.titleBar { margin-bottom: 5px!important; }

VPN zwischen zwei FBF 7170

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von speedup, 8 Okt. 2006.

  1. speedup

    speedup Neuer User

    Registriert seit:
    8 Okt. 2006
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wir versuchen seit einiger Zeit verzweifelt zwei FBF 7170 per VPN zu verbinden. Naja, per TCP fuktioniert es. Aus Performancegründen wollen wir jedoch unbedingt UDP verwenden - alles Probieren war bisher erfolglos.

    Bevor jemand über mich herfällt. Ich habe alle Threads zu diesem Thema durchstöbert. Auch das OPENVPN-howto kenne ich schon fast auswendig :rolleyes:

    Folgendes haben wir gemacht:
    • Beide Boxen laufen mit einer original Firmware (29.04.15). Natürlich sind ein paar Modifikationen am Laufen (z.B. ssh, lcr, etc)
    • Jede Box hat ein virtuelles Interface (eth0:1) im LAN. Die notwendigen Protforwardings (Port 1194 UDP und TCP) sind eingerichtet
    • Auf dem USB-Stick an der Box liegt die OPNVPN-Binary (von www.the-construct.com). Die Berechtigungen sind angepasst.
    • Um die Grundfuntkionalität zu testen fange ich mal ganz am Anfang an (ohne Verschlüsselung, etc.) -> nur das Nötigste:

    Auf der einen BOX starte ich OPENVPN so:
    Code:
    ./openvpn --remote xxx.xxx.net --dev tun1 --ifconfig 10.0.0.1 10.0.0.2 --verb 9 --dev-node /dev/misc/net/tun
    ...auf der anderen so:
    Code:
    ./openvpn --remote yyy.yyy.net --dev tun1 --ifconfig 10.0.0.2 10.0.0.1 --verb 9 --dev-node /dev/misc/net/tun
    Eigentlich müsste man von jeder Box aus das lokale Tunnelinterface und das remote Tunnelinterface (also 10.0.0.1 und 10.0.0.2) pingen können. Aber Fehlanzeige! :mad:

    Sobald ich das ganze mit TCP (--proto tcp-server bzw. tcp-client) mache tut's.

    Habe ich was übersehen oder vergessen?
    Hat jemand eine (oder mehrere) Idee(n)?
    Wer hat sowas schon am Laufen - Beispielconfigs wären ggf. hilfreich.


    Im voraus schon mal Danke für alle Infos!!!
     
  2. AndreR

    AndreR Aktives Mitglied

    Registriert seit:
    4 Jan. 2006
    Beiträge:
    1,579
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Fachinformatiker für Anwendungsentwicklung
    Tja, dann suchen wir mal an der offensichtlichsten Stelle: ist auf der Server-FB der Port (wahrscheinlich 1194) auch für UDP freigeschaltet?
     
  3. speedup

    speedup Neuer User

    Registriert seit:
    8 Okt. 2006
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ei natürlich - wie ich oben schon geschrieben sind auf beiden Boxen die Portforwardings konfiguriert (über die WEB-Oberfläche / die ar7.cfg wurde nicht manuell verändert).
     
  4. AndreR

    AndreR Aktives Mitglied

    Registriert seit:
    4 Jan. 2006
    Beiträge:
    1,579
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Fachinformatiker für Anwendungsentwicklung
    Hm, nur nochmal gefragt: es gibt also 2 Freigaben? Einmal Port 1194 für TCP und einmal für UDP?

    Wenn ja, poste mal die COnfigs, und vor allem die Meldung die der Client beim Starten ausgibt. Und ist der Prozess in der serverBox überhaupt gestartet?
     
  5. speedup

    speedup Neuer User

    Registriert seit:
    8 Okt. 2006
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Erst mal vorweg: das Problem sitzt hier nicht zwischen Tatatur und Stuhl! Natürlich ist OPENVPN auf beiden Boxen gestartet (und bevor jemand fragt: beide Boxen sind eingeschaltet, haben eine Internetverbindung,...)


    Und jetzt wieder sachlich:

    • Portforwardings sind eingerichtet!
    • Die Config steht im ersten Post (ich arbeite zum Test halt einfach nicht mit einem Config file, sondern mit Parametern.

    Logs (mit --verb9 , es sollten also alle Infos drin sein:) ) im Anhang!!
    Wöhrend auf beiden Seiten OPENVPN läuft habe ich versucht jeweils beide Tunnelinterfaces zu pingen (siehe unten).

    Interessant ist, dass ich - wenn ich einen Ping auf das gegenüberliegende Tunnelinterface mache - auf einer der beiden Seiten die Meldung "read UDPv4 [EHOSTUNREACH]: No route to host (code=148)" erhalte. Es ist nicht immer die selbe Box. Das System habe ich noch nicht ganz durchschaut, es scheint aber damit zusamen zu hängen, auf welcher Box ich OPENVPN zuerst starte. Auf dieser Box steigen dann auch die RX-Packets auf dem Tunnelinterface nicht an.

    Ich kann jeweils nur das eigene Tunnelinterface pingen.
    Anbei noch einige Captures bzgl. offener Ports, Routen, Interfaces, etc.

    Box1:
    Code:
    # ifconfig tun1
    tun1      Link encap:Point-Point Protocol
              inet addr:10.0.0.1  P-t-P:10.0.0.2  Mask:255.255.255.255
              UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
              RX packets:3 errors:0 dropped:0 overruns:0 frame:0
              TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:96 (96.0 B)  TX bytes:100 (100.0 B)
    
    # ping 10.0.0.1
    PING 10.0.0.1 (10.0.0.1): 56 data bytes
    64 bytes from 10.0.0.1: icmp_seq=0 ttl=255 time=10.0 ms
    64 bytes from 10.0.0.1: icmp_seq=1 ttl=255 time=0.0 ms
    64 bytes from 10.0.0.1: icmp_seq=2 ttl=255 time=0.0 ms
    64 bytes from 10.0.0.1: icmp_seq=3 ttl=255 time=0.0 ms
    
    --- 10.0.0.1 ping statistics ---
    7 packets transmitted, 7 packets received, 0% packet loss
    round-trip min/avg/max = 0.0/1.4/10.0 ms
    # ping 10.0.0.2
    PING 10.0.0.2 (10.0.0.2): 56 data bytes
    
    --- 10.0.0.2 ping statistics ---
    9 packets transmitted, 0 packets received, [COLOR="Red"]100% packet loss[/COLOR]
    # ifconfig tun1
    tun1      Link encap:Point-Point Protocol
              inet addr:10.0.0.1  P-t-P:10.0.0.2  Mask:255.255.255.255
              UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
              RX packets:3 errors:0 dropped:0 overruns:0 frame:0
              TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:96 (96.0 B)  TX bytes:856 (856.0 B)
    
    # netstat -rn
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
    192.168.180.1   0.0.0.0         255.255.255.255 UH       40 0          0 dsl
    10.0.0.2        0.0.0.0         255.255.255.255 UH       40 0          0 tun1
    192.168.180.2   0.0.0.0         255.255.255.255 UH       40 0          0 dsl
    192.168.178.0   0.0.0.0         255.255.255.0   U        40 0          0 lan
    192.168.2.0     0.0.0.0         255.255.255.0   U        40 0          0 lan
    192.168.2.0     0.0.0.0         255.255.255.0   U        40 0          0 eth0
    0.0.0.0         0.0.0.0         0.0.0.0         U        40 0          0 dsl
    # netstat -ln
    Active Internet connections (only servers)
    Proto Recv-Q Send-Q Local Address           Foreign Address         State
    tcp        0      0 0.0.0.0:5060            0.0.0.0:*               LISTEN
    tcp        0      0 0.0.0.0:49000           0.0.0.0:*               LISTEN
    tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
    tcp        0      0 127.0.0.1:1011          0.0.0.0:*               LISTEN
    tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
    tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
    tcp        0      0 0.0.0.0:23              0.0.0.0:*               LISTEN
    udp        0      0 0.0.0.0:1024            0.0.0.0:*
    udp        0      0 0.0.0.0:1025            0.0.0.0:*
    udp        0      0 0.0.0.0:1026            0.0.0.0:*
    udp        0      0 0.0.0.0:1028            0.0.0.0:*
    udp        0      0 0.0.0.0:7077            0.0.0.0:*
    udp        0      0 0.0.0.0:1194            0.0.0.0:*
    udp        0      0 0.0.0.0:53              0.0.0.0:*
    udp        0      0 0.0.0.0:5060            0.0.0.0:*
    udp        0      0 0.0.0.0:1900            0.0.0.0:*
    raw        0      0 0.0.0.0:2               0.0.0.0:*               0
    raw        0      0 0.0.0.0:2               0.0.0.0:*               0
    raw        0      0 0.0.0.0:2               0.0.0.0:*               0
    raw        0      0 0.0.0.0:2               0.0.0.0:*               0
    Active UNIX domain sockets (only servers)
    Proto RefCnt Flags       Type       State         I-Node Path
    #
    

    Box2:

    Code:
    # ifconfig tun1
    tun1      Link encap:Point-Point Protocol
              inet addr:10.0.0.2  P-t-P:10.0.0.1  Mask:255.255.255.255
              UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
              RX packets:3 errors:0 dropped:0 overruns:0 frame:0
              TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:100 (100.0 B)  TX bytes:196 (196.0 B)
    
    # ping 10.0.0.2
    PING 10.0.0.2 (10.0.0.2): 56 data bytes
    64 bytes from 10.0.0.2: icmp_seq=0 ttl=255 time=0.0 ms
    64 bytes from 10.0.0.2: icmp_seq=1 ttl=255 time=0.0 ms
    
    --- 10.0.0.2 ping statistics ---
    2 packets transmitted, 2 packets received, 0% packet loss
    round-trip min/avg/max = 0.0/0.0/0.0 ms
    # ping 10.0.0.1
    PING 10.0.0.1 (10.0.0.1): 56 data bytes
    
    --- 10.0.0.1 ping statistics ---
    8 packets transmitted, 0 packets received, [COLOR="Red"]100% packet loss[/COLOR]
    # ifconfig tun1
    tun1      Link encap:Point-Point Protocol
              inet addr:10.0.0.2  P-t-P:10.0.0.1  Mask:255.255.255.255
              UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
              RX packets:12 errors:0 dropped:0 overruns:0 frame:0
              TX packets:23 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:856 (856.0 B)  TX bytes:1624 (1.5 KiB)
    
    # netstat -rn
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
    10.0.0.1        0.0.0.0         255.255.255.255 UH       40 0          0 tun1
    192.168.180.1   0.0.0.0         255.255.255.255 UH       40 0          0 dsl
    192.168.180.2   0.0.0.0         255.255.255.255 UH       40 0          0 dsl
    192.168.178.0   0.0.0.0         255.255.255.0   U        40 0          0 lan
    172.16.0.0      0.0.0.0         255.255.255.0   U        40 0          0 lan
    172.16.0.0      0.0.0.0         255.255.255.0   U        40 0          0 eth0
    0.0.0.0         0.0.0.0         0.0.0.0         U        40 0          0 dsl
    # netstat -ln
    Active Internet connections (only servers)
    Proto Recv-Q Send-Q Local Address           Foreign Address         State
    tcp        0      0 0.0.0.0:5060            0.0.0.0:*               LISTEN
    tcp        0      0 0.0.0.0:49000           0.0.0.0:*               LISTEN
    tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
    tcp        0      0 127.0.0.1:1011          0.0.0.0:*               LISTEN
    tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
    tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
    tcp        0      0 0.0.0.0:23              0.0.0.0:*               LISTEN
    udp        0      0 0.0.0.0:1024            0.0.0.0:*
    udp        0      0 0.0.0.0:1025            0.0.0.0:*
    udp        0      0 0.0.0.0:1026            0.0.0.0:*
    udp        0      0 0.0.0.0:1027            0.0.0.0:*
    udp        0      0 0.0.0.0:7077            0.0.0.0:*
    udp        0      0 0.0.0.0:1194            0.0.0.0:*
    udp        0      0 0.0.0.0:53              0.0.0.0:*
    udp        0      0 0.0.0.0:5060            0.0.0.0:*
    udp        0      0 0.0.0.0:1900            0.0.0.0:*
    raw        0      0 0.0.0.0:2               0.0.0.0:*               0
    raw        0      0 0.0.0.0:2               0.0.0.0:*               0
    raw        0      0 0.0.0.0:2               0.0.0.0:*               0
    raw        0      0 0.0.0.0:2               0.0.0.0:*               0
    Active UNIX domain sockets (only servers)
    Proto RefCnt Flags       Type       State         I-Node Path
    # 
    Ich bin ratlos!! :(
     

    Anhänge:

    • LOGs.zip
      Dateigröße:
      14.1 KB
      Aufrufe:
      5
  6. AndreR

    AndreR Aktives Mitglied

    Registriert seit:
    4 Jan. 2006
    Beiträge:
    1,579
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Fachinformatiker für Anwendungsentwicklung
    Hi,

    ich hab dich nicht angreifen wollen, aber deine Aussagen waren nicht eindeutig.

    Also, die Logs von Box 2 (der Client) zeigen, dass er alle 10 Sekunden versucht die Verbindung neu zu öffnen, keine Antwort erhält und dann mit

    Code:
    Connection refused
    reagiert.

    Das Bedeutet in aller Regel, dass eine Verbindung auf der Adresse mit dem Port nicht möglich war, oder dass der Server auf einem anderen Port lauscht (tut er aber nicht).

    Deshalb folgende Bitte: Poste mal den Teil "Forwardrules" aus der Datei /var/flash/ar7.cfg der Server Box

    öffnen tust du sie (falls nicht bekannt) mittels
    Code:
    nvi /var/flash/ar7.cfg
    und schließen mittels druck der ESC Taste und Eingabe von
    Code:
     :!q
    und Enter

    Im Übrigen: warum machst du das ohne Config-Dateien? Wäre mit doch sehr viel angenehmer
     
  7. speedup

    speedup Neuer User

    Registriert seit:
    8 Okt. 2006
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    das "connection refused" habe ich auch gesehen, es ist aber in dem einen Logfile nur ganz am Anfang einmal drin (zu dieser Zeit lief OPENVPN nur auf einer Box - auf der anderen ist der Port noch zu, meine Finger sind zu langsam um es auf beiden absolut zur selben Zeit starten zu können ;) ).
    Im anderen Logfile ist es nur einmal ganz am Ende (gleiches Problem beim Beenden von OPENVPN...).

    Also glaub mir, Die Forwardings sind nicht das Problem... (der Vollständigkeit halber im Anhang die ar7.cfg) Ich suche aktuell an folgenden Stellen:

    - ein NAT-Problem
    - generelles Problem in der Binary (drum würde mich interessieren, ob jemand das so - also mit UDP - in Betrieb hat!)
    - Routing (drum arbeite ich ja schon mit der einfachsten möglichen Konfiguration und versuche nur die Tunnelinterfaces zu pingen).

    PS: die "produktive Konfiguration" die normalerweise Läuft (per TCP) ist natürlich per Config-File gemacht. Zum Test ist's halt so einfacher muss ich nicht jedes mal an einer Config rumstricken sondern paste die Aufrufe einfach aus 'ner Textdatei und habe so noch eine Art History...
    Und noch was: mit VI bin ich quasi verheiratet...
     

    Anhänge:

    • ar7.zip
      Dateigröße:
      4.6 KB
      Aufrufe:
      7
  8. AndreR

    AndreR Aktives Mitglied

    Registriert seit:
    4 Jan. 2006
    Beiträge:
    1,579
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Fachinformatiker für Anwendungsentwicklung
    Hi,

    also um das Thema Portforwarding (auch wenn die Meldungen darauf hindeuten) auszuschließen: die Freigaben sind korrekt.

    Nur so zum Test, versuch doch mal in der Config-Datei für TCP Verbindungen einfach statt tcp udp zu verwenden. Sollte schnell machbar sein. Geht es dann? Oder die gleichen Meldungen?

    Wenn das alles nicht hilft, verweise ich an das OpenVPN-Forum
     
  9. voipjedi

    voipjedi Neuer User

    Registriert seit:
    23 Juni 2005
    Beiträge:
    132
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Hannover
    Wenn´s ganz sicher mit VPN klappen soll: auf die neue FBF Firmware warten - VPN KOMMT HOCHOFFIZIELL noch dieses Jahr!

    Die Beta demnächst, Release bis Jahresende (Quelle AVM Roadshow)
     
  10. j-g-s

    j-g-s Mitglied

    Registriert seit:
    22 Sep. 2005
    Beiträge:
    503
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das währe ja super!

    Viele andere Router haben schon so was, hoffendlich kommt das auch.
    Wozu hat man sonst heute die hohen DSL-Geschwindigkeiten, bei DSL 6000 oder 16000 währe das doch gut!
     
  11. speedup

    speedup Neuer User

    Registriert seit:
    8 Okt. 2006
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Natürlich habe ich auch mit meinen bestehenden Configs UDP getestet - natürlich ohne Erfolg...!! Das war ja eigentlich der allererste Ansatz.

    Mich wundert, dass das offenbar noch niemand mit UDP im Einsatz hat:?