Verfasst von: hugahaga | 12 April 2010

VPN und FritzBox

Hallo,

als Abschluß ein Bericht:

VPN über Fritzbox funktioniert und ist, wenn man einmal den Fehler gefunden hat, super einfach.

Man braucht:

1. AVM Fritzbox ( oder anderen VPN Router, aber dieses Tutorial soll sich auf Fritzbox beschränken )
2. Freetz und liest dort zuerst den Newbiebereich und lädt sich von dort aktuelle Wiederherstellungssoftware runter, falls was schiefgeht.
3. Um die Firmware für die Fritzbox zu erstellen, nehme man am besten die Buildumgebung „freetz-linux“. Hier mehr dazu. Ich persönlich habe die VirtualBox Version genommen und bin damit mehr als gut gefahren.
4. Wenn mann keine feste IP hat, dann einfach bei dyndns.org einen Dienst erstellen und den auf der Fritzbox eintragen.
5. Man benötigt ca. 30 Minuten und findet im Netz einen Haufen Gerede über ds-mod, usw. patches die eingespielt werden müssen und was auch immer. Alles ist nicht nötig. Lediglich die unten aufgeführten Schritte.

Ablauf:

1. Freetz Newbies lesen und freetz-linux laden.
2. freetz-linux starten und anmelden.
3. Zum download von freetz in freetz-linux einfach eintippen:

und abwarten. Es kann je nach Internetverbindung dauern.
4. eintippen:

Zitat:
cd free*

5. eintippen:

Zitat:
make menuconfig

und abwarten.
6. Auswälen:
Hardware type (Fon WLAN 7170) —> die richtige FritzBox auswählen, hier Fon WLAN 7170[*] Replace Kernel[*] Show advanced options
7. Ich empfehle das folgende zu aktivieren (Erklärung in Klammern ) in Package selection –> Web interface –> [*] AVM Firewall (Gibt ein Menü zur Konfigurierung des AVM Firewalls frei. Wer es nicht braucht, auch gut )[*] Syslogd CGI (Hier werden Informationen ausgegeben, falls es nicht klappen sollte, erhält der Benutzer hier Informationen über die Art des Fehlers, ich empfehle es auszuwählen )
8. in Package Selection –> Testing –>[*] pptpd 1.3.4

Exit auswählen und dann eintippen:

Zitat:
make

.

Das erstellen der Firmware dauert eine ganze Weile. Beim zweiten Mal wird es weniger Zeit in Anspruch nehmen.

9. Die erstellte Firmware findet sich im Ordner „images“. Dieser Ordner kann über den Finder per Netzzugriff erreicht werden. Dort einfach in den Ordner Freetz/freetz-1.1.1/images/ gehen und von dort die Firmware z.B. 7170_04.76freetz-1.1.1.de_Datum-Zahl.image auswählen und auf den Desktop kopieren.
10. Sich per Safari auf fritz.box anmelden und die Firmware einspielen. Fortfahren klicken bei Hinweis darauf, dass es sich um keine Originalfrimware handelt. Bitte beachten, dabei geht die Garantie verloren!
11. Nach dem Neustart der FB einloggen mittels „http://fritz.box:81“. Benutzername und Passwort sind immer die selben.
12. Aktivieren des Dienstes Telnet unter
Dienste –> telnetd –> auf Start klicken.
12. Damit man die Einstellungen auf freetz ordentlich vornehmen kann, muss eine security Datei erstellt werden und es müssen die Ports geöffnet werden, damit die Fritzbox auch als VPN Server fungieren kann.
Terminal öffnen und eintippen:

Zitat:
telnet „IP_DER_FRITZBOX“

wobei „IP_DER_FRITZBOX“ die aktuelle IP der FB sein
Security ID erstellen
eintippen:

Zitat:
cd /var/tmp/flash/

eintippen:

Zitat:
echo 0 >> security

erstellt eine Datei mit dem Inhalt „0“

Ports einstellen
eintippen:

Zitat:
cd /var/flash/

eintippen:

Zitat:
nvi ar7.cfg

eintippen: 4x

Zitat:
/forwardrules

Damit sucht man in der Datei forwardules. Es sollte dann so aussehen:

Zitat:
policy = „permit“;
accesslist =
„reject ip any 242.0.0.0 255.0.0.0“, /*AVM*/
„deny ip any host 255.255.255.255“, /*AVM*/
„reject ip any 169.254.0.0 255.255.0.0“, /*AVM*/
„reject udp any any range 161 162“, /*AVM*/
„reject udp any any eq 111“;/*AVM*/
}
forwardrules = „udp 0.0.0.0:5060 0.0.0.0:5060“;

Bitte „i“ eintippen. Damit geht man in den Editiermodus. Nun kann man also den Text ändern.
Bitte so ändern, dass dann das Bild so aussieht:

Zitat:
}
forwardrules = „udp 0.0.0.0:5060 0.0.0.0:5060“,
„gre 0.0.0.0 0.0.0.0 # GRE“,
„tcp 0.0.0.0:1723 0.0.0.0:1723 # PPTP“;
}

Evtl. bestehen schon im fritz.box Menü erstellte portweiterleitungen. Diese können natürlich beibehalten werden. Wichtig ist, dass am Ende das Semikolon steht und die einzelnen Zeilen als Auflistung nur mit einem Komma enden.
Wenn alles stimmt, dann bitte
eintippen:

Zitat:
:wq

Mit „:“ sagt man dem Programm, dass es ein Kommando entgegennehmen soll. „w“ schreibt die Datei auf die Fritzbox und „q“ beendet das Programm.
eintippen:

Zitat:
ar7cfgchanged

, oder

Zitat:
reboot

zum Neustart der FB.
eintippen: exit zum Verlassen der Telnet Session. Alternativ kann auch einfach abgewartet werden, Telnet wird beim reboot automatisch beendet.

13. Nach Neustart der FB anmelden in Freetz und in Einstellungen gehen:
PPP: chap-secrets auswählen.
Hier werden die Zugänge erlaubt.

Zitat:
# client server secret IP addresses
vpnuser fritzbox passwort *
EOF

Hier ist dem Benutzer „vpnuser“ der Zugriff mit dem Passwort „passwort“ erlaubt.

PPTPD: pptpd.conf nicht verändern.
PPTPD: pptpd.conf sollte so aussehen:

Zitat:
# Authentication

# Name of the local system for authentication purposes
# (must match the second field in /etc/ppp/chap-secrets entries)
name fritzbox

# Strip the domain prefix from the username before authentication.
# (applies if you use pppd with chapms-strip-domain patch)
#chapms-strip-domain

# Encryption
# (There have been multiple versions of PPP with encryption support,
# choose with of the following sections you will use.)

# BSD licensed ppp-2.4.2 upstream with MPPE only, kernel module ppp_mppe.o
# {{{
refuse-pap
refuse-chap
refuse-mschap
# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft
# Challenge Handshake Authentication Protocol, Version 2] authentication.
require-mschap-v2
# Require MPPE 128-bit encryption
# (note that MPPE requires the use of MSCHAP-V2 during authentication)
# require-mppe-128
mppe required
# Danke an: http://www.easyvdr-forum.de/forum/in…p?topic=6854.0
mppe stateless
nodeflate
# }}}

# Network and Routing

# If pppd is acting as a server for Microsoft Windows clients, this
# option allows pppd to supply one or two DNS (Domain Name Server)
# addresses to the clients. The first instance of this option
# specifies the primary DNS address; the second instance (if given)
# specifies the secondary DNS address.
ms-dns 192.168.178.1

# If pppd is acting as a server for Microsoft Windows or „Samba“
# clients, this option allows pppd to supply one or two WINS (Windows
# Internet Name Services) server addresses to the clients. The first
# instance of this option specifies the primary WINS address; the
# second instance (if given) specifies the secondary WINS address.
#ms-wins 10.0.0.3
#ms-wins 10.0.0.4

# Add an entry to this system’s ARP [Address Resolution Protocol]
# table with the IP address of the peer and the Ethernet address of this
# system. This will have the effect of making the peer appear to other
# systems to be on the local ethernet.
# (you do not need this if your PPTP server is responsible for routing
# packets to the clients — James Cameron)
proxyarp

# Logging

# Enable connection debugging facilities.
# (see your syslog configuration for where pppd sends to)
#debug

# Print out all the option values which have been set.
# (often requested by mailing list to verify options)
#dump

# Miscellaneous

# Create a UUCP-style lock file for the pseudo-tty to ensure exclusive
# access.
lock

# Disable BSD-Compress compression
nobsdcomp

# Disable Van Jacobson compression
# (needed on some networks with Windows 9x/ME/XP clients, see posting to
# poptop-server on 14th April 2005 by Pawel Pokrywka and followups,
# http://marc.theaimsgroup.com/?t=111343175400006&r=1&w=2 )
novj
novjccomp

# turn off logging to stderr, since this may be redirected to pptpd
#nologfd

Via iPhone ( in meinem Fall ) einfach nach einrichten des PPTP VPN Zuganges mit den vergebenen Benutzername und Passwort am Server anmelden. Auf Iphoneblog habe ich ein Bild gefunden.

               

Signatur „He who would sacrifice his liberty for security will have neither.“ Benjamin Franklin

Advertisements

Responses

  1. {


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Kategorien

%d Bloggern gefällt das: