VPN LAN-LAN Box intern

[MdeWendt]

Hallo,

mal wieder das leidige VPN Thema. Ich habe erfolgreich zwei Fritz Boxen per VPN LAN-LAN verbunden. Alles PCs an der einen Box können auf die PCs der anderen Box zugreifen. Das das wirklich per VPN geht habe ich mit einen Trace auf einer Box mal verifiziert (Paketmitschnitt).
Nun habe ich aber festgestellt das wenn ich zB einen Telnet auf die eine Box mache und PCs an der anderen Box anpinge ich einen timeout bekomme. Es scheint also so zu sein das die Boxen intern nichts vom VPN "wissen" - er steht nur an LAN/ WLAN zur Verfügung. Deshab ist es auch nicht möglich zB den SIP Client der einen Box an einen SIP Server der anderen Box per VPN anzumelden. Das geht nur "ungeschützt" übers Internet.
Hat jemand eine Idee ob man da irgendwo die route addden muss oder ob das irgendwo in den Firewallregeln geblockt ist? Welches Interface unter ifconfig ist für VPN zuständig? Ich weiss nur das avmike der dazugehörige Prozess ist.


Martin

 

[frank_m24]

Hallo,

das hab ich mir auch schon mal angesehen. Ich hab keine Lösung gefunden, Applikationen auf der Box direkt über das AVM VPN kommunizieren zu lassen. Es gibt kein virtuelles Netzwerk-Device, auf das man Routen legen könnte oder so. Selbst Pings kommen nicht durch. Sieht schlecht aus.

Falls aber jemand eine Lösung findet, wäre ich auch durchaus interessiert daran.

 

[MdeWendt]

Hallo Frank,

ja das ist irgendwie auch mein Eindruck - normalerweise gibt es ja bei VPN ein virtuelles Netzwerkdevice mit einer Route die dann an dieses Interface gekoppelt ist.
Hat jemand eine Idee wie AVM das dann mit dem Routing löst? Ich gehe ja mal davon aus das ein PC an der FritzBox alles an den, per DHCP bekommenen DefaultGateway, schickt. Also auch zB Traffic ins entfernte VPN LAN. Nur was passiert dann auf der Box? Welcher Prozess greift den Netzwerkverkehr vorher ab und guckt ob er ins VPN geroutet werden muss? Das kann man ja mit der VPN Config bestimmen(fritzbox.cfg - accesslist). Geht das per Linux-Sockets?
Wie kann ich die Debug Ausgaben auf der Telnet console einschalten?
Hat da jemand einen Ansatz damit ich mich dam mal weiter einarbeiten kann?

Martin

 

[frank_m24]

Hallo,

ja das ist irgendwie auch mein Eindruck - normalerweise gibt es ja bei VPN ein virtuelles Netzwerkdevice mit einer Route die dann an dieses Interface gekoppelt ist.

Nicht unbedingt. Auch andere Linux VPN Lösungen, z.B. racoon oder OpenSWAN, bilden keine virtuellen Netzwerk Interfaces.

Hat jemand eine Idee wie AVM das dann mit dem Routing löst?

Ich vermute, es gibt kein Routing. Die lokalen Prozesse, die über VPN erreichbar sein sollen (Webserver für die Konfigurationsoberfläche z.B.) erschlagen das Problem direkt über interne Inter-Prozess-Kommunikation. Ansonsten wird wohl nur der Traffic aus den lokalen Netzwerkdevices abgefangen und entsprechend an den AVM ike Deamon weitergegeben.

Welcher Prozess greift den Netzwerkverkehr vorher ab und guckt ob er ins VPN geroutet werden muss?

dsld?

Das kann man ja mit der VPN Config bestimmen(fritzbox.cfg - accesslist). Geht das per Linux-Sockets?

Dann müsste man es theoretisch mit tcpdump auf dem Loopback-Device sniffen können.
Hat sonst schon mal jemand was über AVM Interprozesskommunikation herausgefunden? Was nutzen die? Message-Queues? Sockets?

Wie kann ich die Debug Ausgaben auf der Telnet console einschalten?

Mit logread kann man sich Logs ansehen, und dann gibts auch noch "/dev/debug", wo vielleicht was vorbei kommt. Auch dazu gibts bestimmt schon was im Forum.

Ich verschiebe den Thread mal nach Fritz->Modifikationen, da wir uns doch vom generellen Internet-Thema mehr und mehr verabschieden.