[fli4l] Fli4l als OpenVpn Server hinter einer Fritzbox

Ralf Scholz Ralf.Scholz at Antares-geo.de
Mi Apr 3 08:35:21 CEST 2019


Moin Hans,

Am 02.04.2019 um 16:24 schrieb Hans Bachner:
> Hallo Ralf,
> 
> Ralf Scholz schrieb am 02.04.2019 um 14:17:
>> Hallo NG,
>>
>> ich möchte hinter einer Fritzbox einen Fli4l als Openvpn Server 
>> betreiben.
>>
>> Soweit sogut, ich kann mich als Roadwarrior über die Fritzbox (nur der
>> entsprechende Port ist als UDP weiter geleitet) mit dem Fli4l verbinden,
>> komme dann aber nur auf den Fli4l und auf keinen andere Rechner in dem
>> Subnetz.
>> Desweiteren Routet der Fli4l vom 192.168.100.xxx zum 192.168.255.xxx Netz
>>
>> Es ist eine 3.6.0 Version.
>>
>> WAN - Fritz Modem (Router + WLAN  (192.168.100.100)) - Fli4l (Openvpn
>> (192.168.100.199)) ... Weitere Rechner im 192.168.100.xxx
> 
> meinst du mit "weitere Rechner" die im WLAN? Außerdem hast du vermutlich 
> weitere Rechner im Netz 192.168.255.xxx
Na ja es gibt im 192.168.255.xxx Netz genau einen Rechner, der von den 
anderen Rechnern (LAN und WLAN) aus dem 192.168.100.yyy erreicht werden 
soll.
Für den Roadwarrior reicht es wenn er die Rechner im 192.168.100.yyy 
erreicht (wobei die im WLAN auch nicht wichtig sind).

> 
>> Zur Config:
...
>> Base:
>> Zwei Karten für beide Netze
>> #------------------------------------------------------------------------------ 
>>      PF_POSTROUTING_N='2'
>>      PF_POSTROUTING_1='IP_NET_1 MASQUERADE'  # masquerade traffic leaving
>>      PF_POSTROUTING_2='IP_NET_2 MASQUERADE'  # masquerade traffic leaving
>>                                              # the subnet
>>
>> Was mache ich falsch?
> 
> Dein Roadwarrior weiß nicht dass er Pakete an das Netz 192.168.255.xxx 
> über den Tunnel schicken muss - anstatt desses schickt er sie an sein 
> default gateway, bei dem sie dann versickern...

Wie gesagt das 192.168.255.xxx ist nicht von Interesse für den Roadwarrior.
> 
> Also: nimm
>     route 192.168.255.0 255.255.255.0
> in die Client Konfiguration mit hinein.
> 
> Was mir sonst noch aufgefallen ist:
> 
>>      PF_POSTROUTING_1='IP_NET_1 MASQUERADE'  # masquerade traffic leaving
>>      PF_POSTROUTING_2='IP_NET_2 MASQUERADE'  # masquerade traffic leaving
Oh ja alte Überbleibsel aus Zeiten ohne Fritzbox, ich wollte die FW ganz 
aus schalten aber ohne FW kein Openvpn.
Ich nehme das mal raus.
> 
> warum maskierst du die Pakete aus IP_NET_1 auf dem fli4l? Die maskiert 
> ohnehin später die Fritzbox, wenn es ins WAN geht.
> 
> Außerdem wäre ich mit x.x.255.x als Subnetz vorsichtig. Wenn weiter 
> "oben" Netze zum einfacheren Routen aggregiert werden, kollidiert das 
> schnell einmal mit einer Broadcast-Maske... Ich hab das jetzt nicht 
> wirklich zu Ende überlegt, möglicherweise funktioniert damit ja alles 
> ganz einwandfrei. Und hat mit deinem Ausgangsproblem eher nichts zu tun.
> 
> Viel Erfolg,
> Hans.
Danke Hans für die Hinweise.

Gruß
Ralf


Mehr Informationen über die Mailingliste Fli4L