[Frage] Callmonitor per VPN

[duffy6]

Hallo zusammen,

ich habe eine remote-Fritzbox 7490 mit v7.29 (192.168.178.1), die per Fritzbox-LAN-CLIENT-IP_SEC-VPN (also NICHT LAN-LAN-Kopplung) an meine local-Fritzbox (192.168.133.1) angebunden bist:

https://avm.de/service/vpn/fritzbox-mit-einem-firmen-ipsec-vpn-verbinden/

Ich möchte auf der Fritzbox per Telnetbefehl den Callmonitor beobachten:

telnet <fritzbox_local_ip> 1012

Das klappt auf meiner lokalen Fritzbox wunderbar, d.h. ich erhalte folgende Meldung bei eingehenden Anrufen:

01.12.23 11:19:35;RING;0;0621XXXXX;93XXXX;SIP3;
01.12.23 11:19:37;DISCONNECT;0;0;

Allerdings erkennt der selbe Aufruf des Befehls für die remote-fritzbox keinerlei Anrufe:

telnet <fritzbox_remote_ip> 1012

Habe ich einen Denkfehler? Irgendwas vergessen?

Viele Grüße
duffy6

 

[koyaanisqatsi]

Moin


Wurde der Callmonitor denn auch aktiviert?
Das geht mit Telefoncode und wird in Diagnose > Sicherheit angezeigt.

 

[duffy6]

Das habe ich vergessen zu erwähnen, guter Hinweis.
Ja, auf der Remote FRITZ!Box ist der Call Monitor auch aktiviert und klappt dort auch, wenn man ihn lokal startet.

 

[PeterPawn]

Bei dieser Art von VPN-Verbindung (mit conntype_out in der Konfiguration) verwendet die FRITZ!Box ihrerseits NAT, um das gesamte lokale Netz auf die eine IP-Adresse, die sie vom Einwahlserver erhält, zu mappen. Daher sind dabei EINGEHENDE Verbindungen aus dem per VPN verbundenen Netz auf die FRITZ!Box (EDIT: oder auch auf das hinter der Box liegende LAN) auch nicht möglich ... und das wäre hier eine solche, wenn ich das Anlliegen richtig verstehe.

 

[chrsto]

remote-Fritzbox 7490 mit v7.29

Irgendwas vergessen?

Ja, das Firmwareupdate. Aufgrund einer Sicherheitslücke solltest du das schnellstmöglich nachholen.

 

[duffy6]

Ohja, das habe ich gleich upgedatet. Danke für den Hinweis!

Zurück zur Callmonitor-Frage:
Kann ich das Problem evtl. anderweitig löse, indem ich eine statische Route einrichte?

 

[duffy6]

Ich habe nun eine sonderbare Erfahrung gemacht:

Obwohl ich keine statische Route o.Ä. definiert habe, bekomme ich manchmal Anrufe mit dem Callmonitor (Aufruf auf der lokalen Maschine mit Ziel-IP der Remote-Fritzbox; also wie oben beschrieben) angezeigt:

telnet <fritzbox_remote_ip> 1012
06.12.23 13:15:45;RING;0;0621XXXXX;93XXXX;SIP3;
06.12.23 13:15:49;DISCONNECT;0;0;

Aber eben nur manchmal! Wie ist denn sowas erklärbar?

 

[PeterPawn]

Wie ist denn sowas erklärbar?

Eigentlich gar nicht - oder die von Dir in #1 beschriebenen Rahmenbedingungen stimmen nicht (mehr).

 

[duffy6]

Ich habe die remote-Fritzbox 7490 mittlerweile auf v7.57 upgedatet, aber ansonsten ist alles beim Alten.
Seeeehr komisch...

 

[PeterPawn]

Eigentlich sollten - wie oben geschrieben - KEINERLEI Dienste bei dieser Form des VPN erreichbar sein aus der per VPN verbundenen Site.

Denn das können ja durchaus auch "potentiell feindliche" Netze sein, sei es nun tatsächlich das "Firmennetzwerk" (auch da will man ja sicherlich nicht, daß jemand von dort auf die eigene FRITZ!Box zugreifen kann) oder auch irgendein kommerzieller VPN-Anbieter (mit IPSec-Einwahl).

Wenn da WIRKLICH ein Zugriff (eingehend aus dem VPN) möglich sein sollte und das erst mit der 07.57 Einzug hielt, halte ich das für einen Fehler/Bug. Wie sieht es denn aus, wenn man (auf demselben Weg) das (lokale) GUI der entfernten Box aufrufen will?

Das sollte ja ebenfalls nicht funktionieren - selbst wenn inzwischen die ungesicherte Benutzung des GUI nicht länger unterstützt wird. Schon die Anzeige der vorhandenen Benutzer im FRITZ!OS wäre ein "Datenleck", wenn das aus einem entfernten Netz, das per VPN als "Firmennetzwerk" verbunden ist, erreichbar sein sollte.