share tun device

[The Hit-Man]

ich baue per openvpn auf meiner fritzbox einen tunnel zu einem openvpn-server auf. so weit kein problem. komme mit der fritzbox dann über den openvpn-server raus ( ping, usw ... ). nun würde mich interessieren ob ich die rechner, die HINTER meiner fritzbox sitzen, diesen tunnel mit nutzen können. ist das möglich? und wenn ja, wie fange ich damit an? alles was ich bis jetzt versuchte habe, hat keinen erfolg gebracht. habe mich meist selbst aus gesperrt, mit routing usw.

[MSfree]

nun würde mich interessieren ob ich die rechner, die HINTER meiner fritzbox sitzen, diesen tunnel mit nutzen können. ist das möglich?

Das ist nicht nur möglich sondern Sinn der Sache.

und wenn ja, wie fange ich damit an?

Einfach nichts tun.

Es ist Aufgabe der Fritte, die Netzwerkpakete durch den Tunnel zu schicken, und das dafür nötige Routing durchzuführen. Die Clients im (W)LAN brauchen dazu keine spezielle Konfiguration, die brauchen nur als Default-Route die Fritte, und das bekommen sie sowieso per DHCP mitgeteilt.

[The Hit-Man]

@MSfree:

hmmmm, die sache ist die ... wenn ich die verbindung aufbaue, kommen die rechner hinter der fritzbox nicht mehr raus. DNS scheint wohl noch zu gehen aber kein ping, nix mehr. erst wenn ich die verbindung wieder abbreche ( in der fritzbox ), gehen die verbindungen hinter der fritzbox wieder raus. muß ich noch irgendwie ne route setzen?

meine mich zu erinnern. ich hatte mal einen laptop als wlan-router eingerichtet, mit dem sich auch meine fritzbox verbunden hatte und die rechner hinter der fritzbox aber noch ins netz kamen. dazu mußte ich in der fritzbox die route ändern ( leider weiß ich das nicht mehr genau ).

[mat6937]

hmmmm, die sache ist die ... wenn ich die verbindung aufbaue, kommen die rechner hinter der fritzbox nicht mehr raus.

Für OpenVPN auf der FritzBox hast Du die Firmware der FritzBox modifiziert. Jetzt ist es anscheinend so, dass mit ihrer aktuellen Konfiguration, die FritzBox nicht als gateway für die "default route" der Geräte in ihrem (W)LAN, fungieren kann.
Welches Interface (device) benutzt die FritzBox (als gateway für die default route) ohne und mit VPN-Verbindung?
Mit tcpdump (oder gleichwertig) könntest Du auf der FritzBox nachschauen, an welchem Interface die Daten der Clients ankommen bzw. welches Interface die Daten der Clients auf dem Weg ins Internet passieren müssen.

[The Hit-Man]

meinste die route tabelle?

Code: Alles auswählen

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     2      0        0 dsl
88.65.100.214   0.0.0.0         255.255.255.255 UH    3      0        0 dsl
88.78.78.185    0.0.0.0         255.255.255.255 UH    2      0        0 dsl
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 lan
176.95.16.250   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
176.95.16.250   0.0.0.0         255.255.255.255 UH    3      0        0 dsl
176.95.16.251   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
176.95.16.251   0.0.0.0         255.255.255.255 UH    3      0        0 dsl
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 lan
192.168.179.0   0.0.0.0         255.255.255.0   U     0      0        0 guest
192.168.180.1   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
192.168.180.2   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
root@freetz-flur:/var/mod/root# 

tcpdump muß ich erst dann noch flashen ...

[mat6937]

meinste die route tabelle?

Ja, aber in dieser Ausgabe sieht man noch kein tun-Interface. War das jetzt ohne OpenVPN-Verbindung?

[The Hit-Man]

genau, das ist ohne ... wenn die verbindung steht, gibts das tun device dazu.

[mat6937]

... gibts das tun device dazu.

Sniffe mal am tun-Interface (d. h. mit VPN-Verbindung durch die FritzBox) einen Ping ins Internet, wenn die Quelle die FritzBox ist und einen Ping ins Internet, wenn die Quelle ein Client der FritzBox ist.
Evtl. auch schauen, wie weit ein traceroute (von einem Client an der FritzBox) ins Internet kommt, mit aktivem VPN auf der FritzBox.

[The Hit-Man]

mhmmm, bin da nicht ganz firm drin ... zu mindest so, sieht die route auf der box aus wenn die openvpn verbindung steht...

Code: Alles auswählen

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.211.1.102    128.0.0.0       UG    0      0        0 tun0
0.0.0.0         0.0.0.0         0.0.0.0         U     2      0        0 dsl
10.211.1.102    0.0.0.0         255.255.255.255 UH    0      0        0 tun0
128.0.0.0       10.211.1.102    128.0.0.0       UG    0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 lan
176.95.16.250   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
176.95.16.250   0.0.0.0         255.255.255.255 UH    3      0        0 dsl
176.95.16.251   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
176.95.16.251   0.0.0.0         255.255.255.255 UH    3      0        0 dsl
178.2.65.0      0.0.0.0         255.255.255.255 UH    3      0        0 dsl
183.105.24.155  0.0.0.0         255.255.255.255 UH    0      0        0 dsl
188.101.116.170 0.0.0.0         255.255.255.255 UH    2      0        0 dsl
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 lan
192.168.179.0   0.0.0.0         255.255.255.0   U     0      0        0 guest
192.168.180.1   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
192.168.180.2   0.0.0.0         255.255.255.255 UH    2      0        0 dsl
root@freetz-flur:/var/mod/root# 

mit dem rest muß ich mich irgendwie erstmal schlau machen.

[The Hit-Man]

p.s. hätte noch das tool iptraf ... vielleicht sieht man da was mit?

[mat6937]

mhmmm, bin da nicht ganz firm drin ... zu mindest so, sieht die route auf der box aus wenn die openvpn verbindung steht...

Code: Alles auswählen

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.211.1.102    128.0.0.0       UG    0      0        0 tun0
0.0.0.0         0.0.0.0         0.0.0.0         U     2      0        0 dsl

D. h. wenn die FritzBox (mit VPN-Verbindung) für sich ins Internet routet, dann benutzt sie richtigerweise die default route (mit der metric 0) via tun0-Interface.
Sniffe mal am tun0-Interface einen Ping ins Internet, von einem Client an der FritzBox:

Code: Alles auswählen

tcpdump -c 30 -vvveni tun0 icmp and host <IP-Adresse-Client>

(IP-Adresse-Client anpassen und ohne spitze Klammern).

[The Hit-Man]

erledigt aber ich kann damit leider gar nichts anfangen ...

Code: Alles auswählen

tcpdump: listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
13:35:20.814309 ip: (tos 0x0, ttl 63, id 61264, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 1, length 64
13:35:21.886262 ip: (tos 0x0, ttl 63, id 61361, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 2, length 64
13:35:22.926237 ip: (tos 0x0, ttl 63, id 61373, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 3, length 64
13:35:23.966224 ip: (tos 0x0, ttl 63, id 61391, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 4, length 64
13:35:25.006220 ip: (tos 0x0, ttl 63, id 61403, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 5, length 64
13:35:26.046209 ip: (tos 0x0, ttl 63, id 61449, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 6, length 64
13:35:27.086225 ip: (tos 0x0, ttl 63, id 61552, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 7, length 64
13:35:28.126251 ip: (tos 0x0, ttl 63, id 61581, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 8, length 64

[mat6937]

erledigt aber ich kann damit leider gar nichts anfangen ...

Code: Alles auswählen

tcpdump: listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
13:35:20.814309 ip: (tos 0x0, ttl 63, id 61264, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 1, length 64
13:35:21.886262 ip: (tos 0x0, ttl 63, id 61361, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.10.2 > 172.217.26.131: ICMP echo request, id 5, seq 2, length 64

Der Ping (vom Client an der FritzBox) geht ins Internet zur IP-Adresse 172.217.26.131, aber er findet anscheinend den Weg zurück nicht.
Warum ist das so? Fehlt da evtl. eine route-Regel für den Rückweg (oder source-NAT, ... was ja hier im Forum "bekämpft" wird)?

BTW: Warum hast Du den Ping gerade an die IP-Adresse 172.217.26.131 gemacht und nicht an 1.1.1.1 oder 8.8.8.8 oder gleichwertig?

Code: Alles auswählen

:~$ dig -x 172.217.26.131 +short
hkg12s21-in-f3.1e100.net.
kul08s06-in-f3.1e100.net.

[The Hit-Man]

@mat6937:

ja, ich meine auch, das da irgendwie ne route fehlt. aber wo ich die eintragen soll und welche weiß ich nicht.

[mat6937]

ja, ich meine auch, das da irgendwie ne route fehlt. aber wo ich die eintragen soll und welche weiß ich nicht.

Das weiß ich auch nicht.
Wenn es iptables auf deiner FritzBox gibt, dann setze mal temporär (d. h. in der Kommandozeile) folgende Regel:

Code: Alles auswählen

iptables -t nat -I POSTROUTING 1 -o tun0 -j MASQERADE

und teste erneut (mit VPN) einen Ping vom Client an der FritzBox an die IP-Adresse 1.1.1.1 (oder gleichwertig).

[The Hit-Man]

leider in den neueren firmware versionen nicht ... muß denn der openvpn-port vielleicht auf sein?

[mat6937]

... muß denn der openvpn-port vielleicht auf sein?

Nein, denn der VPN-Traffic zwischen der FritzBox (als "border device") und dem VPN-Server (oder VPN-Provider) im Internet, funktioniert ja.
Versuch mal auf dem Client mit einer source-NAT-Regel für den ausgehenden Traffic. Evtl. kann dir auch jemand mit dem routing helfen.

[The Hit-Man]

da weiß ich leider nicht wie ...

[mat6937]

da weiß ich leider nicht wie ...

Na wenn der Client Linux als OS hat, mit iptables:

Code: Alles auswählen

iptables -t nat -I POSTROUTING 1 -o <output-Interface> -j MASQUERADE

(output-Interface anpassen und ohne spitze Klammern).

EDIT:

Evtl. auch mal im Freetz-Unterforum von IPPF nachfragen. Dort werden evtl. auch user reinschauen, die das OpenVPN der FritzBox (gateway für die default route) für den Zugang ins Internet schon benutzen.

[The Hit-Man]

ist wie verhext ... kann damit leider auch nicht pingen, nach draußen. habe fast das gefühl das es nicht gehen wird. allerdings habe ich auf meiner fritzbox auch nen openvpn-server damit ich von außen in mein heimnetz komme. das funtzt zum beispiel ohne probleme. allerdings nutze ich da ein tap device. ich weiß aber das mein openvpn-server auch das passende gateway mit routen kann. aber zum testen habe ich den server natürlich erstmal aus gestellt.

Code: Alles auswählen

iptables -t nat -I POSTROUTING 1 -o enp0s10 -j MASQUERADE

EDIT: mir gehen auch so langsam die suchbegriffe in der suchmaschine aus

[The Hit-Man]

ja, im IPPF habe ich die frage schon rein gestellt. eigentlich sind die immer recht fix aber bis jetzt leider noch keine antwort ...

[mat6937]

... erstmal aus gestellt.

Mit welchem OpenVPN-Server (Provider oder ?) ist deine FritzBox als OpenVPN-Client, verbunden?

[The Hit-Man]

ach, das ist irgendeiner von https://www.vpngate.net ... wollte mir jetzt nicht irgendwo einen account kaufen wenn ich gerade nur ausprobieren mag. des weiteren sind die server da schon recht fix. man könnte zum testen auch https://freevpn.me/ nehmen...

[mat6937]

ach, das ist irgendeiner ...

OK.
BTW: Wenn ich einen Ping auf die IP 172.217.26.131 mache, ist der Wert immer sehr hoch:

Code: Alles auswählen

:~$ ping -c 3 172.217.26.131
PING 172.217.26.131 (172.217.26.131) 56(84) bytes of data.
64 bytes from 172.217.26.131: icmp_seq=1 ttl=106 time=324 ms
64 bytes from 172.217.26.131: icmp_seq=2 ttl=106 time=321 ms
64 bytes from 172.217.26.131: icmp_seq=3 ttl=106 time=319 ms

--- 172.217.26.131 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 319.928/321.847/324.217/1.896 ms

Hast Du auch eine andere IP-Adresse probiert?

EDIT:

Versuch mal statt dem Ping (icmp) auch einen Portscan (tcp), vom Client ins Internet, mit tcpdump auf der fritzBox zu sniffen:

Code: Alles auswählen

tcpdump -c 30 -vvveni tun0 host 193.99.144.80

danach auf dem Client:

Code: Alles auswählen

nc -zv 193.99.144.80 443

[The Hit-Man]

ja, ich habe schon mehrere getestet.
ich kann ja in der fritzbox, neue routen definieren ... ABER die route, die ich vom vpn-server bekomme, ist ja eine 10ner adresse. die will die fritzbox zu mindest im webinterface nicht nehmen. bekomme immer die meldung, die route ist unzulässig ... bin schon völlig verwirrt ...