[Frage] Internetverkehr nur für gewisse Geräte tunneln (VPN)

[michel126]

Hallo,

ich habe bereits eine stabile VPN Verbindung zwischen 2 Fritz!Boxen (Standardeinrichtung Fritz VPN).

Besteht die Möglichkeit, dass gewisse Geräte nur über den VPN-Tunnel über die andere Fritz!Box auf das Internet zugreifen können?
Kann man das einstellen, beispielsweise anhand von festen IP- oder MAC-Adressen?

Viele Grüße
michel

 

[PsychoMantis]

Ja, das geht. Genau das praktiziere ich seit Jahren so.
Master-Fritzbox (mit der IP dieser Fritzbox sind ausgewählte Clients der anderen Fritzbox im Internet unterwegs):

vpncfg {
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "Waldemar";						// Name
                boxuser_id = 0;
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "waldi259.selfhost.tv";		// entfernte dyndns
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "eigenedyn53el5436fs.myfritz.net"; // Eigene dyndns
                }
                remoteid {
                        fqdn = "waldi259.selfhost.tv";		// entfernte dyndns (client)
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "sdf6s4*strenggeheim";			// Key bzw. Passwort
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;	// IP-Netzwerk der Master-Box
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.175.0;  // IP-Netzwerk der entfernten Box
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.175.0 255.255.255.0";
        } 
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Das war jetzt noch nichts besonderes. So sieht die Config eigentlich immer aus.

Client-Fritzbox (an dieser hängt das Gerät, welches mit der IP der Master-Fritzbox im Internet unterwegs sein soll):

vpncfg {
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "Alex";
                boxuser_id = 0;
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "eigenedyn53el5436fs.myfritz.net";
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "waldi259.selfhost.tv";
                }
                remoteid {
                        fqdn = "eigenedyn53el5436fs.myfritz.net";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "sdf6s4*strenggeheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.175.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0", 
                             "reject udp any any eq 53", 
                             "reject udp any any eq 500", 
                             "reject udp any any eq 4500", 
                             "permit ip 192.168.175.50 255.255.255.255 any";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Auch das ist fast nichts besonderes. Das mit der accesslist sorgt dafür, dass nur bestimmte IPs über den Tunnel surfen.
Hier sehen wir die IP 192.168.175.50. Nur das Gerät mit dieser IP wird über den VPN-Tunnel im Internet surfen. Also entweder vergibt man für das bestimmte Gerät eine statische IP oder mit ganz normalen Fritzbox-Boardmitteln stellt man ein, dass das bestimmte Gerät (MAC-Adresse) diese eine IP über DHCP bekommt. Restliche Clients surfen ganz normal im Internet. Ist der VPN-Tunnel down, ist das bestimmte Gerät offline (er geht nicht mit der IP der Client-Box ins Internet).