• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[Gelöst] Raspbian VPN Router Konfiguration

J

Java4Coffee

Newbie
Hallo und Guten Tag,
dies ist mein erster Post in diesem Fourm. Ich wende mich an euch in der Hoffnung hier die richtigen Leute zu finden die mir bei meinem Problem helfen können.

Meine Zielsetzung ist es über eine UMTS- und VPN-Verbindung zwei Netzwerke zu verbinden.



Am Ende will ich von Rechner A auf Rechner B zugreifen können. Doch genau an dieser Stelle hakt es bei mir.

Folgende Technische Fakten:
Rechner A u. B sind Win :zensur: 7 Kisten
Fritzbox 7360 SL / FRITZ!OS 06.20 / als VPN-Server
RASB Raspberry Pi mit Raspian 2015-02-16

Meine bisherige Konfiguration auf dem RASB:
In '/etc/sysctl.conf' -> 'net.ipv4.ip_forward=1' aktiviert (!#)

Die VPN-Verbindung wird mit vpnc hergestellt. Hier habe ich mich für Neztwerkadapter und NAT nach RFC3947 entschieden :???:


Nach aufgebauter Verbindung gebe ich
Code: 
sudo iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE
und
sudo iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
ein.

Die StandartGateways von Rechner A (192.168.178.203) und Rechner B (192.123.22.2) sind entsprechend konfiguriert.
Rechner A


Jezt kann ich zwar von Rechner B aus Rechner A pingen aber nicht umgekehrt! ICH KOMME NICHT VON RECHNER A AUF RECHNER B!

Wenn ich probeweise den RASB (eth0) direkt ohne VPN mit der Fritzbox verbinde und den Gateway bei Rechner A anpasse, sowie dem RASB noch eine Filterregel hinzufüge, kann ich in beide Richtungen pingen.

Hier mal der ifconfig vom RASB bei bestehendem VPN


Ein 'tracert' auf Rechner A lässt mich nun daran zweifeln ob mir die Fritzbox dazwischen schießt oder ob ich den RASB noch nicht richtig konfiguriert habe


Ich hoffe Ihr könnt damit was anfangen. Später will ich auf dem RASB den UMTS/VPN-Verbingungsaufbau über eingehende SMS steuern und Rechner B bzw. das daran angeschlossene Netz fernverwalten. Verbringe jetzt schon Tage mit unterschiedlichen Einstellungen ohne nennenswerte Erkentnisse zu gewinnen.

Wäre euch wirklich dankbar für hilfreiche Vorschläge oder DIE LÖSUNG.

Edit: [Gelöst]

Grüße
Java4Coffee
 
S

spoensche

Moderator
Teammitglied
Du verwendest OpenVPN oder?

Ein paar Tipps zur Konfiguration:

1. 192.123.22.2 ist keine IP aus dem privaten Addressbereich.
2. Die VPN- IP sollte in keinem der beiden Netze sein, also weder 192.168.178.x noch 192.123.22.x. Verwende für den Tunnel z.B. die IP's 10.0.0.1 und 10.0.0.2. Diese IP's werden ausschließlich für den Tunnel benötigt.

3. Wenn die VPN- Verbindung aufgebaut worden ist, dann benötigst du kein NAT um von A nach B zu gelangen. Du kannst dem VPN-Server sagen, dass er die passenden Route per Push schicken soll. Der Client trägt diese Routen dann in seine Routingtabelle ein. Du brauchst dann nur noch die Forwarding Regeln für IP-Tables anlegen, als Ausgangsinterface (Option -o) verwendest du dann das tun bzw. tap Device.
 
OP
J

Java4Coffee

Newbie
Hallo,
vielen Dank schon mal für die ausführliche Antwort.
Nein kein OpenVPN, Fritzbox intern bzw. vpnc als client.
Leider bietet die Fritzbox hier eingentlich 0 Einstellmöglichkeiten für den VPN. Auch der Versuch, Clientseitig eine selbstgewählte IP-Adresse zu erlangen und auf diese eine Ipv4 Routingregel zu erstellen schlägt fehl.

An die Aufteilung des privaten Adressbereiches habe ich noch nicht gedacht. Aber auch eine Abänderung von Rechner B und eth1 auf z.B. 192.168.179.x bring keinen Erfolg. Außer das Tracert nicht mehr ins Internet gelenkt wird.
 
S

spoensche

Moderator
Teammitglied
Deaktiviere die VPN Funktion der Fritzbox und installiere dir auf einer Seite einen OpenVPN Server. Der funktioniert und du hast volle Kontrolle über die Konfiguration.
 
/dev/null

/dev/null

Moderator
Teammitglied
spoensche schrieb:
Deaktiviere die VPN Funktion der Fritzbox und installiere dir auf einer Seite einen OpenVPN Server. Der funktioniert und du hast volle Kontrolle über die Konfiguration.
Zum Vergrößern anklicken....
Nun ja ...

Java4Coffee schrieb:
Leider bietet die Fritzbox hier eingentlich 0 Einstellmöglichkeiten für den VPN. Auch der Versuch, Clientseitig eine selbstgewählte IP-Adresse zu erlangen und auf diese eine Ipv4 Routingregel zu erstellen schlägt fehl.
Zum Vergrößern anklicken....
Aha ...

Ich schicke dir gern mal mein Template für eine Mehrfachkonfiguration des IPsec-Servers auf der Fritz-Box. Mit dieser Konfiguration kannst du so ziemlich alles machbare einstellen. Ist eigentlich alles in den Kommentaren eingetragen. Bei mir laufen seit einigen Jahren insgesamt 7 verschiedene VPN über die Fritte. Alle Verbindungen sind gleichzeitig möglich (jede hat eine eigene in der conf einstellbare IP), du kannst auswählen, ob der andere VPN-Endpunkt nur ins Homenet oder über deinen Router ins Internet geht ("Hotspot-Version") und selbstverständlich hat jede Verbindung einen eigenen PSK. Du kannst die Konfiguration bis auf 8 Verbindungen erweitern (mehr wird in der GUI nicht angezeigt, sie funktionieren aber), oder nicht benötigte rauswerfen. Und in der GUI kannst du jede einzelne Verbindung aktivieren und deaktivieren.

Die einzige Unschönheit des AVM-VPN ist, dass AVM - warum auch immer - die Verwendung von X.509-Zertifikaten rausgepatcht oder (falls Eigenentwicklung) nicht mit reingenommen hat.

Schicke mir einfach per PN eine erreichbare Adresse.

edit: im IP-Phone-Forum habe ich die Konfig gepostet, auch diverse sonstige Posts dazu. Du kannst auch gerne dort suchen.

MfG Peter
 
OP
J

Java4Coffee

Newbie
Schau show
Danke, ES FUNKTIONIERT jetzt.

Ich habe mich mal ein wenig mit den 'versteckten' Einstellmöglichkeiten vertraut gemacht, das Config (.export) ausgelesen und durch http://www.almisoft.de/forum/viewtopic.php?f=15&t=2617 auch wieder zurück spielen können. Die vpn .config kenne ich mtlw. auch.

Nach einigem TryAndError und http://avm.de/nc/service/fritzbox/f...P-Netzwerke-hinter-einer-FRITZ-Box-zugreifen/ (Punkt 2) bin ich dahinter gekommen das ich in,
Code: 
                accesslist = 
                             "permit ip 0.0.0.0 0.0.0.0 192.168.178.203 255.255.255.255",
                             "permit ip any 192.168.179.0 255.255.255.0";
bezugnehmend auf meinen letzen Post, die letzte Zeile einfügen muss.

Hast du eine Idee welchen Parameter ich ändern muss, damit die Internetverbindung der FritzBox NICHT von den VPN-Clients genutzt werden kann? (Rechner B soll keinen Internetzugang haben)

Gruß
Java4Coffee
 
OP
J

Java4Coffee

Newbie
Danke,
soweit habe ich ich mir das auch schon gedacht. In deinem Beispiel habe ich den finalen Hinweis gefunden.
Code: 
accesslist =
"permit ip 192.168.178.0 255.255.255.0 192.168.178.203 255.255.255.255",
"permit ip 192.168.178.0 255.255.255.0 192.168.179.0 255.255.255.0";

Damit ist es möglich die Netze zu kombinieren ohne das Rechner B ins Internet gelangen kann. PERFEKT!

Vielen Dank für eure Hilfe.

Grüße
Java4Coffee
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben