030) hat.

Test dafür wäre von der 3030

ping -I 192.168.220.1 google.de

.

Zur "Sicherheitssufe" vom freetz findest du übrigens hier im Forum bestimmt mindestens 50 Treffer ;-)

Jörg

 

[Aod]

Also das route Print sieht so aus

Vorher

===========================================================================
Schnittstellenliste
 14...00 ff 13 d2 8e 34 ......TAP-Win32 Adapter V9
 12...00 1f 16 92 c3 db ......Marvell Yukon 88E8071 PCI-E Gigabit Ethernet Controller
 11...00 22 fa 55 b3 74 ......Intel(R) WiFi Link 5100 AGN
  1...........................Software Loopback Interface 1
 20...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
 19...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
 13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 22...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0     192.168.10.1    192.168.10.19     26
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
     192.168.10.0    255.255.255.0   Auf Verbindung     192.168.10.19    281
    192.168.10.19  255.255.255.255   Auf Verbindung     192.168.10.19    281
   192.168.10.255  255.255.255.255   Auf Verbindung     192.168.10.19    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.10.19    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.10.19    281
===========================================================================
St„ndige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0          5.0.0.1  Standard 
          0.0.0.0          0.0.0.0     192.168.10.1       1
          0.0.0.0          0.0.0.0      192.168.0.2       1
===========================================================================

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
 13     58 ::/0                     Auf Verbindung
  1    306 ::1/128                  Auf Verbindung
 13     58 2001::/32                Auf Verbindung
 13    306 2001:0:d5c7:a2d6:142b:259b:2600:5f58/128
                                    Auf Verbindung
 11    281 fe80::/64                Auf Verbindung
 13    306 fe80::/64                Auf Verbindung
 11    281 fe80::5b5:767c:8a73:dbb2/128
                                    Auf Verbindung
 13    306 fe80::142b:259b:2600:5f58/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
 13    306 ff00::/8                 Auf Verbindung
 11    281 ff00::/8                 Auf Verbindung
===========================================================================
St„ndige Routen:
  Keine

Nachher (habe jetzt aus dem netzwerk herraus die vpn verbindung aufgebaut, da ich gerade keine fremde internet verbindung habe)

===========================================================================
Schnittstellenliste
 14...00 ff 13 d2 8e 34 ......TAP-Win32 Adapter V9
 12...00 1f 16 92 c3 db ......Marvell Yukon 88E8071 PCI-E Gigabit Ethernet Controller
 11...00 22 fa 55 b3 74 ......Intel(R) WiFi Link 5100 AGN
  1...........................Software Loopback Interface 1
 20...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
 19...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
 13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 22...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0     192.168.10.1    192.168.10.19     26
          0.0.0.0        128.0.0.0    192.168.200.1    192.168.200.2     30
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
        128.0.0.0        128.0.0.0    192.168.200.1    192.168.200.2     30
     192.168.10.0    255.255.255.0   Auf Verbindung     192.168.10.19    281
     192.168.10.0    255.255.255.0    192.168.200.1    192.168.200.2     30
     192.168.10.2  255.255.255.255     192.168.10.1    192.168.10.19     25
    192.168.10.19  255.255.255.255   Auf Verbindung     192.168.10.19    281
   192.168.10.255  255.255.255.255   Auf Verbindung     192.168.10.19    281
    192.168.200.0  255.255.255.252   Auf Verbindung     192.168.200.2    286
    192.168.200.2  255.255.255.255   Auf Verbindung     192.168.200.2    286
    192.168.200.3  255.255.255.255   Auf Verbindung     192.168.200.2    286
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.200.2    286
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.10.19    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.200.2    286
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.10.19    281
===========================================================================
St„ndige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0          5.0.0.1  Standard 
          0.0.0.0          0.0.0.0     192.168.10.1       1
          0.0.0.0          0.0.0.0      192.168.0.2       1
===========================================================================

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  1    306 ::1/128                  Auf Verbindung
 14    286 fe80::/64                Auf Verbindung
 11    281 fe80::/64                Auf Verbindung
 11    281 fe80::5b5:767c:8a73:dbb2/128
                                    Auf Verbindung
 14    286 fe80::18e0:92af:b1f2:3291/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
 14    286 ff00::/8                 Auf Verbindung
 11    281 ff00::/8                 Auf Verbindung
===========================================================================
St„ndige Routen:
  Keine

Danach habe ich die VPN verbindung nochmal getrennt und über Telnet
ping -I 192.168.220.1 google.de

ausgeführt, als ergebnis kam "can't set multicast source interface"
da ich mir nicht sicher war ob 220 nen schreibfehler war? habe ich nochmal mit 200.1 probiert und da kam nach langem warten
"Invalid argument"


---
Ich habe irgend wie das gefühl das einfach nur der Client nicht über die richtige ip das internet aufbauen will.
vielleicht muss in der client config noch irgend was angegeben werden das er über die 7141 gehen soll? Also 192.168.10.1 ?
Denn wenn ich einen pc an die vpn box über lan anchliesse, und die ip automatisch beziehen lasse bekommt er dns und gateway der 7141

 

[MaxMuster]

Sorry, sollte natürlich die VPN-IP 192.168.200.1 sein.

Also, der Client (wenn es da so sit, wie in deinem lokalen Biespiel) sieht so gut aus:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0     192.168.10.1    192.168.10.19     26
          0.0.0.0        128.0.0.0    192.168.200.1    192.168.200.2     30
[...]
        128.0.0.0        128.0.0.0    192.168.200.1    192.168.200.2     30
[...]

sind die entscheidenden Stellen: Alle Netze laufen über den Tunnel.

Der VPN-Client nutzt aber dann als "Absendeadresse" die IP 192.168.200.2 und auf die muss dann auch geantwortet werden. Wenn der (korrekte) Ping "ping -c 1 -I 192.168.200.1 74.125.77.104" nicht geht, kann deine VPN-Server Box mit der VPN-IP nicht ins Internet, das kann dann der Client auch nicht.

Ist denn auf der 7141 eine Route für 192.168.200.0 eingetragen? Kannst du von der 7141 die IP 192.168.200.1 anpingen?

Jörg

 

[Aod]

Wenn ich auf der VPN Box "ping -c 1 -I 192.168.200.1 74.125.77.104" ausführe kommt es zu nem packet verlust.
Das selbe passiert wenn ich von der 7141 ein ping an die 192.168.200.1 sende

Das wird dann wohl das Problem sein, denn ich weiß nicht wie ich auf der 7141 eine route für 192.168.200.0 einstellen kann.

Auf der 7141 ist die original Fritz Software drauf, und das wollte ich auch nicht ändern. (schlechte erfahrungen)

also kann ich das so irgend wie hinbekommen?
oder müsste ich die vpn adressen von 192.168.200.x auf 192.168.10.x ändern und somit in denn bereich der boxen selbst kommen?

Kenne mich da nicht ganz so mit aus.

 

[MaxMuster]

Du kannst auch in der Standard AVM-GUI (mit Experteneinstellungen) Routen einstellen:

System -> Netzwerk -> Reiter "IP-Einstellungen" -> Knopf "IP-Routen"

und da eine "Neue Route" einrichten für
IP-Netzwerk: 192.168.200.0
Subnetzmaske: 255.255.255.252 (oder auch 255.255.255.0)
Gateway: 192.168.10.2

Jörg

 

[Aod]

Vielen dank für deine ausführliche hilfe Jörg
Alleine hätte ich das wohl nicht geschaft.

Jetzt weiß ich auch endlich wofür der punkt IP-Routen ist, der hat mir vorher nie was gesagt

Jedenfalls kann ich jetzt von außerhalb wieder zur VPN Box connecten und darüber surfen. Das war alles was ich wollte.

Vielen Dank nochmal