- Anzeige -

VPN auf Fritzbox6360 mit DS-Lite

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

Re: VPN auf Fritzbox6360 mit DS-Lite

Beitragvon tomas » 10.08.2014, 13:36

Ich muss das Thema jetzt nochmal kurz aufgreifen.

Ich möchte nun eine MyFritz-Freigabe für den TP Link und OpenVPN erstellen.

Nur, was muss ich bei "Anwendung" und "Schema" angeben?
Oder ist es egal?
Anschluss: Unitymedia, 3 Play Smart 50
Hardware: FritzBox 6320, Synology DiskStation DS213+
tomas
Kabelexperte
 
Beiträge: 134
Registriert: 14.04.2013, 16:50
Wohnort: Hagen

Re: VPN auf Fritzbox6360 mit DS-Lite

Beitragvon SpaceRat » 10.08.2014, 14:35

tomas hat geschrieben:Ich muss das Thema jetzt nochmal kurz aufgreifen.

Ich möchte nun eine MyFritz-Freigabe für den TP Link und OpenVPN erstellen.

Nur, was muss ich bei "Anwendung" und "Schema" angeben?
Oder ist es egal?

Das ist egal.

Das Schema spielt nur eine Rolle für Links, die man aus dem Webbrowser heraus in der richtigen Anwendung öffnen können will:
So würdest Du z.B. bei einem IRC-Server als Schema "irc://" eintragen, damit beim Anklicken der URL diese direkt in einem IRC-Client (z.B. Kvirc, OpenChat, Xchat, BitchX, mIRC, ...) geöffnet wird, statt im Webbrowser, der damit nichts anfangen kann.

Für viele Dienste gibt es aber kein solches etabliertes Schema.
Hier findet man eine Liste der offiziell anerkannten Schemata.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: VPN auf Fritzbox6360 mit DS-Lite

Beitragvon tomas » 10.08.2014, 18:35

Ok, danke.

Ich habe einfach mal eine "Fake" MyFritzFreigabe erstellt.

Unter "IPv6" Freigaben habe ich dann eine UDP-Freigabe erstellt.

Nun sieht meine Client-Config so aus:
Code: Alles auswählen
client
dev tun
proto udp6
remote TPLINKmitOPENVPN.blablabla.myfritz.net 29999
resolv-retry infinite
nobind
persist-key
persist-tun
ca "/Users/thomas/Desktop/VM/OVPN/ca.crt"
cert "/Users/thomas/Desktop/VM/OVPN/client01.crt"
key "/Users/thomas/Desktop/VM/OVPN/client01.key"
ns-cert-type server
comp-lzo
verb 3


Ich hatte diese Config im lokalen Netz meines Bruders vorhin probiert (mit der LAN IP des TP-Links auf dem DD WRT mit OpenVPN läuft).
Dementsprechend habe ich nun nur die IP mit der MyFritzAdresse geändert.
Den Port hatte ich jetzt einfach mal so hoch gelegt weil ich den nicht auf 1194 liegen haben wollte (muss ich auch nicht oder?)
Trotzdem kriege ich bei Tunnelblick (OS X) folgende Meldung:

Code: Alles auswählen
2014-08-10 18:27:50 UDPv6 link local: [undef]
2014-08-10 18:27:50 UDPv6 link remote: [AF_INET6]4a42:625:fd64:2f80:b4d8:b3fb:fe5b:3782:29999  [[b]Zahlen geändert[/b]]
2014-08-10 18:27:50 MANAGEMENT: >STATE:1407688070,WAIT,,,
2014-08-10 18:28:50 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2014-08-10 18:28:50 TLS Error: TLS handshake failed
2014-08-10 18:28:50 SIGUSR1[soft,tls-error] received, process restarting
2014-08-10 18:28:50 MANAGEMENT: >STATE:1407688130,RECONNECTING,tls-error,,
2014-08-10 18:28:50 MANAGEMENT: CMD 'hold release'


Meine Server Config auf dem DD WRT sieht wie folgt aus:

Code: Alles auswählen
port 29999
proto udp6
dev tun0
tun-ipv6
ca /tmp/openvpn/ca.crt (Master Zertifikat)
cert /tmp/openvpn/cert.pem (Server Zertifikat)
key /tmp/openvpn/key.pem (Server Key)
dh /tmp/openvpn/dh.pem (DH Parameter)
server 172.16.2.0 255.255.255.0
push "route 192.168.3.0 255.255.255.0"
push "dhcp-options DNS 192.168.3.1"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3


Ich habe hier die lokale IP 192.168.2.0 vergeben. Bei meinem Bruder ist es 192.168.3.0

Und das ist hier die Ausgabe des OpenVPN Server auf dem DD WRT wenn ich ihn starte:
Code: Alles auswählen
20140810 20:14:54 Diffie-Hellman initialized with 1024 bit key
20140810 20:14:54 Socket Buffers: R=[163840->131072] S=[163840->131072]
20140810 20:14:54 I TUN/TAP device tun0 opened
20140810 20:14:54 TUN/TAP TX queue length set to 100
20140810 20:14:54 I do_ifconfig tt->ipv6=1 tt->did_ifconfig_ipv6_setup=0
20140810 20:14:54 I /sbin/ifconfig tun0 172.16.2.1 netmask 255.255.255.0 mtu 1500 broadcast 172.16.2.255
20140810 20:14:54 I UDPv6 link local (bound): [undef]
20140810 20:14:54 I UDPv6 link remote: [undef]
20140810 20:14:54 MULTI: multi_init called r=256 v=256
20140810 20:14:54 IFCONFIG POOL: base=172.16.2.2 size=252 ipv6=0
20140810 20:14:54 I ifconfig_pool_read() in='client01 172.16.2.2' TODO: IPv6
20140810 20:14:54 I succeeded -> ifconfig_pool_set()
20140810 20:14:54 IFCONFIG POOL LIST
20140810 20:14:54 client01 172.16.2.2
20140810 20:14:54 I Initialization Sequence Completed


Kann wer helfen? Habe ich etwas falsch gemacht, gibts irgendwo einen Fehler?

//Nachtrag:
Ich habe auf http://www.ipv6tech.ch mal einen Portscan laufen lassen auf die Adresse meines Bruders, mit dem Ergebnis
"UDP6 Port 1194 openvpn REACHABLE"
Anschluss: Unitymedia, 3 Play Smart 50
Hardware: FritzBox 6320, Synology DiskStation DS213+
tomas
Kabelexperte
 
Beiträge: 134
Registriert: 14.04.2013, 16:50
Wohnort: Hagen

Re: VPN auf Fritzbox6360 mit DS-Lite

Beitragvon tomas » 13.08.2014, 11:10

*push*

Niemand eine Idee?
Anschluss: Unitymedia, 3 Play Smart 50
Hardware: FritzBox 6320, Synology DiskStation DS213+
tomas
Kabelexperte
 
Beiträge: 134
Registriert: 14.04.2013, 16:50
Wohnort: Hagen

Re: VPN auf Fritzbox6360 mit DS-Lite

Beitragvon GoaSkin » 14.08.2014, 16:21

Mach mal einen IPv6-Ping vom Client auf den Server!

Wenn dann von der öffentlichen IPv6-Adresse der FB im Ziel-Netz die ICMP-Meldung "Administratively Prohibited" zurück kommt, schlägt die Firewall auf der FB im Ziel-Netz zu.

Das ist ein Bug im Fritz-OS, der auftreten kann, wenn man eine MyFritz-Freigabe erstellt und schon normale IPv6-Freigaben vorhanden waren. Abhilfe schafft es dann meistens, die in der Folge erstellte "normale" IPv6-Freigabe aufzurufen und dort ein unwesentliches Detail zu ändern (z.B. Port-Range um 1 erweitern).
Es gibt drei Fleischsorten: Beef, Chicken und Veggie. Von welchem Tier die kommen? Von garkeinem, sondern aus der Packung.
GoaSkin
Glasfaserstrecke
 
Beiträge: 1093
Registriert: 12.12.2009, 17:25

Re: VPN auf Fritzbox6360 mit DS-Lite

Beitragvon tomas » 14.08.2014, 22:58

Kurze Frage dazu, mache ich im Terminal dann einfach:

ping6 blablabla.myfritz.net
bzw.
ping6 Freigabe.blabla.myfritz.net

oder müsste da nicht noch irgendwie der Port dahinter?

Wie gesagt, der UDP Test auf ipv6tools.ch hat ja ergeben das der OpenVPN Port "reachable" ist.
Anschluss: Unitymedia, 3 Play Smart 50
Hardware: FritzBox 6320, Synology DiskStation DS213+
tomas
Kabelexperte
 
Beiträge: 134
Registriert: 14.04.2013, 16:50
Wohnort: Hagen

Re: VPN auf Fritzbox6360 mit DS-Lite

Beitragvon SpaceRat » 15.08.2014, 02:19

tomas hat geschrieben:Kurze Frage dazu, mache ich im Terminal dann einfach:


ping -6 blabla.myfritz.net
bzw.
ping -6 gerät.blabla.myfritz.net

Unter Linsuxx funktioniert ggf. statt "ping -6" auch "ping6", zwingend vorhanden sein muß dieses Tool aber nicht. "ping -6" hingegen geht immer (Wenn IPv6-Support vorhanden).

tomas hat geschrieben:oder müsste da nicht noch irgendwie der Port dahinter?

Ohne Port.

tomas hat geschrieben:Wie gesagt, der UDP Test auf ipv6tools.ch hat ja ergeben das der OpenVPN Port "reachable" ist.

Dann läuft der da auch.

Ich würde es einfach mal mit einer schlichteren Konfiguration für OpenVPN probieren, z.B. einfach nur mit "static key".
Es ist nämlich problemlos möglich (Ohne den geringsten Mucks beim Bauen!) einen OpenVPN zu kompilieren der mit Zertifikaten nicht klarkommt ...
Da kannst Du dann verdammt lange an anderer Stelle nach Fehler suchen ... ;)
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Vorherige

Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 16 Gäste

cron