Unitymedia VPN auf Fritzbox6360 mit DS-Lite

[khkabel]

Laie braucht Hilfe!
Habe neu ein Fritzbox 6360 (tripleplay 100) und möchte nun per VPN von meinem iPhone darauf zugreifen.
Die Anleitungen von AVM verweisen auf Internet/Freigaben/VPN einrichten - den Reiter hab ich aber nicht.
Hier im Forum habe ich gefunden, dass es an DS-Lite bei iPv4 liegen kann - das habe ich, gibt es dennoch einen Weg für mich VPN einzurichten?

Danke

 

[hajodele]

Auf der Fritzbox geht es direkt nicht.
Wege findest du hier: http://www.unitymediakabelbwforum.de/viewtopic.php?f=53&t=25148

 

[khkabel]

Danke für den Link, ist aber harter Topak für nen Laien :-(.
Also VPN scheint nicht zu gehen, wie kann ich dann ähnlich sicher von meinem iPhone auf die Fritzbox (bzw. dahinter liegende Platten/Dienste) zugreifen? Und zwar nur ich

oder kann ich KabelBW dazu überreden das DS-Lite so zu ersetzen, dass ich VPN kann??

 

[johnripper]

DS-Lite ist nicht orginär das Problem, sondern eigentlich vielmehr, dass nicht durchgehend IPv6 eingesetzt wird (IPhone, Netzprovider/Carrier, Fritzbox Hardware).

Du könntest versuchen über die Hotline deinen Anschluss auf IPv4 umstellen zu lassen. Soweit ich weiß ist dies jedoch ohne weiteres nicht mehr möglich.
Alternative wäre ein Buisness Anschluss.

 

[khkabel]

Danke, Anfrage KabelBW läuft

 

[tomas]

Mein letzter Stand war allerdings, dass die VPN Implementation von AVM auf der FritzBox definitiv kein IPv6 unterstützt.

 

[SpaceRat]

Mein letzter Stand war allerdings, dass die VPN Implementation von AVM auf der FritzBox definitiv kein IPv6 unterstützt.

Ist auch korrekt.

Außer OpenVPN gibt's nicht viele VPN-Lösungen, die auch über IPv6 funktionieren.

 

[tomas]

Mein letzter Stand war allerdings, dass die VPN Implementation von AVM auf der FritzBox definitiv kein IPv6 unterstützt.

Ist auch korrekt.

Außer OpenVPN gibt's nicht viele VPN-Lösungen, die auch über IPv6 funktionieren.

Mal direkt ne Frage dazu.
Wenn ich hinter meiner 6320 ein Router z.B. mit DD WRT ausrüste und OpenVPN laufen lasse. Reicht es dann in der 6320 eben den Port 1194 (oder welchen ich eben für OpenVPN nutze) in den IPv6 Freigaben einzutragen? Sollte doch gehen, oder?

 

[SpaceRat]

Wenn ich hinter meiner 6320 ein Router z.B. mit DD WRT ausrüste und OpenVPN laufen lasse. Reicht es dann in der 6320 eben den Port 1194 (oder welchen ich eben für OpenVPN nutze) in den IPv6 Freigaben einzutragen? Sollte doch gehen, oder?

Ja, wenn der Router nicht als Router sondern als Access Point läuft.

Als Router würde er Netze trennen, nämlich in
1. das zwischen Fritte und OpenWRT
und
2. in das hinter der OpenWRT (Wo auch OpenVPN liefe).

 

[tomas]

Der zweite Router läuft als AccessPoint da er bislang lediglich für das WLAN zuständig war. Aber dann ist ja alles gut, werde ich bald mal probieren.

Danke für deine Erklärung!

 

[tomas]

Ich muss das Thema jetzt nochmal kurz aufgreifen.

Ich möchte nun eine MyFritz-Freigabe für den TP Link und OpenVPN erstellen.

Nur, was muss ich bei "Anwendung" und "Schema" angeben?
Oder ist es egal?

 

[SpaceRat]

Ich muss das Thema jetzt nochmal kurz aufgreifen.

Ich möchte nun eine MyFritz-Freigabe für den TP Link und OpenVPN erstellen.

Nur, was muss ich bei "Anwendung" und "Schema" angeben?
Oder ist es egal?

Das ist egal.

Das Schema spielt nur eine Rolle für Links, die man aus dem Webbrowser heraus in der richtigen Anwendung öffnen können will:
So würdest Du z.B. bei einem IRC-Server als Schema "irc://" eintragen, damit beim Anklicken der URL diese direkt in einem IRC-Client (z.B. Kvirc, OpenChat, Xchat, BitchX, mIRC, ...) geöffnet wird, statt im Webbrowser, der damit nichts anfangen kann.

Für viele Dienste gibt es aber kein solches etabliertes Schema.
Hier findet man eine Liste der offiziell anerkannten Schemata.

 

[tomas]

Ok, danke.

Ich habe einfach mal eine "Fake" MyFritzFreigabe erstellt.

Unter "IPv6" Freigaben habe ich dann eine UDP-Freigabe erstellt.

Nun sieht meine Client-Config so aus:

<i>
</i>client
dev tun
proto udp6
remote TPLINKmitOPENVPN.blablabla.myfritz.net 29999
resolv-retry infinite
nobind
persist-key
persist-tun
ca "/Users/thomas/Desktop/VM/OVPN/ca.crt"
cert "/Users/thomas/Desktop/VM/OVPN/client01.crt"
key "/Users/thomas/Desktop/VM/OVPN/client01.key"
ns-cert-type server
comp-lzo
verb 3

Ich hatte diese Config im lokalen Netz meines Bruders vorhin probiert (mit der LAN IP des TP-Links auf dem DD WRT mit OpenVPN läuft).
Dementsprechend habe ich nun nur die IP mit der MyFritzAdresse geändert.
Den Port hatte ich jetzt einfach mal so hoch gelegt weil ich den nicht auf 1194 liegen haben wollte (muss ich auch nicht oder?)
Trotzdem kriege ich bei Tunnelblick (OS X) folgende Meldung:

<i>
</i>2014-08-10 18:27:50 UDPv6 link local: [undef]
2014-08-10 18:27:50 UDPv6 link remote: [AF_INET6]4a42:625:fd64:2f80:b4d8:b3fb:fe5b:3782:29999 [[b]Zahlen geändert[/b]]
2014-08-10 18:27:50 MANAGEMENT: >STATE:1407688070,WAIT,,,
2014-08-10 18:28:50 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2014-08-10 18:28:50 TLS Error: TLS handshake failed
2014-08-10 18:28:50 SIGUSR1[soft,tls-error] received, process restarting
2014-08-10 18:28:50 MANAGEMENT: >STATE:1407688130,RECONNECTING,tls-error,,
2014-08-10 18:28:50 MANAGEMENT: CMD 'hold release'

Meine Server Config auf dem DD WRT sieht wie folgt aus:

<i>
</i>port 29999
proto udp6
dev tun0
tun-ipv6
ca /tmp/openvpn/ca.crt (Master Zertifikat)
cert /tmp/openvpn/cert.pem (Server Zertifikat)
key /tmp/openvpn/key.pem (Server Key)
dh /tmp/openvpn/dh.pem (DH Parameter)
server 172.16.2.0 255.255.255.0
push "route 192.168.3.0 255.255.255.0"
push "dhcp-options DNS 192.168.3.1"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Ich habe hier die lokale IP 192.168.2.0 vergeben. Bei meinem Bruder ist es 192.168.3.0

Und das ist hier die Ausgabe des OpenVPN Server auf dem DD WRT wenn ich ihn starte:

<i>
</i>20140810 20:14:54 Diffie-Hellman initialized with 1024 bit key
20140810 20:14:54 Socket Buffers: R=[163840->131072] S=[163840->131072]
20140810 20:14:54 I TUN/TAP device tun0 opened
20140810 20:14:54 TUN/TAP TX queue length set to 100
20140810 20:14:54 I do_ifconfig tt->ipv6=1 tt->did_ifconfig_ipv6_setup=0
20140810 20:14:54 I /sbin/ifconfig tun0 172.16.2.1 netmask 255.255.255.0 mtu 1500 broadcast 172.16.2.255
20140810 20:14:54 I UDPv6 link local (bound): [undef]
20140810 20:14:54 I UDPv6 link remote: [undef]
20140810 20:14:54 MULTI: multi_init called r=256 v=256
20140810 20:14:54 IFCONFIG POOL: base=172.16.2.2 size=252 ipv6=0
20140810 20:14:54 I ifconfig_pool_read() in='client01 172.16.2.2' TODO: IPv6
20140810 20:14:54 I succeeded -> ifconfig_pool_set()
20140810 20:14:54 IFCONFIG POOL LIST
20140810 20:14:54 client01 172.16.2.2
20140810 20:14:54 I Initialization Sequence Completed

Kann wer helfen? Habe ich etwas falsch gemacht, gibts irgendwo einen Fehler?

Ich habe auf http://www.ipv6tech.ch mal einen Portscan laufen lassen auf die Adresse meines Bruders, mit dem Ergebnis
"UDP6 Port 1194 openvpn REACHABLE"

 

[tomas]

*push*

Niemand eine Idee?

 

[GoaSkin]

Mach mal einen IPv6-Ping vom Client auf den Server!

Wenn dann von der öffentlichen IPv6-Adresse der FB im Ziel-Netz die ICMP-Meldung "Administratively Prohibited" zurück kommt, schlägt die Firewall auf der FB im Ziel-Netz zu.

Das ist ein Bug im Fritz-OS, der auftreten kann, wenn man eine MyFritz-Freigabe erstellt und schon normale IPv6-Freigaben vorhanden waren. Abhilfe schafft es dann meistens, die in der Folge erstellte "normale" IPv6-Freigabe aufzurufen und dort ein unwesentliches Detail zu ändern (z.B. Port-Range um 1 erweitern).

 

[tomas]

Kurze Frage dazu, mache ich im Terminal dann einfach:

ping6 blablabla.myfritz.net
bzw.
ping6 Freigabe.blabla.myfritz.net

oder müsste da nicht noch irgendwie der Port dahinter?

Wie gesagt, der UDP Test auf ipv6tools.ch hat ja ergeben das der OpenVPN Port "reachable" ist.

 

[SpaceRat]

Kurze Frage dazu, mache ich im Terminal dann einfach:

ping -6 blabla.myfritz.net
bzw.
ping -6 gerät.blabla.myfritz.net

Unter Linsuxx funktioniert ggf. statt "ping -6" auch "ping6", zwingend vorhanden sein muß dieses Tool aber nicht. "ping -6" hingegen geht immer (Wenn IPv6-Support vorhanden).

oder müsste da nicht noch irgendwie der Port dahinter?

Ohne Port.

Wie gesagt, der UDP Test auf ipv6tools.ch hat ja ergeben das der OpenVPN Port "reachable" ist.

Dann läuft der da auch.

Ich würde es einfach mal mit einer schlichteren Konfiguration für OpenVPN probieren, z.B. einfach nur mit "static key".
Es ist nämlich problemlos möglich (Ohne den geringsten Mucks beim Bauen!) einen OpenVPN zu kompilieren der mit Zertifikaten nicht klarkommt ...
Da kannst Du dann verdammt lange an anderer Stelle nach Fehler suchen ...