Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ARCHER C7 als Open VPN-Server im Netwerk einer Fritzbox 6490

Mitglied: thburkhart

thburkhart (Level 1) - Jetzt verbinden

21.10.2019 um 16:39 Uhr, 366 Aufrufe, 14 Kommentare

Guten Tag,

ich habe bei UnityMedia eine Fritzbox 6490, die die Verbindung zur WAN-Seite herstellt.

Einen VPN-Zugriff realisiere über Screwsoft -VPN. Dieses hat mir in Verbindung mit Citrix-Client öfters die Adaptereinstellung auf meinen externen Windows-10-Client PCs zerschossen.

Deshalb möchte ich auf Open-VPN wechseln. Bekannterweise läuft die aber nicht direkt auf der Fritzbox.

Im Netz der Fritzbox verwende ich derzeit je Stockwerk dieTP-Link Archer C7 -Router im AP-Betrieb für WLAN und angeschlossene USB.Festplatte als NAS.

Der Archer C7 kann ja als Open-VPN-Server fungieren (So setze ich eine weiteren C7 in meinem Außenbüro) ein.)

Frage:
Kann eine ARCHER C7 auch "hinter " einer Fritzbox aos VPN-Server fungieren; also mir von außen Zugriff auf alle (freigegebenen) Home-Netz-Ressource per VPN ermöglichen?

Wie kann ich dies auf Fritzbox und ARCHER C7 konfigurieren?

Ich bedanke mich sehr für entsprechende Anleitungen bzw. Links auf solche (die ich bislang durch googlen nicht finden konnte)

Beste Grüße

Thomas
Mitglied: Lochkartenstanzer
21.10.2019, aktualisiert um 17:23 Uhr
Zitat von thburkhart:

Wie kann ich dies auf Fritzbox und ARCHER C7 konfigurieren?

Ich bedanke mich sehr für entsprechende Anleitungen bzw. Links auf solche (die ich bislang durch googlen nicht finden konnte)
Moin,

Einfach den entsprechenden Port, i.d.R TCP 1194, auf den Archer weiterleiten.

Google liefert das als ersten treffer, wenn man nach openvpn port fragt.

Was genau ist Dein Problem?

lks
Bitte warten ..
Mitglied: thburkhart
21.10.2019 um 20:02 Uhr
danke für den Hinweis, dass das prinzipiell geht

die Portweiterleitung an die lokale Adresse des ARchers habe ich wohl geschafft.

Der Archer möchte neben dem Port nun ein VPN Subnetz(Maske), die wohl statisch sein muss.
Wie kriege ich das mit MyFritz etc. hin?

Beste Grüße

Thomas
Bitte warten ..
Mitglied: radiogugu
22.10.2019 um 09:17 Uhr
Hallo.

Du musst dem ganzen Kind ja einen Namen geben, also dem Netzwerk, in welchem sich die VPN User bewegen.

Bei der Fritzbox ist das voreingestellt, wenn ich mich recht erinnere. Du musst quasi ein Netzwerk vorgeben aus welchen dann die VPN User eine IP Adresse bekommen.

Beispielsweise: 10.145.146.0/24 oder 172.16.32.0/24

Ich kenne jetzt den TP-Link nicht, aber generell ist es bei den OPNVPN Servern zwingend erforderlich ein eigenes Netzwerk anzugeben.

Im OPNVPN Server musst Du wahrscheinlich auch noch schauen, dass Du konfigurierst welche Netzwerke die VPN User erreichen dürfen.

Hier ein Link zur TP-Link Website:

https://www.tp-link.com/us/user-guides/Archer-C7/chapter-12-vpn-server#u ...

Gruß

Radiogugu
Bitte warten ..
Mitglied: Lochkartenstanzer
22.10.2019 um 09:53 Uhr
Zitat von thburkhart:

danke für den Hinweis, dass das prinzipiell geht

die Portweiterleitung an die lokale Adresse des ARchers habe ich wohl geschafft.

Der Archer möchte neben dem Port nun ein VPN Subnetz(Maske), die wohl statisch sein muss.

Dann guckst Du Dir halt ein Netzwerk aus, daß Du für VPN verwenden willst.


Wie kriege ich das mit MyFritz etc. hin?

Mit Myfritz definierst Du nur einen Namen der auf die dynamische IP-Adresse der Fritzbox aufgelöst wird. Das ist der HostName Deines VPN-Servers, den Du im Client angibst. Durch die Porteeiterleitung landest Du dann im Archer.

lks
Bitte warten ..
Mitglied: thburkhart
22.10.2019 um 10:42 Uhr
vielen Dank --ich komme langsam weiter

In der Fritzbox leite ich den Port 1194 an die lokale IP des Archer weiter:

Freigaben für 192.168.9.10

Status

Bezeichnung
Protokoll
IP-Adresse im Internet
Port extern vergeben

OPENVPN
UDP
134.3.57.147
1701

OPENVPN
UDP
134.3.57.147
61000

OPENVPN
UDP
134.3.57.147
61001

OPENVPN
UDP
134.3.57.147
1194





Die Fritzbox ist über xxxxxx.dyndnss.net erreichbar (zumindest kann ich das anpingen)

Das OpenVPN Configfile beginnt so:
client
dev tun
proto udp
float
nobind
cipher AES-128-CBC
comp-lzo adaptive
resolv-retry infinite
persist-key
persist-tun
remote xxxxxx.dyndnss.net 1194
<ca> ;

die Open VPN Android App kann mit diesen Einstellungen den Server wohl finden verbindet aber nicht.

was mache ich falsch?

Beste Grüße

Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
22.10.2019, aktualisiert um 10:46 Uhr
Zitat von thburkhart:

was mache ich falsch?


TCP 1194 auch forwarden?

In der Fritte mitsnfiffen welche Pakete durchgehen.

Ist das Android im WLAN der Fritte? Dann ist es hairpin-NAT.

lks
Bitte warten ..
Mitglied: thburkhart
22.10.2019 um 11:31 Uhr
die Fritzbox lässt ein paralleles Forwarden TCP und UDP wohl nicht zu.

Im ARCHER ist UDP gesetzt

Android ist im mobile Net

auch mit der derzeitigen WAN IP also nich dyndns geht es auch nicht

thb
Bitte warten ..
Mitglied: Lochkartenstanzer
22.10.2019 um 11:34 Uhr
Zitat von thburkhart:

die Fritzbox lässt ein paralleles Forwarden TCP und UDP wohl nicht zu.

Geht. Du mußt zwei Regeln dagür anlegen.


Im ARCHER ist UDP gesetzt

Android ist im mobile Net

auch mit der derzeitigen WAN IP also nich dyndns geht es auch nicht

Stimmt diese denn?

was sagt das snifferprotokoll von der Fritzbox?

Was sagen die Logs des Archer?

lks
Bitte warten ..
Mitglied: thburkhart
22.10.2019 um 11:45 Uhr
Zitat von Lochkartenstanzer:

Zitat von thburkhart:

die Fritzbox lässt ein paralleles Forwarden TCP und UDP wohl nicht zu.

Geht. Du mußt zwei Regeln dagür anlegen.

das habe ich gemacht; die TCP wird nicht aktiv

Im ARCHER ist UDP gesetzt

Android ist im mobile Net

auch mit der derzeitigen WAN IP also nich dyndns geht es auch nicht

Stimmt diese denn?

was sagt das snifferprotokoll von der Fritzbox?


22.10.19
11:36:20
Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 134.3.57.147, DNS-Server: 80.69.96.12 und 81.210.129.4, Gateway: 134.3.56.1
22.10.19
11:36:03
Internetverbindung wurde getrennt.
22.10.19
11:35:17
Anmeldung des Benutzers thb an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 192.168.9.103.
22.10.19
11:35:09
Die Systemzeit wurde erfolgreich aktualisiert von Zeitserver 195.113.20.2.
22.10.19
11:35:06
Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 134.3.57.147, DNS-Server: 80.69.96.12 und 81.210.129.4, Gateway: 134.3.56.1
22.10.19
11:34:56
Der USB-Speicher THB_EX13_U_2800 wurde eingebunden.
22.10.19
11:34:54
Kabel-Internet ist verfügbar.
22.10.19
11:34:35
USB-Gerät 2002, Klasse 'USB 2.1 (hi-speed) storage', angesteckt
22.10.19
11:34:33
Kabel-Internet Synchronisierung beginnt (Training).


diese IP steht auch im aktuellen File
Was sagen die Logs des Archer?

da kommt wohl nicht an

lks
Bitte warten ..
Mitglied: aqui
22.10.2019, aktualisiert um 12:03 Uhr
Kann eine ARCHER C7 auch "hinter " einer Fritzbox aos VPN-Server fungieren
Ja, das klappt problemlos. Allerdings musst du darauf achten bei der FritzBox dann eine statische Route ins interne OpenVPN IP Netz einzutragen.
Diese Skizze erklärt wie es geht:

ovpn - Klicke auf das Bild, um es zu vergrößern

Eine preiswerte Alternative ist auch:
https://www.amazon.de/GL-iNet-GL-MT300N-V2-Repeater-Performance-Compatib ...
Oder auch ein Raspberry Pi als OVPN Server.
Bitte warten ..
Mitglied: thburkhart
22.10.2019 um 14:16 Uhr
die statische Route hatte ich nicht

meine Konstellation ist nun Folgende:

(1) FritzBox 6490 stellt Internetverbindung her und ist DHCPServer

default gateway 192.168.9.1
255.255.255.0
port 1194 wird an 2) weitergeleitet 192.168.9.10

statische IPV4 Route:
IPV4-Netzwerk 10.8.0.0
Maske 255.255.255.0
Gateway 192.168.9.10 oder muss das 192.168.9.1 sein ?


(2) ARCHER C7 192.168.9.10 feste IP

VPN Server: VPN Subnetz 10.8.0.0
255.255.255.0
serviceport 1194 UDP

und es klappt immer noch nicht

in der Skizze ist wohl beim Portforwarding 192.168.0.254 statt ...245 gemeint ?


den GL.iNet GL-AR300M Mini Travel Router hattte ich schon bestellt und liegt inzwischen auf dem Tisch.
An der og. Konstellation würde sich ja prinzipell nichts ändern...

was kann ich noch tun oder Prüfen?

Thomas
Bitte warten ..
Mitglied: aqui
22.10.2019, aktualisiert um 16:07 Uhr
die statische Route hatte ich nicht
Dann kann es logischerweise auch nicht funktionieren. Ping und Traceroute (tracert) sind hier immer deine besten Freunde.
port 1194 wird an 2) weitergeleitet 192.168.9.10
Richtig !
Gateway 192.168.9.10 oder muss das 192.168.9.1 sein ?
Denke mal bitte selber etwas nach !!! 🧐
Wenn ein IP Paket mit einer 10.8.0.x IP Adresse an der FritzBox ankommt WOHIN soll die FB das Paket denn schicken damit es das 10.8.0.0er IP Netz sicher erreicht ?
  • An die FritzBox selber ?
  • An den Archer Router ?
Wenn es schon bei der FB selber ist warum sollte man das Paket dann nochmal an sich selber schicken ? Die Antwort sollte sicher auch dir einleuchten, oder ?!
(2) ARCHER C7 192.168.9.10 feste IP
Achte darauf das diese IP außerhalb des DHCP Adressbereichs der FB liegt. Alternativ gib ihm über seine Mac Adresse immer eine feste IP im FB DHCP Server.
in der Skizze ist wohl beim Portforwarding 192.168.0.254 statt ...245 gemeint ?
Wie peinlich ! Natürlich hast du Recht. Ein fataler Zahlendreher.
Danke für den Hinweis !
An der og. Konstellation würde sich ja prinzipell nichts ändern...
Nein, du überträgst ganz einfach die OVPN Konfig Datei und die Schlüssel über das GUI.
Ggf. musst du noch etwas Finetuning an der Konfig Datei machen, deshalb ist es ratsam ein PuTTY mit einer SSH Verbindung vorzuhalten auf den GLinet.
Klassische Konfig als Server sieht z.B. so aus:
dev tun
proto udp4
port 1194
server 10.8.0.0 255.255.255.0
ca /etc/openvpn/cert/ca.crt
cert /etc/openvpn/cert/server.crt
key /etc/openvpn/cert/server.key
cipher AES-256-CBC
auth SHA256
auth-nocache
user nobody
group nogroup
persist-tun
persist-key
mute-replay-warnings
topology subnet
push "topology subnet"
push "route 192.168.9.0 255.255.255.0"
compress lz4-v2
verb 1
(daemon)
=> Automatisch wenn Konfig importiert wird über GUI

Zum ersten Testen solltest du immer das Kommando daemon auskommentieren mit einem # davor. Dann kannst du den OpenVPN Server manuell an der Konsole starten und sehen ob er irgendwelche Fehler rausgibt.
openvpn --config /etc/openvpn/server.conf

https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
Besonders wenn man sich mit einem Client connectet.
Dann wieder einkommentieren, dann startet der OpenVPN Prozess automatisch als Daemon und der Router ist einsatzklar.
Noch ein Tip:
Der GLinet ist ein OpenWRT Router. Du solltest wenn du die OpenVPN Konfig Datei direkt mit einem Editor auf dem GLinet editierst und anpasst dir dringenst das Package mit dem nano Editor aus der OpenWRT Paket Verwaltung (Advanced Setting) runterladen.
Mit dem vi da zu hantieren treibt einen in den Wahnsinn...
Bitte warten ..
Mitglied: thburkhart
22.10.2019 um 17:08 Uhr
Zitat von aqui:

die statische Route hatte ich nicht
Dann kann es logischerweise auch nicht funktionieren. Ping und Traceroute (tracert) sind hier immer deine besten Freunde.
port 1194 wird an 2) weitergeleitet 192.168.9.10
Richtig !
Gateway 192.168.9.10 oder muss das 192.168.9.1 sein ?
Denke mal bitte selber etwas nach !!! 🧐
Wenn ein IP Paket mit einer 10.8.0.x IP Adresse an der FritzBox ankommt WOHIN soll die FB das Paket denn schicken damit es das 10.8.0.0er IP Netz sicher erreicht ?
  • An die FritzBox selber ?
  • An den Archer Router ?

Wenn es schon bei der FB selber ist warum sollte man das Paket dann nochmal an sich selber schicken ? Die Antwort sollte sicher auch dir einleuchten, oder ?!


also stimmt 192.168.9.10; ich hatte nach einem möglichen Fehler gesucht.


(2) ARCHER C7 192.168.9.10 feste IP
Achte darauf das diese IP außerhalb des DHCP Adressbereichs der FB liegt. Alternativ gib ihm über seine Mac Adresse immer eine feste IP im FB DHCP Server.

ja das ist der Fall DHCP wird nur von .20 bis 39. vergeben

in der Skizze ist wohl beim Portforwarding 192.168.0.254 statt ...245 gemeint ?
Wie peinlich ! Natürlich hast du Recht. Ein fataler Zahlendreher.
Danke für den Hinweis !
An der og. Konstellation würde sich ja prinzipell nichts ändern...


Nein, du überträgst ganz einfach die OVPN Konfig Datei und die Schlüssel über das GUI.
Ggf. musst du noch etwas Finetuning an der Konfig Datei machen, deshalb ist es ratsam ein PuTTY mit einer SSH Verbindung vorzuhalten auf den GLinet.
Klassische Konfig als Server sieht z.B. so aus:
dev tun
proto udp4
port 1194
server 10.8.0.0 255.255.255.0
ca /etc/openvpn/cert/ca.crt
cert /etc/openvpn/cert/server.crt
key /etc/openvpn/cert/server.key
cipher AES-256-CBC
auth SHA256
auth-nocache
user nobody
group nogroup
persist-tun
persist-key
mute-replay-warnings
topology subnet
push "topology subnet"
push "route 192.168.9.0 255.255.255.0"
compress lz4-v2
verb 1
(daemon)
=> Automatisch wenn Konfig importiert wird über GUI

Zum ersten Testen solltest du immer das Kommando daemon auskommentieren mit einem # davor. Dann kannst du den OpenVPN Server manuell an der Konsole starten und sehen ob er irgendwelche Fehler rausgibt.
openvpn --config /etc/openvpn/server.conf

https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
Besonders wenn man sich mit einem Client connectet.
Dann wieder einkommentieren, dann startet der OpenVPN Prozess automatisch als Daemon und der Router ist einsatzklar.
Noch ein Tip:
Der GLinet ist ein OpenWRT Router. Du solltest wenn du die OpenVPN Konfig Datei direkt mit einem Editor auf dem GLinet editierst und anpasst dir dringenst das Package mit dem nano Editor aus der OpenWRT Paket Verwaltung (Advanced Setting) runterladen.
Mit dem vi da zu hantieren treibt einen in den Wahnsinn...

ich müsste ja erst mal eine funktionieren Konfiguration haben; die bisherige tut ja trotz richtiger statischer Route noch nicht.

Kann es evtl. ein Sicherheitsproblem der Fritzbox sein? Diese kann ich ja über den Link xxburkhart.dyndnss.net anpingen , die Fritzboxoberfläche wird jedoch nicht angezeigt. mit th statt xx könntest du es testen.

Wäre es denkbar dass ich mit dir telefonieren könnte?

Beste Grüße

Thomas
Bitte warten ..
Mitglied: aqui
22.10.2019 um 17:28 Uhr
Bitte nicht immer ALLES zitieren ! Das ist wenig förderlich für die Übersicht !
die bisherige tut ja trotz richtiger statischer Route noch nicht.
Teste das IMMER erstmal lokal indem du den Client im lokalen Netz hast !! So kannst du ganz sicher irgendwelche Firewall Regeln usw. ausschliessen. Wenn das sauber rennt testest du von remote.
So weisst du dann sicher das es dein OpenVPN Setup selber schonmal NICHT sein kann.
Supportet der Archer einen SSH Zugang wie der GLinet ??
Das würde beim Troubleshooting massiv helfen. Ansonsten wie immer:: Ins LOG des Archers sehen !
Die FritzBox muss natürlich ein Port Forwarding von UDP 1194 (Default OVPN Port) auf die lokale Archer IP eingetragen haben.
Wie gesagt...teste das erstmal lokal. So umgehst du erstmal alle diese Problematiken !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Fritzbox 6490 Cable VPN einrichten
Frage von Haoz64Router & Routing4 Kommentare

Hi Leute, ich erkläre mal kurz was ich vor habe. Ich bin zurzeit in der Türkei und möchte hier ...

Router & Routing
Lancom hinter FritzBox 6490
gelöst Frage von rossi1880Router & Routing21 Kommentare

Hallo. Ich möchte einen VPN Tunnel zu unserem Server in der Firma herstellen, dort habe ich eine statische IP ...

Router & Routing

Cisco RV130 VPN Router hinter Fritzbox 6490 Cable

gelöst Frage von Scyth69Router & Routing5 Kommentare

Folgende Situation (Bild Angehängt) FritzBox als KabelDSL-Modem (WLAN AP + VOIP) Dahinter einen CISCO RV130 VPN Router um den ...

LAN, WAN, Wireless

Fritzbox 6490 Probleme mit Remotedesktop

Frage von HannibalLAN, WAN, Wireless7 Kommentare

Hallo Administratoren, ich habe seit ein paar Wochen einen Internetzugang über KD inklusive neuer Fritzbox 6490. Seit dem Umstellen ...

Neue Wissensbeiträge
Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 2 StundenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 8 StundenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 1 TagGrafik1 Kommentar

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Datenschutz
Im Zweifel ist die Cloud immer unsicher
Information von certifiedit.net vor 1 TagDatenschutz19 Kommentare

Hallo, wie schon mehrmals angesprochen, egal, womit der Dienst wirbt, im Zweifel ist es in der Cloud immer unsicher(er) ...

Heiß diskutierte Inhalte
Netzwerke
VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?
Frage von 81083Netzwerke34 Kommentare

Hallo, es ist ein Bisschen frustrierend. Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die ...

Ubuntu
Ubuntu-Putty hilfe
Frage von Nickolas.GroheUbuntu27 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Windows Tools
Suche Suchprogramm
Frage von tsunamiWindows Tools24 Kommentare

Hallo, ich brauche einen Tipp für ein profesionelles Suchprogramm. Es geht um rund 3 TB Dokiumente auf ner externen ...

Windows Server
AD, Sysprep, Clone, SID . oh weh
Frage von heifumaWindows Server23 Kommentare

Moin, ich versuche es so kurz wie möglich zu halten: Ist-Zustand: - IT Dienstleister hat Monopol für die bei ...