share tun device
- The Hit-Man
- Beiträge: 2171
- Registriert: 21.11.2004 17:01:56
- Wohnort: Menden ( Sauerland )
-
Kontaktdaten:
share tun device
ich baue per openvpn auf meiner fritzbox einen tunnel zu einem openvpn-server auf. so weit kein problem. komme mit der fritzbox dann über den openvpn-server raus ( ping, usw ... ). nun würde mich interessieren ob ich die rechner, die HINTER meiner fritzbox sitzen, diesen tunnel mit nutzen können. ist das möglich? und wenn ja, wie fange ich damit an? alles was ich bis jetzt versuchte habe, hat keinen erfolg gebracht. habe mich meist selbst aus gesperrt, mit routing usw.
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
Re: share tun device
Das ist nicht nur möglich sondern Sinn der Sache.The Hit-Man hat geschrieben:11.01.2021 08:20:20nun würde mich interessieren ob ich die rechner, die HINTER meiner fritzbox sitzen, diesen tunnel mit nutzen können. ist das möglich?
Einfach nichts tun.und wenn ja, wie fange ich damit an?
Es ist Aufgabe der Fritte, die Netzwerkpakete durch den Tunnel zu schicken, und das dafür nötige Routing durchzuführen. Die Clients im (W)LAN brauchen dazu keine spezielle Konfiguration, die brauchen nur als Default-Route die Fritte, und das bekommen sie sowieso per DHCP mitgeteilt.
- The Hit-Man
- Beiträge: 2171
- Registriert: 21.11.2004 17:01:56
- Wohnort: Menden ( Sauerland )
-
Kontaktdaten:
Re: share tun device
@MSfree:
hmmmm, die sache ist die ... wenn ich die verbindung aufbaue, kommen die rechner hinter der fritzbox nicht mehr raus. DNS scheint wohl noch zu gehen aber kein ping, nix mehr. erst wenn ich die verbindung wieder abbreche ( in der fritzbox ), gehen die verbindungen hinter der fritzbox wieder raus. muß ich noch irgendwie ne route setzen?
meine mich zu erinnern. ich hatte mal einen laptop als wlan-router eingerichtet, mit dem sich auch meine fritzbox verbunden hatte und die rechner hinter der fritzbox aber noch ins netz kamen. dazu mußte ich in der fritzbox die route ändern ( leider weiß ich das nicht mehr genau ).
hmmmm, die sache ist die ... wenn ich die verbindung aufbaue, kommen die rechner hinter der fritzbox nicht mehr raus. DNS scheint wohl noch zu gehen aber kein ping, nix mehr. erst wenn ich die verbindung wieder abbreche ( in der fritzbox ), gehen die verbindungen hinter der fritzbox wieder raus. muß ich noch irgendwie ne route setzen?
meine mich zu erinnern. ich hatte mal einen laptop als wlan-router eingerichtet, mit dem sich auch meine fritzbox verbunden hatte und die rechner hinter der fritzbox aber noch ins netz kamen. dazu mußte ich in der fritzbox die route ändern ( leider weiß ich das nicht mehr genau ).
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
Re: share tun device
Für OpenVPN auf der FritzBox hast Du die Firmware der FritzBox modifiziert. Jetzt ist es anscheinend so, dass mit ihrer aktuellen Konfiguration, die FritzBox nicht als gateway für die "default route" der Geräte in ihrem (W)LAN, fungieren kann.The Hit-Man hat geschrieben:11.01.2021 08:40:47hmmmm, die sache ist die ... wenn ich die verbindung aufbaue, kommen die rechner hinter der fritzbox nicht mehr raus.
Welches Interface (device) benutzt die FritzBox (als gateway für die default route) ohne und mit VPN-Verbindung?
Mit tcpdump (oder gleichwertig) könntest Du auf der FritzBox nachschauen, an welchem Interface die Daten der Clients ankommen bzw. welches Interface die Daten der Clients auf dem Weg ins Internet passieren müssen.
- The Hit-Man
- Beiträge: 2171
- Registriert: 21.11.2004 17:01:56
- Wohnort: Menden ( Sauerland )
-
Kontaktdaten:
Re: share tun device
meinste die route tabelle?
tcpdump muß ich erst dann noch flashen ...
Code: Alles auswählen
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 0.0.0.0 0.0.0.0 U 2 0 0 dsl
88.65.100.214 0.0.0.0 255.255.255.255 UH 3 0 0 dsl
88.78.78.185 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 lan
176.95.16.250 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
176.95.16.250 0.0.0.0 255.255.255.255 UH 3 0 0 dsl
176.95.16.251 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
176.95.16.251 0.0.0.0 255.255.255.255 UH 3 0 0 dsl
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
192.168.179.0 0.0.0.0 255.255.255.0 U 0 0 0 guest
192.168.180.1 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
root@freetz-flur:/var/mod/root#
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
Re: share tun device
Ja, aber in dieser Ausgabe sieht man noch kein tun-Interface. War das jetzt ohne OpenVPN-Verbindung?
- The Hit-Man
- Beiträge: 2171
- Registriert: 21.11.2004 17:01:56
- Wohnort: Menden ( Sauerland )
-
Kontaktdaten:
Re: share tun device
genau, das ist ohne ... wenn die verbindung steht, gibts das tun device dazu.
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
Re: share tun device
Sniffe mal am tun-Interface (d. h. mit VPN-Verbindung durch die FritzBox) einen Ping ins Internet, wenn die Quelle die FritzBox ist und einen Ping ins Internet, wenn die Quelle ein Client der FritzBox ist.
Evtl. auch schauen, wie weit ein traceroute (von einem Client an der FritzBox) ins Internet kommt, mit aktivem VPN auf der FritzBox.
- The Hit-Man
- Beiträge: 2171
- Registriert: 21.11.2004 17:01:56
- Wohnort: Menden ( Sauerland )
-
Kontaktdaten:
Re: share tun device
mhmmm, bin da nicht ganz firm drin ... zu mindest so, sieht die route auf der box aus wenn die openvpn verbindung steht...
mit dem rest muß ich mich irgendwie erstmal schlau machen.
Code: Alles auswählen
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.211.1.102 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 0.0.0.0 0.0.0.0 U 2 0 0 dsl
10.211.1.102 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
128.0.0.0 10.211.1.102 128.0.0.0 UG 0 0 0 tun0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 lan
176.95.16.250 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
176.95.16.250 0.0.0.0 255.255.255.255 UH 3 0 0 dsl
176.95.16.251 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
176.95.16.251 0.0.0.0 255.255.255.255 UH 3 0 0 dsl
178.2.65.0 0.0.0.0 255.255.255.255 UH 3 0 0 dsl
183.105.24.155 0.0.0.0 255.255.255.255 UH 0 0 0 dsl
188.101.116.170 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 lan
192.168.179.0 0.0.0.0 255.255.255.0 U 0 0 0 guest
192.168.180.1 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 0.0.0.0 255.255.255.255 UH 2 0 0 dsl
root@freetz-flur:/var/mod/root#
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
- The Hit-Man
- Beiträge: 2171
- Registriert: 21.11.2004 17:01:56
- Wohnort: Menden ( Sauerland )
-
Kontaktdaten:
Re: share tun device
p.s. hätte noch das tool iptraf ... vielleicht sieht man da was mit?
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
Re: share tun device
D. h. wenn die FritzBox (mit VPN-Verbindung) für sich ins Internet routet, dann benutzt sie richtigerweise die default route (mit der metric 0) via tun0-Interface.The Hit-Man hat geschrieben:11.01.2021 12:25:52mhmmm, bin da nicht ganz firm drin ... zu mindest so, sieht die route auf der box aus wenn die openvpn verbindung steht...
Code: Alles auswählen
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10.211.1.102 128.0.0.0 UG 0 0 0 tun0 0.0.0.0 0.0.0.0 0.0.0.0 U 2 0 0 dsl
Sniffe mal am tun0-Interface einen Ping ins Internet, von einem Client an der FritzBox:
Code: Alles auswählen
tcpdump -c 30 -vvveni tun0 icmp and host <IP-Adresse-Client>
- The Hit-Man
- Beiträge: 2171
- Registriert: 21.11.2004 17:01:56
- Wohnort: Menden ( Sauerland )
-
Kontaktdaten:
Re: share tun device
erledigt aber ich kann damit leider gar nichts anfangen ...
Code: Alles auswählen
tcpdump: listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
13:35:20.814309 ip: (tos 0x0, ttl 63, id 61264, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 1, length 64
13:35:21.886262 ip: (tos 0x0, ttl 63, id 61361, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 2, length 64
13:35:22.926237 ip: (tos 0x0, ttl 63, id 61373, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 3, length 64
13:35:23.966224 ip: (tos 0x0, ttl 63, id 61391, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 4, length 64
13:35:25.006220 ip: (tos 0x0, ttl 63, id 61403, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 5, length 64
13:35:26.046209 ip: (tos 0x0, ttl 63, id 61449, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 6, length 64
13:35:27.086225 ip: (tos 0x0, ttl 63, id 61552, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 7, length 64
13:35:28.126251 ip: (tos 0x0, ttl 63, id 61581, offset 0, flags [DF], proto ICMP (1), length 84)
192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 8, length 64
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
Re: share tun device
Der Ping (vom Client an der FritzBox) geht ins Internet zur IP-Adresse 172.217.26.131, aber er findet anscheinend den Weg zurück nicht.The Hit-Man hat geschrieben:11.01.2021 13:36:24erledigt aber ich kann damit leider gar nichts anfangen ...
Code: Alles auswählen
tcpdump: listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes 13:35:20.814309 ip: (tos 0x0, ttl 63, id 61264, offset 0, flags [DF], proto ICMP (1), length 84) 192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 1, length 64 13:35:21.886262 ip: (tos 0x0, ttl 63, id 61361, offset 0, flags [DF], proto ICMP (1), length 84) 192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 2, length 64
Warum ist das so? Fehlt da evtl. eine route-Regel für den Rückweg (oder source-NAT, ... was ja hier im Forum "bekämpft" wird)?
BTW: Warum hast Du den Ping gerade an die IP-Adresse 172.217.26.131 gemacht und nicht an 1.1.1.1 oder 8.8.8.8 oder gleichwertig?
Code: Alles auswählen
:~$ dig -x 172.217.26.131 +short
hkg12s21-in-f3.1e100.net.
kul08s06-in-f3.1e100.net.
- The Hit-Man
- Beiträge: 2171
- Registriert: 21.11.2004 17:01:56
- Wohnort: Menden ( Sauerland )
-
Kontaktdaten:
Re: share tun device
@mat6937:
ja, ich meine auch, das da irgendwie ne route fehlt. aber wo ich die eintragen soll und welche weiß ich nicht.
ja, ich meine auch, das da irgendwie ne route fehlt. aber wo ich die eintragen soll und welche weiß ich nicht.
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
Re: share tun device
Das weiß ich auch nicht.The Hit-Man hat geschrieben:11.01.2021 13:52:29ja, ich meine auch, das da irgendwie ne route fehlt. aber wo ich die eintragen soll und welche weiß ich nicht.
Wenn es iptables auf deiner FritzBox gibt, dann setze mal temporär (d. h. in der Kommandozeile) folgende Regel:
Code: Alles auswählen
iptables -t nat -I POSTROUTING 1 -o tun0 -j MASQERADE
- The Hit-Man
- Beiträge: 2171
- Registriert: 21.11.2004 17:01:56
- Wohnort: Menden ( Sauerland )
-
Kontaktdaten:
Re: share tun device
leider in den neueren firmware versionen nicht ... muß denn der openvpn-port vielleicht auf sein?
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
Re: share tun device
Nein, denn der VPN-Traffic zwischen der FritzBox (als "border device") und dem VPN-Server (oder VPN-Provider) im Internet, funktioniert ja.
Versuch mal auf dem Client mit einer source-NAT-Regel für den ausgehenden Traffic. Evtl. kann dir auch jemand mit dem routing helfen.
- The Hit-Man
- Beiträge: 2171
- Registriert: 21.11.2004 17:01:56
- Wohnort: Menden ( Sauerland )
-
Kontaktdaten:
Re: share tun device
da weiß ich leider nicht wie ...
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
Re: share tun device
Na wenn der Client Linux als OS hat, mit iptables:
Code: Alles auswählen
iptables -t nat -I POSTROUTING 1 -o <output-Interface> -j MASQUERADE
EDIT:
Evtl. auch mal im Freetz-Unterforum von IPPF nachfragen. Dort werden evtl. auch user reinschauen, die das OpenVPN der FritzBox (gateway für die default route) für den Zugang ins Internet schon benutzen.
- The Hit-Man
- Beiträge: 2171
- Registriert: 21.11.2004 17:01:56
- Wohnort: Menden ( Sauerland )
-
Kontaktdaten:
Re: share tun device
ist wie verhext ... kann damit leider auch nicht pingen, nach draußen. habe fast das gefühl das es nicht gehen wird. allerdings habe ich auf meiner fritzbox auch nen openvpn-server damit ich von außen in mein heimnetz komme. das funtzt zum beispiel ohne probleme. allerdings nutze ich da ein tap device. ich weiß aber das mein openvpn-server auch das passende gateway mit routen kann. aber zum testen habe ich den server natürlich erstmal aus gestellt.
EDIT: mir gehen auch so langsam die suchbegriffe in der suchmaschine aus
Code: Alles auswählen
iptables -t nat -I POSTROUTING 1 -o enp0s10 -j MASQUERADE
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
- The Hit-Man
- Beiträge: 2171
- Registriert: 21.11.2004 17:01:56
- Wohnort: Menden ( Sauerland )
-
Kontaktdaten:
Re: share tun device
ja, im IPPF habe ich die frage schon rein gestellt. eigentlich sind die immer recht fix aber bis jetzt leider noch keine antwort ...
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
Re: share tun device
Mit welchem OpenVPN-Server (Provider oder ?) ist deine FritzBox als OpenVPN-Client, verbunden?
Zuletzt geändert von mat6937 am 11.01.2021 14:42:30, insgesamt 1-mal geändert.
- The Hit-Man
- Beiträge: 2171
- Registriert: 21.11.2004 17:01:56
- Wohnort: Menden ( Sauerland )
-
Kontaktdaten:
Re: share tun device
ach, das ist irgendeiner von https://www.vpngate.net ... wollte mir jetzt nicht irgendwo einen account kaufen wenn ich gerade nur ausprobieren mag. des weiteren sind die server da schon recht fix. man könnte zum testen auch https://freevpn.me/ nehmen...
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
Re: share tun device
OK.
BTW: Wenn ich einen Ping auf die IP 172.217.26.131 mache, ist der Wert immer sehr hoch:
Code: Alles auswählen
:~$ ping -c 3 172.217.26.131
PING 172.217.26.131 (172.217.26.131) 56(84) bytes of data.
64 bytes from 172.217.26.131: icmp_seq=1 ttl=106 time=324 ms
64 bytes from 172.217.26.131: icmp_seq=2 ttl=106 time=321 ms
64 bytes from 172.217.26.131: icmp_seq=3 ttl=106 time=319 ms
--- 172.217.26.131 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 319.928/321.847/324.217/1.896 ms
EDIT:
Versuch mal statt dem Ping (icmp) auch einen Portscan (tcp), vom Client ins Internet, mit tcpdump auf der fritzBox zu sniffen:
Code: Alles auswählen
tcpdump -c 30 -vvveni tun0 host 193.99.144.80
Code: Alles auswählen
nc -zv 193.99.144.80 443
- The Hit-Man
- Beiträge: 2171
- Registriert: 21.11.2004 17:01:56
- Wohnort: Menden ( Sauerland )
-
Kontaktdaten:
Re: share tun device
ja, ich habe schon mehrere getestet.
ich kann ja in der fritzbox, neue routen definieren ... ABER die route, die ich vom vpn-server bekomme, ist ja eine 10ner adresse. die will die fritzbox zu mindest im webinterface nicht nehmen. bekomme immer die meldung, die route ist unzulässig ... bin schon völlig verwirrt ...
ich kann ja in der fritzbox, neue routen definieren ... ABER die route, die ich vom vpn-server bekomme, ist ja eine 10ner adresse. die will die fritzbox zu mindest im webinterface nicht nehmen. bekomme immer die meldung, die route ist unzulässig ... bin schon völlig verwirrt ...
Wer HTML postet oder gepostetes HTML quotet oder sich gepostetes oder
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux
gequotetes HTML beschafft, um es in Verkehr zu bringen, wird geplonkt.
damals windows, früher ubuntu, danach debian, heute arch-linux