[Problem] 7390 über WLAN: VPN zu 7270 einrichten

[nogenius]

Hallo zusammen,

ich hab mir eine FritzBox 7390 zugelegt, weil ich eigentlich folgendes realisieren wollte:

7270 am Standort A über KabelBW im Internet
7390 am Standort B, über WLAN mitbenutzen (öffentliches WLAN) im Internet

VPN von 7390 zu 7270 um sicher im offenen WLAN zu surfen. Alle Daten sollen automatisch durch den Tunnel gehen.

Jetzt habe ich folgendes Problem:
Box2Box VPN Verbindungen habe ich in der Vergangenheit schon eingerichtet. Wie aber stelle ich ein, dass tatsächlich alle Daten über die WLAN Verbindung gehen, nicht nur der Zugruff auf das andere Netzwerk möglich ist? Beim Einrichten von VPN Usern kann man ja die Checkbox anklicken um zu definieren, dass alle Daten über den Tunnel gehen sollen. Bei box2box Verbindungen habe ich das leider nicht gesehen. Kann man das mit dem Editor manuell einstellen?

Vielen Dank für eure Hilfe!

 

[andiling]

Das ist ootb nicht vorgesehen und über die Configs nicht einstellbar, da tiefgreifende Änderungen am Routing der FB notwendig wären.

 

[nogenius]

Hmmm, schade und danke. Wie ist das denn generell bei der Funktion WLAN mitbenutzen bezüglich Sicherheit? Verhält sich das wie ein erweitertes (offenes) Netz, heißt alle im öffentlichen Netz können den Traffik mitlesen? Ich nehme mal an ja, oder? Lässt sich das irgendwie anders vermeiden? Hätte noch ne FB7270 hier rumliegen... Ansonsten muss ichs vielleicht doch über ein Raspberry Pi machen (will ich eigentlich nicht weil ich es anderweitig verwenden will)

Danke!

 

[andiling]

Wenn sich jedes Gerät einzeln verbindet, geht es. Und falls Du Telefonie nutzt kannst Du die z.B. auch über die 7270 leiten.

 

[eisbaerin]

Das geht auch in der FB.

In einer VPN-Config nur die accesslist ändern:

accesslist = "reject udp any any eq 53", 
             "reject udp any any eq 500", 
             "reject udp any any eq 4500", 
             "permit ip any any";

Gibt ein großes Thema dazu hier, ich finde es aber gerade nicht.

 

[andiling]

Und damit routest Du allen Verkehr der Clients über den Tunnel?

 

[KunterBunter]

Nur DNS und IPsec wird nicht getunnelt, wie man sieht.

Gibt ein großes Thema dazu hier, ich finde es es aber gerade nicht.

Weil es unter Wichtig ist? Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

 

[andiling]

Der Thread bezieht sich ja auf eine Client Verbindung, Frage hier ist ja ein gesamtes Netzwerk über das VPN zwischen zwei FBs zu routen. Und das sehe ich nicht?!?

 

[KunterBunter]

Die Änderungen in der accesslist sind aber in beiden Fällen die gleichen.

 

[eisbaerin]

Weil es unter Wichtig ist?

:lach: Genau, das war das Problem!

Nur DNS und IPsec wird nicht getunnelt,

Wenn die andere FB eine feste IP hat, könnte man den DNS auch noch Tunneln.

 

[nogenius]

Cool, danke, also funktionieren tut es schon mal mit folgendem:

accesslist = "reject udp any any eq 53", 
             "reject udp any any eq 500", 
             "reject udp any any eq 4500", 
             "permit ip any any";

Jetzt würde ich gerne noch verstehen warum Wie ist denn die Syntax vom der accesslist, was ist der Unterschied zu den ursprünglichen Einstellungen, und was sind die werte 53, 500 und 4500?

www.whatismyip.com gibt die richtigen Werte aus, woher weiß ich, dass wirklich alle Daten übers VPN gehen?

Vielen Dank!

 

[KunterBunter]

Die Syntax ist von iptables übernommen.
Liste der standardisierten Ports

 

[nogenius]

Ok, die Ports sind klar, danke.

Aber die Parallelen zur iptables Syntax hab ich mir bisher ehrlich gesagt nicht erschließen können. Könntest du mir einen Hinweis geben wie die einzelnen Teile sich auf die iptables beziehen?

Danke!