Hallo zusammen, ich würde mich gerne unter Linux mit einer entfernten Fritzbox per VPN verbinden um die an der Fritzbox angesschlossene Platte per smb zu mounten. Darauf sollen dann Backups geschrieben werden. Wie würdet ihr das am einfachsten umsetzen ohne den gesammten Datenverkehr über den VPN zu routen? Ich glaube das ist beim vpnc client der Fall. Am besten per Script, vpn connect, mount smb share, backup, umount, vpn disconnect Habt ihr empfehlungen was die VPN Clientsoftware angeht? Danke
Connector schrieb: > Wie würdet ihr das am einfachsten umsetzen ohne den gesammten > Datenverkehr über den VPN zu routen? Mit dem ganz normalen IPSEC-Zeugs, was in praktisch jedem Linux ab Werk enthalten ist. Dürfte üblicherweise irgendwas mit Schwänen zu tun haben. Besonders einfach wird es, wenn du auf der Fritzbox eine Site2Site-VPN einrichtest (statt des oder zusätzlich zum üblichen "Roadwarrior"-VPN) und dann mit diesem verbindest. Da ist denn automatisch nicht die Fritzbox für den remote peer das default gateway. Wichtig ist allerdings eins: die LAN-Netze müssen an beiden Enden unterschiedlich sein. Wenn also die Fritzbox im LAN ihr Standardnetz 192.168.178.0/24 verwendet, darf deine potentielle Linux-Gegenstelle LAN-mäßig nicht bereits in eben diesem Netz sein (und auch keinem überlappenden). Sonst wirst du zwar das VPN aufbauen können, aber es wird niemals ein Paket durch den Tunnel gehen. > Habt ihr empfehlungen was die VPN Clientsoftware angeht? Brauchst du dann nicht. Maximal ein ipup-Script für das VPN-Interface, was dann, wenn das VPN verfügbar wird, startet, was auch immer darüber laufen soll.
... und, falls das über das Internet gehen soll, es wird eine öffentliche IPv4 Adresse benötigt da die FritzBox per IPv6 keine VPN Verbindung aufbauen kann.
Frank K. schrieb: > es wird eine > öffentliche IPv4 Adresse benötigt da die FritzBox per IPv6 keine VPN > Verbindung aufbauen kann. Die derzeit für etliche aktuelle Fritzen in Betastadium befindliche Firmware Version bietet neben IPsec auch Wireguard. Und es wird berichtet, dass damit eine VPN über IPv6 möglich sei, wodurch auch DSlite Anschlüsse adressierbar wären.
:
Bearbeitet durch User
c-hater schrieb: > Mit dem ganz normalen IPSEC-Zeugs, was in praktisch jedem Linux ab Werk > enthalten ist. Dürfte üblicherweise irgendwas mit Schwänen zu tun haben. > > Besonders einfach wird es, wenn du auf der Fritzbox eine Site2Site-VPN > einrichtest (statt des oder zusätzlich zum üblichen "Roadwarrior"-VPN) > und dann mit diesem verbindest. Da ist denn automatisch nicht die > Fritzbox für den remote peer das default gateway. Site2Site ist ein super Tipp, danke! Hast du vielleicht ein Beispiel wie man das mit Bordmitteln konfigurieren würde?
Connector schrieb: > Hast du vielleicht ein Beispiel wie man das mit Bordmitteln > konfigurieren würde? Indem man das ganz schnell vergisst, eine aktuelle Laborfirmware aufspielt und Wireguard nutzt.
Angehängte Dateien:
-
vpntyp.png
14 KB
Connector schrieb: > Site2Site ist ein super Tipp, danke! > Hast du vielleicht ein Beispiel wie man das mit Bordmitteln > konfigurieren würde? Indem man im Dialog (siehe Anhang) entweder den als gewählt gezeigten oder den nächsten Punkt auswählt. Aber mal ernsthaft: Wenn du nicht mal dies allein findest, wirst du das VPN niemals zum Laufen bekommen. Laß' das jemanden einrichten, der weiß, was er tut...
Sorry dann habe ich es missverstanden, mir ist schon klar wie man einen VPN einrichtet, ich dachte Site2Site zwischen einem Linux Rechner und einer entfernten Fitzbox. Meine Frage bezog sich eher auf die Konfiguration unter Linux, möglichst ohne Zusatzsoftware.
Connector schrieb: > Wie würdet ihr das am einfachsten umsetzen ohne den gesammten > Datenverkehr über den VPN zu routen? Ich glaube das ist beim vpnc client > der Fall. Also ich glaube nicht. Ich hab hier ein VPN zu meiner FritzBox via vpnc gemäß AVM-Anleitung konfiguriert und hatte nicht den Eindruck (!) das da alles drüber lief.
Reinhard S. schrieb: > und hatte nicht den Eindruck (!) das da > alles drüber lief. traceroute ist Dein Freund. Wissen statt Fühlen.
Émile schrieb: > traceroute ist Dein Freund. Wissen statt Fühlen. Das war zu einfach :D Also ich habs mal ausprobiert und es läuft nur der Verkehr fürs entfernte LAN übers VPN, der Rest wie gehabt direkt.
Reinhard S. schrieb: > Also ich glaube nicht. Ich hab hier ein VPN zu meiner FritzBox via vpnc > gemäß AVM-Anleitung konfiguriert und hatte nicht den Eindruck (!) das da > alles drüber lief. Kommt halt darauf an, mit welcher Art VPN auf der Fritte du dich verbindest. Bei dem "road warrior"-VPN (also in FB-GUI-Notatition: "Fernzugang für Benutzer" ist Standard, dass das default gateway beim Client gesetzt wird (und auch der DNS-Server) und zwar beides auf die FB. Dann läuft naturgemäß fast alles eben über die FB. Kann man natürlich durch Client-seitige Mißachtung der Vorgaben umgehen, das ist allerdings nicht Sinn der Sache. Bei Site2Site ist das halt anders. Das ist von vornherein nur als Tunnel zwischen den beiden beteiligten LANs gedacht.
c-hater schrieb: > Kommt halt darauf an, mit welcher Art VPN auf der Fritte du dich > verbindest. Bei dem "road warrior"-VPN (also in FB-GUI-Notatition: > "Fernzugang für Benutzer" ist Standard, dass das default gateway beim > Client gesetzt wird (und auch der DNS-Server) und zwar beides auf die > FB. Dann läuft naturgemäß fast alles eben über die FB. Läuft hier genau eben nicht über die FB. > Kann man natürlich durch Client-seitige Mißachtung der Vorgaben umgehen, > das ist allerdings nicht Sinn der Sache. Wenn hier was missachtet wird dann passiert das automatisch, ohne mein Zutun/Konfig. Und der aktuelle Zustand ist für mich ja durchaus Sinn der Sache. Ich will auf mein LAN zugreifen. Der Internetzugang kann ja ruhig über die lokale Verbindung weiterlaufen.
Reinhard S. schrieb: > Wenn hier was missachtet wird dann passiert das automatisch, ohne mein > Zutun/Konfig. Was dann bedeuten würde: der verwendete Client ist SCHEISSE, weil er sich nicht standardgerecht verhält. So einfach ist das eigentlich. > Und der aktuelle Zustand ist für mich ja durchaus Sinn der > Sache. Ich will auf mein LAN zugreifen. Der Internetzugang kann ja ruhig > über die lokale Verbindung weiterlaufen. Das mag sein, ist aber eben ein nicht-standardgerechtes Verhalten und somit regelmäßig überraschend. Im Übrigen verzichtest du damit entweder auf die Namensauflösung im Remote-LAN oder die Namensauflösung läuft nach willkürlichen Kriterien, die man zumindest genauer untersuchen sollte, bevor man sie benutzt, um auf Geräte im Remote-LAN zuzugreifen. Gut möglich, dass hier ein DNS-Spoofing sozusagen "ab Werk" fest eingebaut ist...
c-hater schrieb: >> Wenn hier was missachtet wird dann passiert das automatisch, ohne mein >> Zutun/Konfig. > > Was dann bedeuten würde: der verwendete Client ist SCHEISSE, weil er > sich nicht standardgerecht verhält. Es ist der stinknormale vpnc, also wenn du meinst, das der Client scheiße ist kannst du dich gern beim Maintainer beklagen. > Das mag sein, ist aber eben ein nicht-standardgerechtes Verhalten Wer/was ist denn der Standard? > und somit regelmäßig überraschend. Für dich vielleicht. Eine Wahlmöglichkeit in die von dir beschriebene Richtung wäre natürlich schön zu haben, hab ich im GUI nicht gefunden. > Im Übrigen verzichtest du damit entweder auf die Namensauflösung im > Remote-LAN Genau. Innerhalb des LANs verwende ich die eh nie.
vpnc(8) - Linux man page ... The vpnc daemon by itself does not set any routes, but it calls vpnc-script to do this job. vpnc-script displays a connect banner. If the concentrator supplies a network list for split-tunneling these networks are added to the routing table. Otherwise the default-route will be modified to point to the tunnel. Further a host route to the concentrator is added in the later case. If the client host needs DHCP, care must be taken to add another host route to the DHCP-Server around the tunnel.
ich habe das Ganze gerade mit dieser Anleitung eingerichtet, ohne das Script läuft auch der internet Traffic über den VPN, mit Script ist das nicht der Fall. Etwas umständlich aber ok. https://waal70blog.wordpress.com/2019/01/14/connect-vpn-to-fritzbox-with-vpnc-from-debian-linux/
Leider klappt es nicht ganz, ohne dem Script kann ich auf die entfernte Fritzbox zugreifen, der Internetverkehrt läuft aber auch über die entfernte FB, was nicht sein soll. Mit Script läuft das Internet weiter lokal, ich kann aber nicht mehr auf die entfernte FB zugreiben.
1 | #!/bin/sh
|
2 | IPROUTE=/sbin/ip |
3 | |
4 | case "$reason" in |
5 | pre-init) |
6 | /usr/share/vpnc-scripts/vpnc-script pre-init |
7 | ;;
|
8 | connect)
|
9 | INTERNAL_IP4_PREFIX=$(echo $INTERNAL_IP4_ADDRESS | sed -e's/\.[0-9]\+$//') |
10 | $IPROUTE link set dev "$TUNDEV" up mtu 1024 |
11 | $IPROUTE addr add "$INTERNAL_IP4_ADDRESS/255.255.255.0" peer "$INTERNAL_IP4_ADDRESS" dev "$TUNDEV" |
12 | $IPROUTE route replace "$INTERNAL_IP4_PREFIX.0/255.255.255.0" dev "$TUNDEV" |
13 | $IPROUTE route flush cache
|
14 | ;;
|
15 | disconnect)
|
16 | $IPROUTE link set dev "$TUNDEV" down |
17 | ;;
|
18 | *) |
19 | echo "unknown reason '$reason'. Maybe vpnc-script is out of date" 1>&2 |
20 | exit 1
|
21 | ;;
|
22 | esac
|
23 | exit 0
|
Connector schrieb: > Mit Script läuft das Internet weiter lokal, ich kann aber nicht mehr auf > die entfernte FB zugreiben. Ich hatte bei mir das seltsame Phänomen, das ich (via o2-Kabel) nicht per HTTP auf mein entferntes LAN zugreifen konnte, Ping und SMB gehen aber. Vielleicht gibts das Problem ja auch bei dir? Skripte hab ich aber keine laufen lassen, zumindest nicht bewusst.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.