Support Benötige Hilfe beim Einstellen von iptables auf 7590

[Gelöschtes Mitglied 1042306]

Hallo leute, Gismo hat mir so eben ein Image gebaut ( Orig_oRK+IPTables_7590_07.21.all_freetz-ng-17526 ) bei dem unteranderem Iptables vorhanden ist für die 7590 FritzOS 7.21, nur leider kann ich IPtables nicht benutzen. Bekomme immer den Fehler:

iptables v1.6.2: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Ich habe schon

modprobe ip_tables
echo 'ip_tables' >> /etc/modules

versucht aber ich kann in /etc/modules nicht schreiben.

Könnte mir bitte jemand ein Image machen bei dem Iptables funktioniert und man es am besten per Weboberfläche einstellen kann?
Vielen Dank im vorraus und schöne Grüße

Inhalt vom Image:

Spoiler

installing packages
  syslogd-cgi-0.2.3 .................    3.21 Kb
  inetd-0.2 .........................    3.17 Kb
  authorized-keys-0.1 ...............    2.64 Kb
  dropbear-2020.81 ..................  107.17 Kb
  fuse-2.9.7 ........................    7.67 Kb
  haserl-0.9.35 .....................    9.83 Kb
  iptables-1.6.2 ....................  207.08 Kb
  mod-1.0 ...........................   84.78 Kb
  modcgi-0.3 ........................    3.63 Kb
  openssh-8.4p1 .....................  284.99 Kb
  sshfs-fuse-2.4 ....................   27.83 Kb
  sslh-v1.19c .......................   13.60 Kb
  checking blkid tools
    ... binary by avm
processing kernel
  checking kernel version
    ... used by AVM ...... 4.9.198
    ... used by Freetz ... 4.9.198
installing and stripping modules
  ip6t_hbh.ko .......................    1.56 Kb
  ip6table_filter.ko ................    1.48 Kb
  ip6t_frag.ko ......................    1.26 Kb
  ip6t_rt.ko ........................    1.87 Kb
  ip6t_eui64.ko .....................    1.22 Kb
  ip6t_REJECT.ko ....................    1.38 Kb
  ip6_tables.ko .....................    7.82 Kb
  nf_log_ipv6.ko ....................    3.33 Kb
  ip6table_raw.ko ...................    1.35 Kb
  ip6table_mangle.ko ................    1.85 Kb
  ip6t_ah.ko ........................    1.24 Kb
  ip6t_ipv6header.ko ................    1.52 Kb
  xt_length.ko ......................    1.04 Kb
  xt_iprange.ko .....................    1.23 Kb
  xt_DSCP.ko ........................    1.49 Kb
  xt_time.ko ........................    2.07 Kb
  xt_realm.ko .......................    0.96 Kb
  xt_mac.ko .........................    1.03 Kb
  nf_log_common.ko ..................    2.28 Kb
  xt_quota.ko .......................    1.34 Kb
  xt_string.ko ......................    1.20 Kb
  xt_tcpmss.ko ......................    1.39 Kb
  xt_physdev.ko .....................    1.58 Kb
  xt_HL.ko ..........................    1.53 Kb
  xt_hl.ko ..........................    1.05 Kb
  xt_statistic.ko ...................    1.29 Kb
  xt_NFQUEUE.ko .....................    2.40 Kb
  xt_LOG.ko .........................    1.23 Kb
  xt_limit.ko .......................    1.62 Kb
  xt_CLASSIFY.ko ....................    0.96 Kb
  xt_esp.ko .........................    1.15 Kb
  x_tables.ko .......................    7.66 Kb
  xt_pkttype.ko .....................    1.04 Kb
  xt_multiport.ko ...................    1.41 Kb
  xt_comment.ko .....................    0.94 Kb
  xt_mark.ko ........................    1.14 Kb
  xt_tcpudp.ko ......................    1.63 Kb
  iptable_filter.ko .................    1.53 Kb
  ip_tables.ko ......................    7.89 Kb
  iptable_raw.ko ....................    1.40 Kb
  nf_log_ipv4.ko ....................    3.07 Kb
  iptable_mangle.ko .................    1.64 Kb
  ipt_REJECT.ko .....................    1.34 Kb

 

[prisrak]

da mußt du kurz abwarten. Es wird nach Lösung gesucht.

 

[Gelöschtes Mitglied 1042306]

Vielen Dank!
PS.: Gibt es schon Neuigkeiten?

 

[prisrak]

leider nicht ..

s.

Sie müssen registriert sein, um Links zu sehen.

Funktioniert iptables/nat/conntrack?

IPtables funktioniert überall. Allerdings wird in Fritz!OS 05.2x und 05.5x von AVM der PacketAccelerator genutzt. Durch diesen funktioniert conntrack nicht mehr. Und damit nat/masquerading/state/transparenter Proxy und alles was sonst noch von conntrack abhängt.
Abhilft schafft ein Downgrade auf eine alte Firmware, zB bei der 7270 ein "Alien" mit 04.88 oder gleich Freetz-1.2.
Da AVM den Quellcode des PacketAccelerator veröffentlicht hat, könnte das Problem von jemandem mit viel Zeit und Wissen behoben werden.
Das Thema wird in Ticket #1605 behandelt, und so lange das Ticket noch nicht geschlossen ist besteht das Problem.

 

[Gelöschtes Mitglied 1042306]

Kannst du mir den Link zum ticker schicken bitte?

 

[prisrak]

Ticket #1605

Sie müssen registriert sein, um Links zu sehen.

stand auf der Verlinkung.

hab noch was von 2011 gefunden: Lösung von MaxMuster IPPF ".. Das geht (musste ich selbst erstmal probieren) auch ohne mod. Hier mal die benötigten Binaries für die 7390 (FW .91) und eine kurze Anleitung: "

# Auf der Box FTP einschalten ([I]Heimnetzwerk --> Speicher (NAS)[/I]  und dann "Speicher (NAS) aktiv" anhaken)
# und auf der Box telnet aktivieren, wenn noch nicht geschehen (z.B. per Telefon [I][B]#96*7*[/B][/I])
# dann erstmal den dekomprimieren so dass es nur noch ein "tar" ist
# (z.B. mit gzip -d iptables_und_openvpn_FB7390_84_04_91.tar.gz )
# und iptables_und_openvpn_FB7390_84_04_91.tar per FTP auf die Box bringen (liegt dann in /var/media/ftp)

# Auf der Box dann in das FTP-Verzeichnis
#
cd /var/media/ftp

# dort tar auspacken
tar xvf iptables_und_openvpn_FB7390_84_04_91.tar

# Module laden
./loadmodules.sh

# iptables NAT-Regel für tun0
./iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

# u.U. zur Sicherheit NAT-Table prüfen
./iptables -t nat -L -v

# TUN-Device anlegen
mknod /var/tmp/tun c 10 200

# openvpn Testen:
# key erzeugen ..
./openvpn --genkey --secret my.key
# ... und los ...
./openvpn --dev tun --ifconfig 10.8.0.1 10.8.0.2 --secret ./my.key --dev-node /var/tmp/tun --daemon

# .. und, läuft es ??
ps | grep  openvpn | grep -v grep

# .. o.k., dann wieder abbrechen
killall openvpn

# alles andere ist deine Sache ;-)

 

[Gelöschtes Mitglied 1042306]

Ich habe jetzt gerade versucht meine box zurück zu setzen und jetzt geht sie nicht mehr an. Sie stürzt ab sobald Power und wlan dauerhaft leuchten. Das recovery Tool von Avm findet die Box auch nicht mehr. Kann ich das irgendwie noch retten?

Edit: die Firewall meines PC ist aus.

Edit2: wenn ich mit meinem Browser die ip 169.254.134.1 aufrufe bekomme ich nur einen time out Fehler

Edit3: Gelöst, indem ich das Programm als Admin gestartet habe..........xD. Dann ist es auch direkt auf 192.168.178.1 umgesprungen

 

[SoNewbie]

Gibt es mittlerweile was neues dazu? Nutze eine FRITZ!Box 7950 mit einen Image von SaMMyMaster und dort komme ich wegen dem fehlenden iptables nicht mehr weiter.

 

[prisrak]

es ist veraltet und wird deswegen nicht mehr vom Entwickler angeboten. Siehe oben.

 

[SoNewbie]

Sehr Schade... dann ist ein VPN gar nicht nutzbar. :/

 

[prisrak]

Da gibt es dafür OpenVPN und so weiter

 

[SoNewbie]

Ja Klar, aber wie und wo regelt man das Routing ohne Iptables? Über AVM Web-IF kann man ja nicht wirklich diesbezüglich was einstellen und im Internet findet man nichts um es über Shell usw einzustellen.

 

[prisrak]

was und wofür hast du es vor? Wenn VPN mit verschiedenen Clienten, dann gibts einiges gratis und kostenpflichtig.
Wenn verschlüsselter Tunnel von z.B. von a nach b auf verschieene interne IP´S (Geräte), dann z.B.

Sie müssen registriert sein, um Links zu sehen.

Wenn Zugriff auf bestimmte Ordner mit diversen Usern und unterschiedlichen Rechten, dann vsftpd

 

[SoNewbie]

Danke für den Link. Hab seit Jahren einen Account bei Perfect Privacy und diesen wollte ich gern über meine Fritte laufen lassen, um alee Geräte im Heimatnetzwerk abzusichern. Generell wollte ich mir erstmal kein zusätzliches Gerät wie RPI oder Router kaufen müßen, um dies zu zu machen.

In der jetzigern Konstelation mit der Fritte / Freetz ohne Iptables kann ich kein vollständiges VPN aufbauen, da ich nicht weiß wie ich das Routing dementsprechend umbieten kann, damit zB

Spoiler

*nat
:PREROUTING ACCEPT [*.*:*.*]
:POSTROUTING ACCEPT [*.*:*.*]
:OUTPUT ACCEPT [*.*:*.*]
-A POSTROUTING -d *.*/24 -o dsl -j MASQUERADE
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [2:100]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:100]
-A FORWARD -o dsl -p udp -m udp --dport *.* -j ACCEPT
-A FORWARD -o dsl -p udp -m udp --dport *.* -j ACCEPT
-A FORWARD -d *.*/24 -o dsl -j ACCEPT
-A FORWARD -o dsl -j DROP
COMMIT

dauerhaft gespeichert wird und mein VPN über der Fritte im gesamten Netwerk (Lan & WLAN) funktioniert.

Vielleicht drücke ich mich auch falsch aus, beschäftige mich erst seit ein paar Wochen mit Freetz.

 

[prisrak]

ich behaupte mal, das jeder VPN Bezahlservice kann über OenVPN / Wireguard über Freetz eingerichtet werden. Gibs hier Beiträge mehr als genug. Melde dich da entsprechend. Bei Open VPN beim Bauen gibts verschiedene Versionen um passende Eingaben des Providers zu erledigen. (v1 - old full featured und v2 - new simple-gui) auch wenn manche Beiträge schon älter sind, können so manche Rädelsführer um so erfahrener geworden sein Fragen kostet nichts.

Talk - OpenVPN Perfect Privacy auf Fritzbox,
Eigenen VPN Server mit Wireguard einrichten

Lese dich etwas ein.