[fli4l] Fli4l als OpenVpn Server hinter einer Fritzbox

Ralf Scholz Ralf.Scholz at Antares-geo.de
Mi Apr 3 09:00:42 CEST 2019


Am 03.04.2019 um 08:35 schrieb Ralf Scholz:
> Moin Hans,
> 
> Am 02.04.2019 um 16:24 schrieb Hans Bachner:
>> Hallo Ralf,
>>
>> Ralf Scholz schrieb am 02.04.2019 um 14:17:
>>> Hallo NG,
>>>
>>> ich möchte hinter einer Fritzbox einen Fli4l als Openvpn Server 
>>> betreiben.
>>>
>>> Soweit sogut, ich kann mich als Roadwarrior über die Fritzbox (nur der
>>> entsprechende Port ist als UDP weiter geleitet) mit dem Fli4l verbinden,
>>> komme dann aber nur auf den Fli4l und auf keinen andere Rechner in dem
>>> Subnetz.
>>> Desweiteren Routet der Fli4l vom 192.168.100.xxx zum 192.168.255.xxx 
>>> Netz
>>>
>>> Es ist eine 3.6.0 Version.
>>>
>>> WAN - Fritz Modem (Router + WLAN  (192.168.100.100)) - Fli4l (Openvpn
>>> (192.168.100.199)) ... Weitere Rechner im 192.168.100.xxx
>>
>> meinst du mit "weitere Rechner" die im WLAN? Außerdem hast du 
>> vermutlich weitere Rechner im Netz 192.168.255.xxx
> Na ja es gibt im 192.168.255.xxx Netz genau einen Rechner, der von den 
> anderen Rechnern (LAN und WLAN) aus dem 192.168.100.yyy erreicht werden 
> soll.
> Für den Roadwarrior reicht es wenn er die Rechner im 192.168.100.yyy 
> erreicht (wobei die im WLAN auch nicht wichtig sind).
> 
>>
>>> Zur Config:
> ....
>>> Base:
>>> Zwei Karten für beide Netze
>>> #------------------------------------------------------------------------------ 
>>>      PF_POSTROUTING_N='2'
>>>      PF_POSTROUTING_1='IP_NET_1 MASQUERADE'  # masquerade traffic 
>>> leaving
>>>      PF_POSTROUTING_2='IP_NET_2 MASQUERADE'  # masquerade traffic 
>>> leaving
>>>                                              # the subnet
>>>
>>> Was mache ich falsch?
>>
>> Dein Roadwarrior weiß nicht dass er Pakete an das Netz 192.168.255.xxx 
>> über den Tunnel schicken muss - anstatt desses schickt er sie an sein 
>> default gateway, bei dem sie dann versickern...
> 
> Wie gesagt das 192.168.255.xxx ist nicht von Interesse für den Roadwarrior.
>>
>> Also: nimm
>>     route 192.168.255.0 255.255.255.0
>> in die Client Konfiguration mit hinein.
>>
>> Was mir sonst noch aufgefallen ist:
>>
>>>      PF_POSTROUTING_1='IP_NET_1 MASQUERADE'  # masquerade traffic 
>>> leaving
>>>      PF_POSTROUTING_2='IP_NET_2 MASQUERADE'  # masquerade traffic 
>>> leaving
> Oh ja alte Überbleibsel aus Zeiten ohne Fritzbox, ich wollte die FW ganz 
> aus schalten aber ohne FW kein Openvpn.
> Ich nehme das mal raus.
>>
>> warum maskierst du die Pakete aus IP_NET_1 auf dem fli4l? Die maskiert 
>> ohnehin später die Fritzbox, wenn es ins WAN geht.
>>
>> Außerdem wäre ich mit x.x.255.x als Subnetz vorsichtig. Wenn weiter 
>> "oben" Netze zum einfacheren Routen aggregiert werden, kollidiert das 
>> schnell einmal mit einer Broadcast-Maske... Ich hab das jetzt nicht 
>> wirklich zu Ende überlegt, möglicherweise funktioniert damit ja alles 
>> ganz einwandfrei. Und hat mit deinem Ausgangsproblem eher nichts zu tun.
>>
>> Viel Erfolg,
>> Hans.
> Danke Hans für die Hinweise.
> 
> Gruß
> Ralf
So jetzt muss ich mich mal selbst kommentieren:

 >> Also: nimm
 >>     route 192.168.255.0 255.255.255.0
 >> in die Client Konfiguration mit hinein.

Wenn ich die Route mit rein nehme komme ich vom Roadwarrior in das 
255'er Netz.

Ich hab da so eine Ahnung warum der Roadwarrior nicht ins (oder besser 
aus dem 100'er Netz) kommt.

Der Fli4l ist in diesem Netz ein einfacher Teilnehmer es wir nur der 
Traffic vom 100'er zum 255'er Netz geroutet und für das 255'er Netz ist 
er das Gateway. Aber (jetzt kommts) NICHT für das 100'er Netz, das ist 
die Fritzbox und so wissen die Clients nicht wie sie zurück kommen.

Wenn das das Problem ist, hat jemand eine Lösung dazu? Bzw gibt es eine?

Gruß
Ralf


Mehr Informationen über die Mailingliste Fli4L