Fritzbox 3270, Freetz und OpenVPN

Im Zuge meiner bereits erwähnten Umstellung auf ADSL2+ mit einer 16MBit Leitung habe ich meine AVM Fritzbox 3270 mit einer neuen Version des Freetz Mods bespielt. Ziel dieser ganzen Aktion war eigentlich nur die Möglichkeit von außen auf Geräte hinter meiner Fritzbox zuzugreifen. Früher habe ich das schon relativ bequem mit einem SSH Portforwarding lösen können. Dieses Mal wollte ich jedoch mehr und wollte mir extra OpenVPN auf die Box installieren.

Wenn man Freetz benutzen möchte, so sollte man sich am besten die Virtuelle Maschine Freetz-linux herunterladen und damit experimentieren. Diese VM basiert auf Ubuntu und besitzt bereits alle notwendigen Pakete für die Kompilierung der Firmware. Ich verwende speziell die freetz-trunk Version, welche immer den neuesten SVN Stand der Entwicklung wiedergibt. Diese habe ich speziell deswegen gewählt, weil ich somit die neusten Features (wie z.B. HFS+ Datenträgerunterstützung) aktivieren kann und auch die neueste Firmware 04.86 nutzen kann. Die Stable Version benutzen alle noch die ältere 04.80, in der z.B. das Gäste Wlan und keine IP v6 Unterstützung enthalten sind.

Nach vielen hin und her habe ich dann letztlich eine passende Pakete Auswahl getroffen, die auch nicht zu groß für den internen Speicher meiner Fritzbox ist. Ich musste dann die Firmware flashen und habe mich dann den ziemlich ungenauen Anleitungen des Freetz Wiki entlang gehangelt.

Damit begann das Elend…

Die eingebaute Firewall der Fritzbox erlaubt über die übliche Weboberfläche des Herstellers kein Portforwarding auf die IP der Fritzbox selber. Man muss dann entweder den Umweg über die Konfig Datei ar7.cfg gehen oder man benutzt die AVM-Firewall Weboberfläche von Fritz. Hier habe ich alle notwendigen Daten eingetragen. Anschließend haben meine Tests mit meinem UMTS Stick begonnen, damit ich mich von zuhause aber außerhalb meines eigenen Netzwerkes einwählen konnte. Doch die Überraschung war groß: mit Hilfe von nmap konnte ich keinerlei offene Ports ermitteln. Nach intensiven Google Recherchen habe ich irgendwann entnervt aufgegeben und habe dann in den sauren Apfel gebissen: Werkseinstellungen herstellen und alles neu konfigurieren.

Damit konnte ich dann endlich auf die Ports von außen zugreifen und konnte mich dann OpenVPN zuwenden. Ich habe mich hier gezielt für einen Ansatz mit dem TAP Device entschieden. Damit wird ein Tunnel zwischen Client und Server hergestellt, der bereits auf OSI Level 2 ansetzt und somit auch Broadcasts u.ä. übertragen kann. Außerdem war die Konfiguration dann entsprechend einfacher, da man sich nicht mit den Routen rumschlagen musste.

Irgendwann hatte ich dann auch ein Erfolgserlebnis und hatte eine bestehende Verbindung, doch es wurde noch interessanter: Laut dem Verbindungsprotokoll habe ich mir eine doppelte Route in das gleiche Netz geschaffen und somit auch gleich meinen Internetzugang über den Tunnel blockiert. Ziel war hier nämlich die komplette Umleitung des Netzwerkverkehrs des Notebooks über das VPN und anschließend über die DSL Leitung. Nach fieberhafter Recherche habe ich mich geschlagen gegeben und wollte dann über das TUN Device einen Tunnel mit Routen erstellen. Da hier die Dokumentation noch wesentlich schlechter war, habe ich entnervt irgendwann aufgegeben.

Zwischendurch plagten mich aber noch andere Probleme. Die Fritzbox Oberfläche und der komplette Netzwerkverkehr waren zwischenzeitlich gestört. Es half nur noch ein Kaltstart über das Trennen der Stromversorgung. Dieses Ereignis tratt besonders oft auf, als ich versucht habe dem DHCP Server MAC Adressen meiner ganzen Geräte beizubringen. Die Geräte sollten immer wieder ihre gleiche IP zugeordnet bekommen und nicht wild springen. Jedoch stürzte die Box jedesmal komplett ab, wenn ich einen Eintrag entfernt hatte oder hinzugefügt hatte. Stellenweise führte schon das bloße Klicken auf der Oberfläche zum Absturz.

Ich hielt dann den DHCP Server für schuldig und suchte weiter in der Richtung, wurde jedoch auch nicht zufriedenstellend fündig. Also begrub ich die Baustelle und versuchte mich weiter am OpenVPN zu arbeiten. Hier zeigte sich dann, dass sobald ich eine Verbindung aufgebaut hatte die Fritzbox komplett versagt und komplett neustartet. Also musste ich wieder googlen und bin dann zum Glück auch auf dieses Ticket gestoßen und fühlte mich in meiner Vorahnung schon bestätigt: OpenVPN mit Bridge und aktivierten Wlan führt zu einem Reset der Fritzbox. Also war meine komplette Arbeit umsonst und ich durfte wieder eine neue Firmware bauen.

Problematisch erwies sich zwischendurch auch die DSL Leitung an sich. Der Sync des DSL Modems verschwand ohne ersichtlichen Grund. Da ich vorher nie Probleme hatte, vermutete ich eine zu hohe Geschwindigkeit für die Leitungen des Hauses und reduzierte nach dieser Anleitung die Geschwindigkeit meiner Leitung. Nachdem ich jedoch OpenVPN als den größten Problemverursacher identifziert hatte, habe ich die Leitungsgeschwindigkeit wieder erhöht. Ich muss das mal weiter beobachten, ärgerlich wäre es auf jeden Fall, wenn ich doch nicht die volle Leitungsgeschwindigkeit nutzen könnte.

Was ist nun das Fazit der ganzen Geschichte? Nun, ich gebe nach drei Tagen intensivster Bemühungen entnervt auf. Die Zeit hätte ich vermutlich anders auch besser nutzen können. Eine stabile Internetverbindung ist mir dann letzten Endes doch wesentlich wichtiger, als ein Router mit allen möglichen Funktionen, die nur instabil laufen. Die Freetz Modifikation habe ich jetzt soweit vereinfacht, dass ich nur noch einen OpenSSH, VSFTP, Samba, Transmission und WOL Dienst ausführen kann. Alles andere verkompliziert die Sache vermutlich nur noch weiter.