Frage zu VPN + Accesslist

[eroj]

Hallo zusammen,

ich brauche mal eure Hilfe bezüglich der Konfiguration der VPN Accesslisten.
Vorab, mein Aufbau sieht derzeit wie folgt aus:

Fritzbox 1 (Zentrale):
- IP-Netz: 192.168.181.0/24

Fritzbox 2:
- IP-Netz: 192.168.182.0/24

Fritzbox 3:
- IP-Netz: 192.168.183.0/24

Die VPN Verbindungen untereinander sehen momentan wie folgt aus:

Zentrale:
<- Fritzbox 2
<- Fritzbox 3

Fritzbox 2 <--> Zentrale

Fritzbox 3 <--> Zentrale

Mein Problem ist nun, dass ich aus dem Fritzbox 3 Netz nur 2 IP's erlauben möchte, auf zwei bestimmte IP-Adresse zuzugreifen.

So sollen die IP's:

- 192.168.183.4
- 192.168.183.66

beide auf die IP-Adresse 192.168.181.4 zugreifen können. Die 192.168.183.66 zudem noch auf die 192.168.181.1
Aus dem Netz der Zentrale (192.168.181.0/24) sollen ALLE IP-Adressen auf ALLE IP-Adressen des Netzes 192.168.183.0/24 zugreifen können.

Hier mal der aktuelle Auszug aus der Fritzbox 1 für das Netz der Fritzbox 3:

accesslist = "permit ip any 192.168.183.0 255.255.255.0";

Der Auszug der Accesslist der Fritzbox 3:

accesslist = "permit ip 192.168.183.4 255.255.255.255 192.168.181.4 255.255.255.255",
"permit ip 192.168.183.66 255.255.255.255 192.168.181.4 255.255.255.255";

So habe ich es zu mindestens hinbekommen, dass die IP-Adressen 183.4 und 183.66 nur auf die .181.4 zugreifen können.
Was jedoch nicht funktioniert ist, dass ich aus dem Netz 192.168.181.0/24 (Fritzbox 1) auf das Netz der Fritzbox 3 (192.168.183.0/24) zugreifen kann.
Hier kann aktuell lediglich die IP-Adresse 192.168.181.4 auf die IP-Adresse 192.168.183.4 zugreifen.
Ich vermute an dieser Stelle, dass das mit dem Limitierungen auf Seite der Fritzbox 3 zu tun hat.

Daher die Frage, wie ich das ganze einrichten muss, damit es funktioniert.

Gruß & Vielen Dank im Voraus.

 

[jtboss]

Mit der Beschränkung der Accessliste der 3. Fritzbox auf die beiden IP-Adressen hast Du zwar festgelegt, dass diese auf die Zentrale zugreifen können. Aber es dürfen hat nur IP-Pakete von diesen beiden IP-Adressen durch die VPN der 3. Fritzbox.
Es würden IP-Pakete von der Zentrale (181) bei allen Rechnern des 183er Netz ankommen, aber die Antworten würden nur von den 2 eingetragenen IPs zurück durch die VPN geroutet. Der Rest wird vom 3. Router übers Standard-Gateway versucht weiter zu geben, wo Sie aber verloren gehen, weil das private Netz nicht im Internet geroutet wird.

Würde mal sagen, du brauchst eine Firewall. Nur Routing reicht nicht.

 

[matthias1984]

Nach http://blog.schmidt.ps/2007/05/30/die-interne-fritzbox-stateful-firewall/ könnte es folgendermaßen funktionieren.

Zugriffsregeln in der FritzBox 1 für FritzBox 3:

accesslist = "permit ip 192.168.181.0 255.255.255.0 192.168.183.0 255.255.255.0 connection outgoing-related",
                 "permit ip 192.168.181.4 255.255.255.255 192.168.183.4 255.255.255.255",
                 "permit ip 192.168.181.4 255.255.255.255 192.168.183.66 255.255.255.255",
                 "permit ip 192.168.181.1 255.255.255.255 192.168.183.66 255.255.255.255";

Zugriffsregeln in der FritzBox 3:

accesslist = "permit ip 192.168.183.0 255.255.255.0 192.168.181.0 255.255.255.0 connection incoming-related",
                 "permit ip 192.168.183.4 255.255.255.255 192.168.181.4 255.255.255.255",
                 "permit ip 192.168.183.66 255.255.255.255 192.168.181.4 255.255.255.255",
                 "permit ip 192.168.183.66 255.255.255.255 192.168.181.1 255.255.255.255";