Benutzer VPN Fritzbox Zugang begrenzen

DoctorUltra

Mitglied
Mitglied seit
4 Aug 2005
Beiträge
611
Punkte für Reaktionen
0
Punkte
16
Hallo,

ich möchte einen Nutzer im Zugriff per VPN einschränken? Z. b. Zugriff auf IP Adressen?, d. h. ich möchte das dieser Benutzer nur auf bestimmte Rechner kommt?

Grüße
 
Pass dir einfach mal die Config an z.B. solltest so nur auf 192.168.178.25 und 192.168.178.75 kommen.

"permit ip 192.168.178.25 255.255.255.255 192.168.178.200 255.255.255.255",
"permit ip 192.168.178.75 255.255.255.255 192.168.178.200 255.255.255.255";
 
Wäre es dann so ok, wenn der Benutzer nur auf die 192.168.10.5 soll u. die IP 192.168.10.203 bekommt?

"permit ip 192.168.10.5 255.255.255.255 192.168.10.203 255.255.255.255",
"permit ip any 192.168.10.203 255.255.255.255";

Wie kann ich den vpn Zugang überhaupt testen?
 
Mit dem any erlaubste alles ;)

Geh in ein fremdes Netzwerk ggf. Mobilfunk und baue eine VPN Verbbindung auf z.b. mit Notebook, Smartphone ect. und probier es aus :)
 
Wie müsste dann der Eintrag lauten?
 
Wenn der VPU User die .201 bekommt dürfte er mit der Config nur auf die .5 und .203 kommen.

"permit ip 192.168.10.5 255.255.255.255 192.168.10.201 255.255.255.255",
"permit ip 192.168.10.203 255.255.255.255 192.168.10.201 255.255.255.255";
 
Wenn ich die geänderte Datei importieren möchte, dann kommt immer die Fehlermeldung "Der Import der VPN-Einstellungen ist fehlgeschlagen."?
 
Kannst die Config ja mal Posten ohne die Dyn DNS und Sharedkey ;-)
 
connections {
enabled = yes;
conn_type = conntype_user;
name = "xxx";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.10.203;
remoteid {
user_fqdn = "xxx";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = xxxx
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.10.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.10.203;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip 192.168.10.5 255.255.255.255 192.168.10.203 255.255.255.255";
}
 
Probier mal mit
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
 
Nein leider funktioniert das nicht?? Komisch
 
Sonst habe ich auch keine Idee :(
Evt muß in accesslist auch die FB selbst erlaubt werden z.B. so wenn die FB .1 hat.
"permit ip 192.168.10.5 255.255.255.255 192.168.10.201 255.255.255.255",
"permit ip 192.168.10.1 255.255.255.255 192.168.10.201 255.255.255.255";
 
kappt auch nicht wahrscheinlich funktioniert das mit der neuen Firmware nicht mehr?
 
Hallo,

ich hab auch ein Problem mit der Config für die Beschränkung des VPNs. Mein Szenario sieht so aus, dass meine FB (192.168.1.1) und die meines Cousins (192.168.2.1) via VPN verbunden sind. Jetzt will ich, dass er nur Zugriff auf die IP-Adresse meines Netzes (192.168.1.20) hat. Ich hab meine Config so angepasst:

Code:
 phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip 192.168.1.20 255.255.255.255 192.168.2.0 255.255.255.255";

Der Tunnel wird auch aufgebaut, nur kann ich auf nichts mehr aus seinem Netz zugreifen d.h. kein Pingen und gar nichts mehr möglich. Umgedreht das gleiche. Mach ich Die Accesslist wieder auf Standard funktionierts wieder. Wäre es auch möglich das ganze noch um einen TCP Port zu erweitern, dass ich z.B. sag er darf nur auf den Port 21 für FTP zugreifen?

Danke

MfG

Zündapp
 
Zuletzt bearbeitet:
Hallo Zusammen

Gibt es Neuigkeiten zu diesem Thema?

Habe ein VPN zwischen der heimischen FB7390 und der FB7170 im Geschäft meiner Frau aufgebaut. Der Geschäfts-PC macht täglich Backups auf das NAS im heimischen Netz. Zusätzlich greift sie mit ihrem Android Handy aus dem Firmennetz auf die Fotos auf demselben NAS zu.

Nach meine Verständnis müsste das wie folgt aussehen...

Heimnetz: 192.168.10.0
NAS 192.168.10.100

Firma: 192.168.11.0
PC: 192.168.11.102
Android Handy: 192.168.11.103

"permit ip 192.168.10.100 255.255.255.0 192.168.11.0 255.255.255.0";

Es soll also nur das NAS erreichbar sein, wobei mir die Quell IP im Firmennetz momentan eigentlich Schnuppe ist. Spiel ich das so zurück in die FB funktioniert die Verbindung zwischen den beiden Netzen leider gar nicht mehr. Mach ich einen Überlegungsfehler?

Danke für eure Unterstützung

Gruss

Dömer
 
Deine Subnetmaske passt nicht, erlaubst so ganze Subnet, nicht nur den NAS. Siehe Beispiel von mir in #12
 
Hat jemand Erfahrungswerte, was das Filtern von eingehenden Verbindungen über einen VPN-Tunnel (conntype_lan) angeht ?
Wenn ich z.B. möchte, daß das entfernte LAN hinter der weiteren Fritz!Box nur auf bestimmte Dienste (IPs / Ports) zugreifen darf, gibt es dafür accesslist-Einträge, die "erprobt" sind ?
DIE AVM-Dokumentation ist dazu ja sehr dürftig ;-)
 
Man sollte keinesfalls das Verhalten von "accesslist" mit einer Firewall verwechseln. Wenn man die Daten für ein entferntes Netz nicht mit einer "accesslist"-Regel in den Tunnel schickt, gehen die über "dev dsl" weiter in Richtung WAN und zwar unverschlüsselt. Der Effekt der "Nichterreichbarkeit" beruht also nur auf dieser "Fehlkonfiguration".

Es werden damit im Prinzip auch nur TCP-"Verbindungen" blockiert, denn UDP arbeitet nun einmal "verbindungslos" und man kann zwar auf der eigenen Seite einer VPN-Verbindung verhindern, daß die Antworten auf irgendwelche Pakete ihr Ziel auch erreichen, aber man kann auf diesem Weg nicht verhindern, daß beliebige IP-Pakete von der Gegenstelle im eigenen Netz auftauchen. Das ist nun mal kein Paket-Filter, das ist eine Auswahl, welche Pakete verschlüsselt und anschließend über den "Tunnel" zur Gegenstelle übertragen werden sollen.

Ob es so richtig gut ist, wenn die nicht zur Verschlüsselung ausgeleiteten Pakete anschließend bis zum nächsten Router auf der WAN-Strecke im Klartext übertragen werden, muß sicherlich auch jeder selbst beurteilen ... wer denkt, daß die die FRITZ!Box nie verlassen würden, dürfte sich (wenn AVM nichts geändert hat) schwer täuschen.
 
Kennt denn jemand eine Möglichkeit, eventuell über Zugriffslisten, wie zum Beispiel der Kindersicherung, den Zugang über das VPN zu begrenzen ?
Das wäre ja ein traumhaftes Feature ;-)
 
Wenn es nur bestimmte IP-Adressen sind, kannst du dir dein Routing in der VPN-Konfig bauen, mit Hostnamen geht das natürlich nur begrenzt, also wenn der DNS-Eintrag sich nicht ändert und nur einzelne IP-Adressen auflöst
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.