thburkhart
Goto Top

ARCHER C7 als Open VPN-Server im Netwerk einer Fritzbox 6490

Guten Tag,

ich habe bei UnityMedia eine Fritzbox 6490, die die Verbindung zur WAN-Seite herstellt.

Einen VPN-Zugriff realisiere über Screwsoft -VPN. Dieses hat mir in Verbindung mit Citrix-Client öfters die Adaptereinstellung auf meinen externen Windows-10-Client PCs zerschossen.

Deshalb möchte ich auf Open-VPN wechseln. Bekannterweise läuft die aber nicht direkt auf der Fritzbox.

Im Netz der Fritzbox verwende ich derzeit je Stockwerk dieTP-Link Archer C7 -Router im AP-Betrieb für WLAN und angeschlossene USB.Festplatte als NAS.

Der Archer C7 kann ja als Open-VPN-Server fungieren (So setze ich eine weiteren C7 in meinem Außenbüro) ein.)

Frage:
Kann eine ARCHER C7 auch "hinter " einer Fritzbox aos VPN-Server fungieren; also mir von außen Zugriff auf alle (freigegebenen) Home-Netz-Ressource per VPN ermöglichen?

Wie kann ich dies auf Fritzbox und ARCHER C7 konfigurieren?

Ich bedanke mich sehr für entsprechende Anleitungen bzw. Links auf solche (die ich bislang durch googlen nicht finden konnte)

Beste Grüße

Thomas

Content-Key: 507204

Url: https://administrator.de/contentid/507204

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 21.10.2019 aktualisiert um 17:23:54 Uhr
Goto Top
Zitat von @thburkhart:

Wie kann ich dies auf Fritzbox und ARCHER C7 konfigurieren?

Ich bedanke mich sehr für entsprechende Anleitungen bzw. Links auf solche (die ich bislang durch googlen nicht finden konnte)
Moin,

Einfach den entsprechenden Port, i.d.R TCP 1194, auf den Archer weiterleiten.

Google liefert das als ersten treffer, wenn man nach openvpn port fragt.

Was genau ist Dein Problem?

lks
Mitglied: thburkhart
thburkhart 21.10.2019 um 20:02:31 Uhr
Goto Top
danke für den Hinweis, dass das prinzipiell geht

die Portweiterleitung an die lokale Adresse des ARchers habe ich wohl geschafft.

Der Archer möchte neben dem Port nun ein VPN Subnetz(Maske), die wohl statisch sein muss.
Wie kriege ich das mit MyFritz etc. hin?

Beste Grüße

Thomas
Mitglied: radiogugu
radiogugu 22.10.2019 um 09:17:50 Uhr
Goto Top
Hallo.

Du musst dem ganzen Kind ja einen Namen geben, also dem Netzwerk, in welchem sich die VPN User bewegen.

Bei der Fritzbox ist das voreingestellt, wenn ich mich recht erinnere. Du musst quasi ein Netzwerk vorgeben aus welchen dann die VPN User eine IP Adresse bekommen.

Beispielsweise: 10.145.146.0/24 oder 172.16.32.0/24

Ich kenne jetzt den TP-Link nicht, aber generell ist es bei den OPNVPN Servern zwingend erforderlich ein eigenes Netzwerk anzugeben.

Im OPNVPN Server musst Du wahrscheinlich auch noch schauen, dass Du konfigurierst welche Netzwerke die VPN User erreichen dürfen.

Hier ein Link zur TP-Link Website:

https://www.tp-link.com/us/user-guides/Archer-C7/chapter-12-vpn-server#u ...

Gruß

Radiogugu
Mitglied: Lochkartenstanzer
Lochkartenstanzer 22.10.2019 um 09:53:37 Uhr
Goto Top
Zitat von @thburkhart:

danke für den Hinweis, dass das prinzipiell geht

die Portweiterleitung an die lokale Adresse des ARchers habe ich wohl geschafft.

Der Archer möchte neben dem Port nun ein VPN Subnetz(Maske), die wohl statisch sein muss.

Dann guckst Du Dir halt ein Netzwerk aus, daß Du für VPN verwenden willst.


Wie kriege ich das mit MyFritz etc. hin?

Mit Myfritz definierst Du nur einen Namen der auf die dynamische IP-Adresse der Fritzbox aufgelöst wird. Das ist der HostName Deines VPN-Servers, den Du im Client angibst. Durch die Porteeiterleitung landest Du dann im Archer.

lks

Mitglied: thburkhart
thburkhart 22.10.2019 um 10:42:30 Uhr
Goto Top
vielen Dank --ich komme langsam weiter

In der Fritzbox leite ich den Port 1194 an die lokale IP des Archer weiter:

Freigaben für 192.168.9.10

Status

Bezeichnung
Protokoll
IP-Adresse im Internet
Port extern vergeben

OPENVPN
UDP
134.3.57.147
1701

OPENVPN
UDP
134.3.57.147
61000

OPENVPN
UDP
134.3.57.147
61001

OPENVPN
UDP
134.3.57.147
1194


Die Fritzbox ist über xxxxxx.dyndnss.net erreichbar (zumindest kann ich das anpingen)

Das OpenVPN Configfile beginnt so:
client
dev tun
proto udp
float
nobind
cipher AES-128-CBC
comp-lzo adaptive
resolv-retry infinite
persist-key
persist-tun
remote xxxxxx.dyndnss.net 1194
<ca>

die Open VPN Android App kann mit diesen Einstellungen den Server wohl finden verbindet aber nicht.

was mache ich falsch?

Beste Grüße

Thomas
Mitglied: Lochkartenstanzer
Lochkartenstanzer 22.10.2019 aktualisiert um 10:46:36 Uhr
Goto Top
Zitat von @thburkhart:

was mache ich falsch?


TCP 1194 auch forwarden?

In der Fritte mitsnfiffen welche Pakete durchgehen.

Ist das Android im WLAN der Fritte? Dann ist es hairpin-NAT.

lks
Mitglied: thburkhart
thburkhart 22.10.2019 um 11:31:33 Uhr
Goto Top
die Fritzbox lässt ein paralleles Forwarden TCP und UDP wohl nicht zu.

Im ARCHER ist UDP gesetzt

Android ist im mobile Net

auch mit der derzeitigen WAN IP also nich dyndns geht es auch nicht

thb
Mitglied: Lochkartenstanzer
Lochkartenstanzer 22.10.2019 um 11:34:04 Uhr
Goto Top
Zitat von @thburkhart:

die Fritzbox lässt ein paralleles Forwarden TCP und UDP wohl nicht zu.

Geht. Du mußt zwei Regeln dagür anlegen.


Im ARCHER ist UDP gesetzt

Android ist im mobile Net

auch mit der derzeitigen WAN IP also nich dyndns geht es auch nicht

Stimmt diese denn?

was sagt das snifferprotokoll von der Fritzbox?

Was sagen die Logs des Archer?

lks
Mitglied: thburkhart
thburkhart 22.10.2019 um 11:45:03 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @thburkhart:

die Fritzbox lässt ein paralleles Forwarden TCP und UDP wohl nicht zu.

Geht. Du mußt zwei Regeln dagür anlegen.

das habe ich gemacht; die TCP wird nicht aktiv

Im ARCHER ist UDP gesetzt

Android ist im mobile Net

auch mit der derzeitigen WAN IP also nich dyndns geht es auch nicht

Stimmt diese denn?

was sagt das snifferprotokoll von der Fritzbox?


22.10.19
11:36:20
Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 134.3.57.147, DNS-Server: 80.69.96.12 und 81.210.129.4, Gateway: 134.3.56.1
22.10.19
11:36:03
Internetverbindung wurde getrennt.
22.10.19
11:35:17
Anmeldung des Benutzers thb an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 192.168.9.103.
22.10.19
11:35:09
Die Systemzeit wurde erfolgreich aktualisiert von Zeitserver 195.113.20.2.
22.10.19
11:35:06
Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 134.3.57.147, DNS-Server: 80.69.96.12 und 81.210.129.4, Gateway: 134.3.56.1
22.10.19
11:34:56
Der USB-Speicher THB_EX13_U_2800 wurde eingebunden.
22.10.19
11:34:54
Kabel-Internet ist verfügbar.
22.10.19
11:34:35
USB-Gerät 2002, Klasse 'USB 2.1 (hi-speed) storage', angesteckt
22.10.19
11:34:33
Kabel-Internet Synchronisierung beginnt (Training).


diese IP steht auch im aktuellen File
Was sagen die Logs des Archer?

da kommt wohl nicht an

lks
Mitglied: aqui
aqui 22.10.2019 aktualisiert um 12:03:50 Uhr
Goto Top
Kann eine ARCHER C7 auch "hinter " einer Fritzbox aos VPN-Server fungieren
Ja, das klappt problemlos. Allerdings musst du darauf achten bei der FritzBox dann eine statische Route ins interne OpenVPN IP Netz einzutragen.
Diese Skizze erklärt wie es geht:

ovpn

Eine preiswerte Alternative ist auch:
https://www.amazon.de/GL-iNet-GL-MT300N-V2-Repeater-Performance-Compatib ...
Oder auch ein Raspberry Pi als OVPN Server.
Mitglied: thburkhart
thburkhart 22.10.2019 um 14:16:11 Uhr
Goto Top
die statische Route hatte ich nicht

meine Konstellation ist nun Folgende:

(1) FritzBox 6490 stellt Internetverbindung her und ist DHCPServer

default gateway 192.168.9.1
255.255.255.0
port 1194 wird an 2) weitergeleitet 192.168.9.10

statische IPV4 Route:
IPV4-Netzwerk 10.8.0.0
Maske 255.255.255.0
Gateway 192.168.9.10 oder muss das 192.168.9.1 sein ?


(2) ARCHER C7 192.168.9.10 feste IP

VPN Server: VPN Subnetz 10.8.0.0
255.255.255.0
serviceport 1194 UDP

und es klappt immer noch nicht

in der Skizze ist wohl beim Portforwarding 192.168.0.254 statt ...245 gemeint ?


den GL.iNet GL-AR300M Mini Travel Router hattte ich schon bestellt und liegt inzwischen auf dem Tisch.
An der og. Konstellation würde sich ja prinzipell nichts ändern...

was kann ich noch tun oder Prüfen?

Thomas
Mitglied: aqui
aqui 22.10.2019 aktualisiert um 16:07:16 Uhr
Goto Top
die statische Route hatte ich nicht
Dann kann es logischerweise auch nicht funktionieren. Ping und Traceroute (tracert) sind hier immer deine besten Freunde. face-wink
port 1194 wird an 2) weitergeleitet 192.168.9.10
Richtig !
Gateway 192.168.9.10 oder muss das 192.168.9.1 sein ?
Denke mal bitte selber etwas nach !!! 🧐
Wenn ein IP Paket mit einer 10.8.0.x IP Adresse an der FritzBox ankommt WOHIN soll die FB das Paket denn schicken damit es das 10.8.0.0er IP Netz sicher erreicht ?
  • An die FritzBox selber ?
  • An den Archer Router ?
Wenn es schon bei der FB selber ist warum sollte man das Paket dann nochmal an sich selber schicken ? Die Antwort sollte sicher auch dir einleuchten, oder ?! face-wink
(2) ARCHER C7 192.168.9.10 feste IP
Achte darauf das diese IP außerhalb des DHCP Adressbereichs der FB liegt. Alternativ gib ihm über seine Mac Adresse immer eine feste IP im FB DHCP Server.
in der Skizze ist wohl beim Portforwarding 192.168.0.254 statt ...245 gemeint ?
Wie peinlich ! Natürlich hast du Recht. Ein fataler Zahlendreher.
Danke für den Hinweis !
An der og. Konstellation würde sich ja prinzipell nichts ändern...
Nein, du überträgst ganz einfach die OVPN Konfig Datei und die Schlüssel über das GUI.
Ggf. musst du noch etwas Finetuning an der Konfig Datei machen, deshalb ist es ratsam ein PuTTY mit einer SSH Verbindung vorzuhalten auf den GLinet.
Klassische Konfig als Server sieht z.B. so aus:
dev tun
proto udp4
port 1194
server 10.8.0.0 255.255.255.0
ca /etc/openvpn/cert/ca.crt
cert /etc/openvpn/cert/server.crt
key /etc/openvpn/cert/server.key
cipher AES-256-CBC
auth SHA256
auth-nocache
user nobody
group nogroup
persist-tun
persist-key
mute-replay-warnings
topology subnet
push "topology subnet"
push "route 192.168.9.0 255.255.255.0"
compress lz4-v2
verb 1
(daemon)
=> Automatisch wenn Konfig importiert wird über GUI

Zum ersten Testen solltest du immer das Kommando daemon auskommentieren mit einem # davor. Dann kannst du den OpenVPN Server manuell an der Konsole starten und sehen ob er irgendwelche Fehler rausgibt.
openvpn --config /etc/openvpn/server.conf

OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Besonders wenn man sich mit einem Client connectet.
Dann wieder einkommentieren, dann startet der OpenVPN Prozess automatisch als Daemon und der Router ist einsatzklar.
Noch ein Tip:
Der GLinet ist ein OpenWRT Router. Du solltest wenn du die OpenVPN Konfig Datei direkt mit einem Editor auf dem GLinet editierst und anpasst dir dringenst das Package mit dem nano Editor aus der OpenWRT Paket Verwaltung (Advanced Setting) runterladen.
Mit dem vi da zu hantieren treibt einen in den Wahnsinn... face-wink
Mitglied: thburkhart
thburkhart 22.10.2019 um 17:08:55 Uhr
Goto Top
Zitat von @aqui:

die statische Route hatte ich nicht
Dann kann es logischerweise auch nicht funktionieren. Ping und Traceroute (tracert) sind hier immer deine besten Freunde. face-wink
port 1194 wird an 2) weitergeleitet 192.168.9.10
Richtig !
Gateway 192.168.9.10 oder muss das 192.168.9.1 sein ?
Denke mal bitte selber etwas nach !!! 🧐
Wenn ein IP Paket mit einer 10.8.0.x IP Adresse an der FritzBox ankommt WOHIN soll die FB das Paket denn schicken damit es das 10.8.0.0er IP Netz sicher erreicht ?
  • An die FritzBox selber ?
  • An den Archer Router ?

Wenn es schon bei der FB selber ist warum sollte man das Paket dann nochmal an sich selber schicken ? Die Antwort sollte sicher auch dir einleuchten, oder ?! face-wink


also stimmt 192.168.9.10; ich hatte nach einem möglichen Fehler gesucht.


(2) ARCHER C7 192.168.9.10 feste IP
Achte darauf das diese IP außerhalb des DHCP Adressbereichs der FB liegt. Alternativ gib ihm über seine Mac Adresse immer eine feste IP im FB DHCP Server.

ja das ist der Fall DHCP wird nur von .20 bis 39. vergeben

in der Skizze ist wohl beim Portforwarding 192.168.0.254 statt ...245 gemeint ?
Wie peinlich ! Natürlich hast du Recht. Ein fataler Zahlendreher.
Danke für den Hinweis !
An der og. Konstellation würde sich ja prinzipell nichts ändern...


Nein, du überträgst ganz einfach die OVPN Konfig Datei und die Schlüssel über das GUI.
Ggf. musst du noch etwas Finetuning an der Konfig Datei machen, deshalb ist es ratsam ein PuTTY mit einer SSH Verbindung vorzuhalten auf den GLinet.
Klassische Konfig als Server sieht z.B. so aus: dev tun
proto udp4
port 1194
server 10.8.0.0 255.255.255.0
ca /etc/openvpn/cert/ca.crt
cert /etc/openvpn/cert/server.crt
key /etc/openvpn/cert/server.key
cipher AES-256-CBC
auth SHA256
auth-nocache
user nobody
group nogroup
persist-tun
persist-key
mute-replay-warnings
topology subnet
push "topology subnet"
push "route 192.168.9.0 255.255.255.0"
compress lz4-v2
verb 1
(daemon)
=> Automatisch wenn Konfig importiert wird über GUI

Zum ersten Testen solltest du immer das Kommando daemon auskommentieren mit einem # davor. Dann kannst du den OpenVPN Server manuell an der Konsole starten und sehen ob er irgendwelche Fehler rausgibt. openvpn --config /etc/openvpn/server.conf
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Besonders wenn man sich mit einem Client connectet.
Dann wieder einkommentieren, dann startet der OpenVPN Prozess automatisch als Daemon und der Router ist einsatzklar.
Noch ein Tip:
Der GLinet ist ein OpenWRT Router. Du solltest wenn du die OpenVPN Konfig Datei direkt mit einem Editor auf dem GLinet editierst und anpasst dir dringenst das Package mit dem nano Editor aus der OpenWRT Paket Verwaltung (Advanced Setting) runterladen.
Mit dem vi da zu hantieren treibt einen in den Wahnsinn... face-wink

ich müsste ja erst mal eine funktionieren Konfiguration haben; die bisherige tut ja trotz richtiger statischer Route noch nicht.

Kann es evtl. ein Sicherheitsproblem der Fritzbox sein? Diese kann ich ja über den Link xxburkhart.dyndnss.net anpingen , die Fritzboxoberfläche wird jedoch nicht angezeigt. mit th statt xx könntest du es testen.

Wäre es denkbar dass ich mit dir telefonieren könnte?

Beste Grüße

Thomas
Mitglied: aqui
aqui 22.10.2019 um 17:28:27 Uhr
Goto Top
Bitte nicht immer ALLES zitieren ! Das ist wenig förderlich für die Übersicht ! face-sad
die bisherige tut ja trotz richtiger statischer Route noch nicht.
Teste das IMMER erstmal lokal indem du den Client im lokalen Netz hast !! So kannst du ganz sicher irgendwelche Firewall Regeln usw. ausschliessen. Wenn das sauber rennt testest du von remote.
So weisst du dann sicher das es dein OpenVPN Setup selber schonmal NICHT sein kann.
Supportet der Archer einen SSH Zugang wie der GLinet ??
Das würde beim Troubleshooting massiv helfen. Ansonsten wie immer:: Ins LOG des Archers sehen !
Die FritzBox muss natürlich ein Port Forwarding von UDP 1194 (Default OVPN Port) auf die lokale Archer IP eingetragen haben.
Wie gesagt...teste das erstmal lokal. So umgehst du erstmal alle diese Problematiken !