.titleBar { margin-bottom: 5px!important; }

VPN, Ping von Client ins Netz der FritzBox (=VPNServer) will nicht (Firewall?)

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von mrjingle, 6 Jan. 2007.

  1. mrjingle

    mrjingle Neuer User

    Registriert seit:
    11 Nov. 2006
    Beiträge:
    13
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 mrjingle, 6 Jan. 2007
    Zuletzt bearbeitet: 6 Jan. 2007
    Hi,

    erstmal ein dickes Lob an alle, dass hier so ein tolles Forum entstanden ist. Egal welches Problem ich mit meiner FritzBox hatte, hier wurde mir immer geholfen - es stand alles schon da :)

    Aber jetzt komm ich nicht wirklich weiter. Auch wenn es zum Thema VPN und pingen etc. so viele Beiträge gibt verlaufen sie sich entweder im Sande oder sind nicht wirklich das was ich brauch.

    Zu meinem Problem

    Meine FritzBox 7050 dient als VPN-Server. Der VPN-Server läuft, die Verbindung kann ich übers Internet herstellen. Mein Rechner (Alice) der via VPN die Verbindung zur FB herstellt, kann die FB pingen und kennt die Route zu einem anderen Rechner (Bob) im internen Netz hinter der FB.

    Schematisch und mit IPs sieht das so aus:

    Alice (10.0.0.2) ---[ Internet ]---> FB (10.0.0.1/192.168.10.254) ---[ LAN ] ---> Bob (192.168.10.23)


    Die Routen der FB
    Code:
    /var/mod/root # route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    192.168.180.1   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
    192.168.180.2   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
    192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
    192.168.179.0   0.0.0.0         255.255.255.0   U     0      0        0 usbrndis
    10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
    [i]192.168.1.0     10.0.0.2        255.255.255.0   UG    0      0        0 tap0[/i]
    192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
    10.36.3.0       0.0.0.0         255.255.255.0   U     0      0        0 wlan
    192.168.9.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
    0.0.0.0         0.0.0.0         0.0.0.0         U     2      0        0 dsl
    /var/mod/root # 
    
    Wie man an der markierten Zeile sieht, hab ich das Routing auch in die andere Richtung eingestellt (über das Web-Konfig-Tool). Ein Ping von Bob zu Alice geht!


    Die Routen von Alice
    Code:
    mrjingle@alice:~$ route -n
    Kernel IP Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
    192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
    192.168.10.0    10.0.0.1        255.255.255.0   UG    0      0        0 tap0
    0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth1
    mrjinge@alice:~$ 
    
    Der Ping von Alice nach Bob funktioniert aber nicht. Ein traceroute zeigt, dass die FB den request blockiert.
    Code:
    mrjingle@alice:~$ traceroute 192.168.10.23
    traceroute to 192.168.10.23 (192.168.10.23), 30 hops max, 40 byte packets
     1  10.0.0.1 (10.0.0.1)  133.988 ms  125.553 ms  126.905 ms
     2  * *
    
    Der Vollständigkeit halber häng ich hier noch die Configs der VPN-Seiten an:
    Server (FB):
    Code:
    daemon
    port 10666 # or any other port you want to use
    proto udp 
    dev tap0
    dev-node /dev/misc/net/tun
    tls-server
    ca /var/tmp/vpn/ca.crt
    cert /var/tmp/vpn/fritzbox.crt
    dh /var/tmp/vpn/dh1024.pem
    crl-verify /var/tmp/vpn/crl.pem
    
    key /var/tmp/flash/vpn/fritzbox.key
    tls-auth /var/tmp/flash/vpn/ta.key 0
    
    mode server
    mute-replay-warnings
    keepalive 10 120
    
    server 10.0.0.0 255.255.255.0
    #ifconfig 10.1.0.1 255.255.255.0 # openvpn gateway
    #ifconfig-pool 10.1.0.2 10.1.0.11 255.255.255.0 # ip range for openvpn client
    #push "dhcp-option DNS 10.1.0.1" # push DNS entries to openvpn client
    #push "dhcp-option DOMAIN home.vpn"
    push "route-gateway 10.1.0.1" # push default gateway
    mtu-test
    tun-mtu 1500
    tun-mtu-extra 32
    mssfix 1450
    push "route 192.168.10.0 255.255.255.0"  # add route to network
    client-to-client
    comp-lzo
    #log-append /var/log/openvpn
    verb 3 
    persist-key
    
    Client (Alice)
    Code:
    port 10666 # or any other port you want to use
    proto udp
    remote ... 10666
    dev tap
    
    ca ca.crt
    cert quarks-linux.crt
    key quarks-linux.key
    tls-auth ta.key 1 
    
    ;ns-cert-type server
    ;tls-remote fritzbox
    
    client
    pull 
    mute-replay-warnings
    mtu-test
    tun-mtu 1500
    tun-mtu-extra 32
    mssfix 1450
    ping 10
    ping-restart 120
    comp-lzo
    persist-key
    
    status /var/log/openvpn-status.log
    verb 3
    
    Meiner Meinung nach blockiert die Firewall der FB den Ping. Ich verwende aber die orginal-Firewall der FB, keine iptables.

    Gibt es eine Möglichkeit der FritzBox das routen zwischen den internen Interfaces tap0 und eth* zu erlauben? Kann ich irgendwie die Firewall in dem Bereich aufbohren? Oder bin ich komplett auf dem Holzweg?


    Gruß,
    Robert