Mit OpenVPN auf die eigene Fritz!Box verbinden?

Garnicht.
Das Fritzbox VPN basiert auf IPSec (was LE nicht kann).

Wenn dann brauchst du nen OpenVPN Server in deinem Heimnetzwerk.

Hi,
vermutlich wird der Raspi nicht direkt und blank im Internet hängen, evtl. an einer Fritzbox? Wenn ja, dann lassen sich die beiden Fritzen zusammen via VPN verbinden. Möglicherweise hilft dir das weiter?
Lg
Basti

Hi Makkus,

wie @darkside40 es schon richtig schrieb, kann die Fritzbox kein OpenVPN, sondern nur IPSECv1 basiertes VPN.

Und LibreELEC unterstützt von Haus aus kein IPSEC-VPN:
Beitrag aus dem LibreELEC Forum

Es gibt aber trotzdem noch eine Lösung.
Du installierst eine Linux-Distri, die IPSEC-VPN unterstützt.
Dann installierst du den passenden IPSEC-Client und Kodi wie hier beschrieben.

Aber Achtung:

Du hast einen Kabelanschluss. Bei vielen Kabelprovidern bekommst du als Privatkunde einen DS-Lite Anschluss. Damit ist kein Zugriff von außen auf dein Netzwerk möglich. Das müsstest du bei deinem Provider auf einen Dual-Stack-Anschluss (möglichst mit fester öffentlicher IPv4-Adresse) umstellen lassen.

Zitat von goscho

Du hast einen Kabelanschluss. Bei vielen Kabelprovidern bekommst du als Privatkunde einen DS-Lite Anschluss. Damit ist kein Zugriff von außen auf dein Netzwerk möglich. Das müsstest du bei deinem Provider auf einen Dual-Stack-Anschluss (möglichst mit fester öffentlicher IPv4-Adresse) umstellen lassen.

Ich glaube das kann man auch anders lösen. Ein DS-Lite ist ja ein V4 Tunnel im V6 Protokoll. Bei einem Tunnel muss immer ein Endpunkt definiert sein, das können die Betreiber aber nur, wenn sie einen Router mit eigener Firmware vorfinden. Wenn man an den Kabelanschlüssen einen freien Router anschließt und der Betreiber nicht mehr die Möglichkeit hat einen Tunnelendpunkt zu setzen, werdet ihr einen richtigen Dual-Stack-Anschluß erhalten.
Ich bin mir ganz sicher, habe nur bisher noch niemanden der das mal getestet und berichtet hat.

@BigChris ich bezweifle stark das das funktioniert. Ich habe mich selber Jahrelang mit DSLite rumgeschlagen unter anderem mit nem 6Tunnel VPS etc.
Wäre die Lösung so einfach gewesen wäre ich früher oder später da drauf gestoßen.
Was dann eher passiert ist das du gar keine IPv4 Adresse mehr bekommst.

Ich bin mir da nicht so sicher wie du. Gar keine v4 Adresse wird auch nicht gehen, da sonst die Möglichkeit bestehen würde das einige Dienste im Netz nicht mehr erreichbar sind. Würde mich freuen wenn es mal jemand ausprobieren würde. Bis vor kurzem konnte man ja auch gar keine eigenen Router an Kabelanschlüssen verwenden wenn ich mich nicht irre.

Wenn du auf All-IP Telefonie und Notruf anspielst die werden sicherlich per IPv6 abgewickelt.
Hatte auch schon mal den Fall das ich bei Unitymedia keine IPv4 Konnektivität hatte, IPv6 sowie Telefon haben aber funktioniert.

Hier ist ein kleines Tutorial, wie man ein VPN Gateway einrichtet. So kann man jedes Gerät im eigenen Netzwerk ins VPN bringen.
Die IPTables Regeln blockieren jeglichen Verkehr der nicht übers VPN geht.
Ich habe das ganze auf einem BananaPI mit Cyberghost VPN auf Debian 9 am laufen, allerdings sollte es auch mit anderen Geräten, Distros und VPN Anbietern laufen.
Ich gehe in dem Tutorial von einer frischen Installation aus.

1. Updaten
Code:
sudo apt-get update2. Upgraden
Code:
sudo apt-get upgrade3. OpenVPN installieren
Code:
sudo apt-get openvpn4. Statische IP vergeben
Code:
sudo nano /etc/network/interfaces

interfaces:
Ihr müsst die IP Adressen an euer Netzwerk anpassen.
WICHTIG: Ihr solltet eine Range beim DHCP Server (in den meisten Fällen der Router) festlegen, damit keine IP-Adresskonflikte entstehen
Code:
source /etc/network/interfaces.d/*# The loopback network interfaceauto loiface lo inet loopback# The primary network interfaceallow-hotplug eth0iface eth0 inet static address 192.168.0.2 #Adresse des Pis netmask 255.255.255.0 gateway 192.168.0.1 #Adresse des Routersdns-nameservers 1.1.1.1 1.0.0.1 #Cloudflare Nameserver5. OVPN Kofigurationsdateien runtertladen und in den Ordner /etc/openvpn verschieben.

6. connect.sh erstellen
Code:
sudo nano /etc/openvpn/connect.shconnect.sh
Den Dateinamen eurer Config eintragen
Code:
sudo openvpn --config "/etc/openvpn/#EURE VPN Config#.ovpn" --auth-user-pass /etc/openvpn/auth.txt6. auth.txt erstellen
Code:
sudo nano /etc/openvpn/connect.shauth.txt
Code:
BenutzernamePasswort6. iptables.sh erstellen

Ihr müsst noch die IP eures Netzwerks ergänzen (bspw. 192.168.0.0) und den UDP Port des VPNs (Standard ist 1194, bei Cyberghost 443)
Code:
sudo nano /etc/openvpn/iptables.shiptables.sh
Code:
#!/bin/bash# Flushiptables -t nat -Fiptables -t mangle -Fiptables -Fiptables -X# Block Alliptables -P OUTPUT DROPiptables -P INPUT DROPiptables -P FORWARD DROP# allow Localhostiptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT# Make sure you can communicate with any DHCP serveriptables -A OUTPUT -d 255.255.255.255 -j ACCEPTiptables -A INPUT -s 255.255.255.255 -j ACCEPT# Make sure that you can communicate within your own networkiptables -A INPUT -s #.#.#.#/24 -d #.#.#.#/24 -j ACCEPTiptables -A OUTPUT -s #.#.#.#/24 -d #.#.#.#/24 -j ACCEPT# Allow established sessions to receive traffic:iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT# Allow TUNiptables -A INPUT -i tun+ -j ACCEPTiptables -A FORWARD -i tun+ -j ACCEPTiptables -A FORWARD -o tun+ -j ACCEPTiptables -t nat -A POSTROUTING -o tun+ -j MASQUERADEiptables -A OUTPUT -o tun+ -j ACCEPT# allow VPN connectioniptables -I OUTPUT 1 -p udp --destination-port 1194 -m comment --comment "Allow VPN connection" -j ACCEPT# Block Alliptables -A OUTPUT -j DROPiptables -A INPUT -j DROPiptables -A FORWARD -j DROP# Log all dropped packages, [definition=12,0]debug[/definition] only.iptables -N loggingiptables -A INPUT -j loggingiptables -A OUTPUT -j loggingiptables -A [definition=12,9]logging[/definition] -m limit --limit 2/min -j LOG --log-prefix "IPTables general: " --log-level 7iptables -A [definition=12,9]logging[/definition] -j DROPecho "saving"iptables-save > /etc/iptables.rulesecho "done"#echo 'openVPN - Rules successfully applied, we start "watch" to verify IPtables in realtime (you can cancel it as usual CTRL + c)'#sleep 3#watch -n 0 "sudo iptables -nvL"7. IP Forwarding aktivieren

Code:
sudo nano /etc/sysctl.confnet.ipv4.ip_forward=1 einfügen bzw. auskommentieren
net.ipv6.conf.all.disable_ipv6 = 1 einfügen bzw. auskommentieren um IPv6 Leaks zu vermeiden

Reboot

8. Erster Test

Code:
sudo bash /etc/openvpn/iptables.shsudo bash /etc/openvpn/connect.shTestet die Verbindung mit einem anderen Gerät, das Gateway sollte der VPN Server sein.
Pingt mit dem Testgerät eine Domain (google.de).
Beendet OVPN mittels Strg + C der Ping sollte nun keine Verbindung bekommen.

Wenn alles funktioniert müsen die Scripte noch in den Autostart.
Dazu folgendes vor der Zeile "exit 0" in die /etc/rc.local schreiben:
Code:
sudo bash /etc/openvpn/iptables.sh &sleep 10sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"sudo bash /etc/openvpn/connect.sh &Nach einem Neustart können alle Geräte in eurem Netzwerk ins VPN, indem ihr den VPN Server als Gateway einstellt.
Ihr sollte bei den zu verbindenden Geräten IPv6 deaktivieren um Leaks zu vermeiden.

habe ich irgendwo gefunden ist von hecht04 keine Ahnung ob es hilft

Hallo,

an meiner Fritzbox 7490 hängt ein selbstgebauter Home-Server ( mit TVHeadend-Server und 4 Digital Devices DVB-S2 Tunern.

Über meinen passwortgeschützten MyFritz Account kann ich den MyFritz-Service als DynDNS-Ersatz nutzen und beispielsweise mit einer entsprechend erstellten m3u und einem LibreELEC Raspi über den IPTV Simple Client aus meinem 1000km entfernten Ferienhäuschen auf mein heimisches Satellitenfernsehen zugreifen.

VNC und SFTP gehen auch.

Gruß
Mark

@darkside40 Da mich das seit neuestem auch betreffen könnte, habe ich selbst noch einmal nach der Thematik DS Liter vs. IPv4 bei Vodafone (Kabel Deutschland) geschaut. Es sieht so aus, dass @BigChris laut einem Moderator des Vodafone-Forums recht haben könnte:

Zitat von Tobias (Moderator)

[...] wie ja schon gesagt wurde - wir stellen nicht mehr um. Alternativen wären ein Modem im Bridgemode, eigene Hardware oder Businesstarif mit der Option zur festen IPv4.

Gut das mich das nicht mehr betrifft. UM hatte im November 2017 mal die Anwandlungen IPv4 Addressen bzw echtes Dual Stack auf anfrage zu verteilen.
Habe da natürlich direkt zugeschlagen seitdem hab ich echtes IPv4 und IPv6. Macht so ziemlich alles viel einfacher.

Aber davon mal ab ist es schon peinlich das man sich so lange Zeit nach der Standardisierung von IPv6 immer noch mit sowas rumschlagen muss und die Provider etc einfach drauf warten bis IPv4 total verbraucht ist und dann mit so krücken wie DSLite kommen.
Lässt sich wohl zu einfach Geld machen mit einer knappen Ressource wie IPv4 Adressen.

Zitat von mark-aus-51

Hallo,

an meiner Fritzbox 7490 hängt ein selbstgebauter Home-Server ( mit TVHeadend-Server und 4 Digital Devices DVB-S2 Tunern.

Über meinen passwortgeschützten MyFritz Account kann ich den MyFritz-Service als DynDNS-Ersatz nutzen und beispielsweise mit einer entsprechend erstellten m3u und einem LibreELEC Raspi über den IPTV Simple Client aus meinem 1000km entfernten Ferienhäuschen auf mein heimisches Satellitenfernsehen zugreifen.

VNC und SFTP gehen auch.

Hi Markus,
dann wird dein RPI aber nicht per VPN mit der Fritzbox verbunden sein.
Ich vermute, dass du auf der Box Ports zu deinem TVHeadend weiterleitest, richtig?
Oder hast du einen Open VPN-Server bei dir im Einsatz?

...bis letztes Jahr hatte ich auch Cyberghost OpenVPN installiert, da es in der ARD/ZDF-Mediathek und bei Zattoo Geoblocking gab (in der Mediathek gibt es das wohl immer noch, wie ich vorletzte Woche gemerkt habe).

Die jetzige Lösung über MyFritz als DDynDNS-Ersatz gefällt mir viel besser, da schneller und stabiler. Dies setzt jedoch auf Server- und Clientseite eine gute Internetverbindung voraus, die ich zum Glück habe.