Jan 22, 2020

6396

"Fritz!Box3370 mit OpenWRT Interface-Zuordnung"

Hi Leute,
ich nutze bei einem remoten Standort einen Linksys-E4200v2, den ich vor Jahren mit OpenWRT 18.06 geflasht hatte, um per OpenVPN eine remote Verbindung aufrecht zu erhalten.
Funktionierte auch tadellos.
Da ich das Gerät vor einigen Tagen auf OpenWRT 19.07 aktualisieren wollte und mir klar war, das solche Funktionen wie OpenVPN nicht zwingend wieder sofort funktioneren können, da diese Pakete nach der Installation nachinstalliert werden müssen, wollte ich einen vorinstallierten Ersatzrouter einfach austauschen.
Das einzige was so noch in Frage kam, ausser eine 3 Jahre alten 1&1 7412, war eine Uralt Fritzbox3370, die ich vor Jahren einmal in der "Bucht" ersteigert hatte.
Ich entschied mich für die 3370 und habe der, ein für dieses Gerät vorgesehenen Snapshot OpenWRT verpasst.
Hat auch alles super funktioniert, bis die Konfiguration der Interfaces kam.
Nun war die Aktualisierung des Linksys-E4200 Routers am remoten Standort dann doch schneller, denn das war dann in einer halben Stunde gegessen.
Nun sitze ich hier vor dem Ergebnis meines Fritten-Experiments und versuche die Interfaces zuzuordnen, um denn doch noch einen funktionierenden Router zu erhalten.
Zugriff per LUCI und shh funktioniert tadellos über den Switch. Einstellungen per LUCI oder vi sind also kein Thema.
Nur will ich die 3370 nicht an einem DSL-Port betreiben, sondern in der Routerkaskade nachgeschaltet mit einer statischen IP und hier scheiden sich die Geister.
Die Fritzbox hat für diese Fall mit der original Firmware den Port1 des LAN-Switches vorgesehen, nur funktioniert das natürlich nicht so mit OpenWRT.
Der DSL-Port lässt sich hier wohl kaum verwenden, zumindest hat das bei mir nicht funktioniert. Vielleicht muss man ja auch ein neues Interface über den VLAN-Switch erstellen.
Auf alle Fälle bin ich hier überfragt und im Netz habe ich bis Dato nichts zu so einem Szenario gefunden, vielleicht auch nur die falschen Keywords in der Suchmaschine verwendet.
Vielleicht wissen ja die Spezialisten weiter.

LG orcape

Please also mark the comments that contributed to the solution of the article

Content-Key: 538120

Url: https://administrator.de/contentid/538120

Printed on: April 19, 2024 at 08:04 o'clock

18 Comments

Latest comment

Moin,

Vielleicht hilft Dir die Freetz-Seite weiter https://freetz.github.io/wiki/help/howtos/security/switch_config.html

lks

Und was sagt ein ifconfig in der Shell ?

Moin!

Also ich nehme ja gerne die FB's weil sie IPSec können, daher ists mit OpenWRT mau bei mir...
Aber: Hier gibt es eine schöne Anleitung, wie du das Über das Einrichten eines weiteren VLAN's konfigurierst.
https://www.onetransistor.eu/2017/04/wan-port-openwrt-lede-vlan.html
Bist du so vorgegeangen?

VG
Buc

@lks @aqui
danke erst mal für Euer Feedback.
Ich bin das verlinkte von AVM einmal durchgegangen, aber ich glaube das man das nicht einfach so übertragen kann.
Die Fritte nutzt sowohl bei der original Firmware, wie auch gefreetzt den Switch-Port 1 als WAN-Port.
Die nach der Software-Installation von OpenWRT verfügbaren Interfaces sind LAN "br-lan", wo ausser dem Switch noch das WLAN hängt.
Weitere Interfaces sind WAN "dsl0" und WAN6 "Alias of WAN". Beide werden als "not present" deklariert.

Jeder Versuch, im WAN eine statische IP einzutragen wird nicht abgespeichert und die vorherigen Einstellungen wieder hergestellt.

Ich habe es nicht probiert, den WAN-Anschluss für meinen DSL-Anschluss zu konfigurieren, weil nicht sinnvoll für meinen Anwendungszweck.
Möglich das zumindest das funktioniert.
Hier noch einmal die physikalischen Zuordnungs-Möglichkeiten zum WAN-Interface...

Hier noch einmal die "ifconfig"....

 _______                     ________        __
 |       |.-----.-----.-----.|  |  |  |.----.|  |_
 |   -   ||  _  |  -__|     ||  |  |  ||   _||   _|
 |_______||   __|_____|__|__||________||__|  |____|
          |__| W I R E L E S S   F R E E D O M
 -----------------------------------------------------
 OpenWrt SNAPSHOT, r12052-7a8bfbf0ff
 -----------------------------------------------------
root@OpenWrt:~# ifconfig
br-lan    Link encap:Ethernet  HWaddr C0:25:06:15:C7:2A  
          inet addr:192.168.219.254  Bcast:192.168.219.255  Mask:255.255.255.0
          inet6 addr: fd4c:cfdc:91b8::1/60 Scope:Global
          inet6 addr: fe80::c225:6ff:fe15:c72a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8462 errors:0 dropped:3631 overruns:0 frame:0
          TX packets:3663 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:2215724 (2.1 MiB)  TX bytes:1228719 (1.1 MiB)

eth0      Link encap:Ethernet  HWaddr F6:9E:94:C9:97:6C  
          inet6 addr: fe80::f49e:94ff:fec9:976c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10286 errors:0 dropped:15 overruns:0 frame:0
          TX packets:3680 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:2567878 (2.4 MiB)  TX bytes:1262901 (1.2 MiB)

eth0.1    Link encap:Ethernet  HWaddr C0:25:06:15:C7:2A  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10263 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3663 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:2298604 (2.1 MiB)  TX bytes:1228719 (1.1 MiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:1002 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1002 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:100719 (98.3 KiB)  TX bytes:100719 (98.3 KiB)

wlan0     Link encap:Ethernet  HWaddr C0:25:06:15:C7:2C  
          inet6 addr: fe80::c225:6ff:fe15:c72c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:317 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:25639 (25.0 KiB)

Mein Versuch, mittels vi die /etc/config/network zu ändern und das LAN von eth0.1, welches die gleiche Mac besitzt, wie die bridge-lan, auf das eth0 zu legen (andere MAC), endete in einer Neuinstallation. Kein Zugriff mehr. Leider ist hier nichts mit, so einfach mal zurücksetzen.
Es ist wie im Krankenhaus beim "Zugang legen".

FTP-Verbindung über 192.168.178.1 und mit adam2 das ganze von vorne beginnen. Leider verfügt das Snapshot-Image noch nicht einmal über LUCI, so das selbst das mittels opkg extra installiert werden muss.
Nur gut, das ich da nun mittlerweile Routine drin habe.

Gruß orcape

@the-buccaneer
hier ist zumindest eine super Anleitung um die Fritte zu flashen...
OpenWRT auf Fritzbox3370 flashen
...ich hoffe Herr Bachmann verzeiht mir den Link.

Aber: Hier gibt es eine schöne Anleitung, wie du das Über das Einrichten eines weiteren VLAN's konfigurierst.

Nun, das sieht doch schon einmal nicht schlecht aus. Zumindest verspricht es "Linderung".

Kannte ich noch nicht, aber nun ist mir auch klar, warum die WAN-Interfaces nicht hochgefahren sind. Der erste Satz sagt schon, das DSL gar nicht unterstützt wird.
Ich melde mich und berichte.
LG orcape

@the-buccaneer
Genau das war es.
Ein weiteres VLAN erstellt, Zuordnung angepasst und schon funktioniert das.
Also wenn Du mal einen ordentlichen OpenVPN-Tunnel brauchst, auf Deinem sonst so eintönig wirkenden Frittendingens, einfach OpenWRT draufspielen.
Hättest den IPSec weglassen können.

Gruß und Danke, schönen Abend noch.
orcape

Die 3370 sieht ja noch recht modern aus was man nach der Modellnummer erstmal so nicht erwarten würde. Bei eBay liegt sie so zw. 15 und 20 Euronen.
Was kann man da denn im Vergleich zu einem OVPN fähigen GL.inet_Router (arbeitet auch mit OpenWRT) an VPN Performance erwarten ?? Die FritzBox üblichen 3Mbit/s oder liefert OVPN da mehr ?

Die 3370 sieht ja noch recht modern aus was man nach der Modellnummer erstmal so nicht erwarten würde.

Die 3370 sieht vom Gehäude her aus wie die 7490. Was Ihr fehlt sind die Telefon-Funktionen und das Dual-WLAN. Sie hat zwar 2,4 und 5 GHz, das lässt sich aber nur in einem Interface verarbeiten. Also entweder 2,4 oder 5GHz einstellbar.
Laut Abfrage der Serien-Nr....
Die FRITZ!Box wurde am 15.07.2011 hergestellt.
Markteinführung war 06/2010.
Ich werde das mit der Geschwindigkeit einmal testen, wenn ich alles eingestellt habe.
Ich schätze aber mal, das es einen Unterschied zum IPSec der original Firmware gibt.

Ja, wenn alles rennt mal iPer3 oder NetIO laufen lassen...

Wäre mal ganz spannend.

Na ja, ich bin zwar noch nicht so weit, aber die Freude über die Geschwindigkeit wird sich dann wohl in Grenzen halten.

Ich habe gerade mal mit iperf3 ein wenig herumgespielt. Gemessen zwischen 2 Debian-Rechnern.
Der Durchsatz über eine APU liegt bei ca. 700 MBits/sek.
Über den Frittenkasten bei rund 55 MBits/sek.
Beide Geräte haben GB-LAN. Was soll dann bei einem Tunnel noch übrig sein.
Ich werde es erfahren...

Zitat von @orcape:

Über den Frittenkasten bei rund 55 MBits/sek.

Geroutet oder geswitched?

Beide Geräte haben GB-LAN. Was soll dann bei einem Tunnel noch übrig sein.

Naja, die Fritte hat schon einer recht lahme CPU. Die ist eher für die alte DSL-Anbindung bis 16Mbps gedacht. intern brauchte sie ja nur zu switchen.

lks

Geroutet oder geswitched?

Geroutet, LAN-to-WAN.

Naja, die Fritte hat schon einer recht lahme CPU.

Ist halt ein billiges Consumerprodukt in Plastik-Verpackung. Schließlich will AVM ja auch noch was verdienen.
Aber ich werde berichten....

Über den Frittenkasten bei rund 55 MBits/sek.

Was aber für eine Fritte dennoch ein sehr guter Wert ist. Verglichen mit dem original IPsec Durchsatz auch aktueller Geräte die nie über um die 6 Mbit im VPN kommen ist das doch ein legendärer Wert !
Die APU hat Crypto Hardware in Silizium was die Fritte nicht hat. Die muss alles mit dem schwachbrüstigen SoC in Software machen. Das das APU es erheblich besser kann ist evident und auch ein bisschen Äpfel mit Birnen wenn man fair gegenüber der Fritte ist.

...auch ein bisschen Äpfel mit Birnen wenn man fair gegenüber der Fritte ist.

Fair bin ich doch immer, schon unseres Kollegen @the-buccaneer wegen, der mir hier recht gut auf die Sprünge geholfen hat.
Gute Fritte, und so formschön....

... und so günstig... und so haltbar... und so zuverlässig... und für 8 cent reparierbar...

Und bei mir schafft die 7270 mit IPSec und AES-128 8 Mbit/s stabil. Mir reicht das intern allemal um meinen Exchange für mich zu verbinden oder mal ne Datei zu bearbeiten. Auch ne Kundin, die remote (RDS) auf einer Access-Datenbank arbeitet und darüber (VPN) telefoniert, beklagt sich nicht. Die hat "sogar" AES-256.

Wer natürlich höhere Verschlüsselung braucht...
Es war ja ewig so, dass die Internetverbindung eh langsamer war, als die Leistungsgrenze der Büchsen. Langsam ist aber das VDSL doch überall angekommen und man hat den Flaschenhals auf der Fritte.
Kann jemand was sagen, wie sich ein aktuelles Modell im IPSec-Durchsatz verhält? Sollte ja besser sein?
Edit: @aqui: Hast du das selbst getestet? 6 Mbit erscheint mir arg niedrig und "vorurteilsbehaftet"

@Lochkartenstanzer: "Gerouted oder geswitched?"

Das ist ja wie bei James Bond und den Martinis. Wie nehmen sie ihre Fritzbox? *ROFL*

e mare libertas
Buc

Hast du das selbst getestet?

Ich nicht aber die ct' (und andere) ! Auch bei aktuellen Modellen ist der VPN Durchsatz bei PPPoE und NAT Overhead sehr schlecht (ganz besonders bei kleinen Paketen wie SMB/CIFS Traffic usw.) , was aber faiererweise dem schwachen SoC in der Box geschuldet ist der keinerlei Crypto Hardware in Silizium hat wie aktuelle Intel oder AMD Prozessoren. Die Box muss dann alles in Software machen. Auch die Jaguars der APU Bords haben das mit AES NI in CPU Hardware.
Man darf dabei aber auch nicht vergessen das der Zielmarkt der FritzBoxen der billige Consumer Massenmarkt ist also keiner wo VPN Performance gefordert ist. Leider vergessen das viele immer und immer wieder wenn der Schnäppchentrieb zuschlägt und dann der technische Verstand aussetzt !

Man darf dabei aber auch nicht vergessen das der Zielmarkt der FritzBoxen der billige Consumer Massenmarkt...

Richtig und da heißt es nun einmal..."anstöpseln und geht". Für den überwiegende Teil der Nutzer sind Begriffe wie Firewall, IPSec und OpenVPN doch sowieso Begriffe aus dem Nirvana, auch wenn es zugegeben, immer mehr werden die sich dafür interessieren.
Also was braucht es da eine Leistungsfähige CPU.
Wer wirklich vor hat, einen Leistungsfähigen Tunnel zu bauen, wird sich andere Hardware suchen oder dann in Kombination nur die Telefonanlage der Fritte wirklich nutzen, schließlich gibt es ja auf der Fritte auch ein Portforwarding. Was will man machen, wenn das Ding einmal da ist. Da werden die Wenigsten sich noch ein separates Modem und eine Auerswald zulegen, schon aus Kostengründen.

Wie versprochen noch als kleiner Nachtag die Ergebnisse der OVPN-Verbindung zwischen der...
APU als OpenVPN-Server und der Fritzbox3370 als OpenVPN-Client.

root@alwin:~# iperf3 -s
-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------
Accepted connection from 10.100.10.2, port 46478
[  5] local 10.10.4.2 port 5201 connected to 10.100.10.2 port 46480
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec   978 KBytes  8.01 Mbits/sec                  
[  5]   1.00-2.00   sec  1.04 MBytes  8.69 Mbits/sec                  
[  5]   2.00-3.00   sec  1.04 MBytes  8.71 Mbits/sec                  
[  5]   3.00-4.00   sec  1.03 MBytes  8.68 Mbits/sec                  
[  5]   4.00-5.00   sec  1.06 MBytes  8.92 Mbits/sec                  
[  5]   5.00-6.00   sec  1.09 MBytes  9.10 Mbits/sec                  
[  5]   6.00-7.00   sec  1.11 MBytes  9.28 Mbits/sec                  
[  5]   7.00-8.00   sec  1.13 MBytes  9.44 Mbits/sec                  
[  5]   8.00-9.00   sec  1.13 MBytes  9.44 Mbits/sec                  
[  5]   9.00-10.00  sec  1.13 MBytes  9.50 Mbits/sec                  
[  5]  10.00-10.04  sec  49.1 KBytes  11.2 Mbits/sec                  
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-10.04  sec  10.7 MBytes  8.99 Mbits/sec                  receiver
-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------

Ist vom pfSense-LAN-Anschluss (PC) zum Tunnelende auf der Fritte gemessen, sollte also halbwegs stimmen.
Na ja, Wunder habe ich nicht erwartet aber für eine Fernwartung per ssh allemal ausreichend.
Gruß orcape

Kleiner Nachtrag: Zur "Ehrenrettung" der Fritte. Ein Linksys-E4200 mit OpenWRT geflasht ist kaum schneller im Tunnelbetrieb.

German solved Question Routers, Routing Networks

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 2 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment

Check of ZFW Firewallgleixnerd