Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

Eigentlich müsste alles über VPN laufen, Zattoo merkt es aber beim registrieren. Irgendeine Idee?
Zattoo speichert das letzte "Aufenthaltsland" in Cookies. Also Zattoo-Cookies (oder alle Cookies) löschen und nochmal probieren.

Viele Grüße
buecke
 
Ich habe jetzt beide Möglichkeiten ausprobiert. Über die Fritz-Sw wird wohl der komplette Datenverkehr zum Inet getunnelt. Ich würde das Ganze aber lieber über Shrew laufen lassen. Nur welche Einstellungen muß ich da vornehmen? Vielleicht sehe ich auch vor lauter Bäumen hier den Wald nicht mehr :)
Weil eine Regel mit 0.0.0.0 0.0.0.0 wird ja von der SW nicht akzeptiert.

Schau dir mal Beitrag 60 in diesem Thread an.

Viele Grüße
buecke
 
Hallo Zusammen. Es gibt noch eine Möglichkeit den VPN zum laufen zu bekommen ohne sich gleich ein ganzes Supnetz zu verriegeln. Grundsätzlich kann man nur der entfernte Gateway nutzen wenn der DNS und VPN Dienst durch den Tunnel gesperrt sind. Mit VPN ist gemeint das man keine 2. VPN durch den 1. VPN Aufbauen kann. Das ganze sieht dann so aus.

Client FB verbindung.

Auf der Client Seite:

accesslist = "permit ip any 192.168.1.0 255.255.255.0", "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

Auf der FB:

accesslist = "permit ip 192.168.1.0 255.255.255.0 192.168.1.76 255.255.255.255", "permit ip any 192.168.1.76 255.255.255.255";

Der Vorteil: Man sperrt nicht mehr ganze Supnetze in denen sich der DNS Server befindet.
Eine FB - FB Verbindung habe ich noch nicht hinbekommen.

Mein Tip ist aber. Weck von IPsec. OpenVPN ist die bessere Wahl.
 
Zuletzt bearbeitet:
Hallo zusammen,
ich blicke da noch nicht ganz durch, was muss ich in die vpnuser.cfg schreiben, wenn ich zwei Ip-Ranges von meinem Provider bekomme.
Habe manchmal welche
92.225.xxx.xx
78.53.xx.xxx

Die fritz.cfg kann dann doch sicher wie im HowTo beschrieben so bleiben.

Besteht weiterhin die Möglichkeit dann im eigenen Netzt zu arbeiten oder verfällt diese dann und man wird nur durch den Router durchgeschleust?
Danke
 
Zuletzt bearbeitet:
Ich gehe mal davon aus, dass bei Dir das Szenario aus Beitrag #1 existiert?

Ich schaetze mal, Du in dem Fall beide Adressen in die cfg fuer den PC einfuegen musst, also
"deny ip any 82.83.0.0 255.255.0.0" mit "deny ip any 92.225.0.0 255.255.0.0", "deny ip any 78.53.0.0 255.255.0.0" ueberschreiben

Die cfg auf der FB sollte sich nicht aendern.

Versuchs doch einfach mal.
 
Zuletzt bearbeitet:
Wie kann ich den Zugriff auf die entfernte FritzBox abschalten?

Hallo, ich habe der Anleitung in Beitrag 1 gefolgt und alles klappt so weit. Die entfernte FritzBox steht bei einem Freund in Deutschland, ich selbst bin in Daenemark. Auf dem beschriebenen Wege erhalte ich eine "deutsche" IP.

Was meinem Freund nicht so gefaellt, ist, dass ich alle Clients in seinem lokalen Netzwerk 192.168.178.* sehen kann und auch seine FritzBox unter http://192.168.178.1 ansprechen kann.

Gibt es eine Moeglichkeit, dem VPN-Client nur Zugriff auf das entfernte Internet, aber nicht auf das entfernte lokale Netz zu geben? Ich habe zum Beispiel so etwas wie

accesslist = "deny tcp 192.168.178.1 255.255.255.255 any eq 80", "permit ip any 192.168.178.201 255.255.255.255";

auf der entfernten FritzBox versucht, damit ich zumindest das FritzBox-Menue auf Port 80 nicht mehr zu sehen bekomme. Allerdings hat das keine Wirkung.

Schreibe ich accesslist = "deny tcp 192.168.178.1 255.255.255.255 any", "permit ip any 192.168.178.201 255.255.255.255";

bekomme ich keinen Zugriff mehr, da auf 192.168.178.1 auch das entfernte Gateway liegt (vermute ich).

Habt Ihr eine Idee, wie ich meinen Freund beruhigen koennte? Es geht jetzt nicht darum, dass er das FritzBox-Menue mit einem Passwort schuetzt, ihm gefaellt nicht, dass ich mich mit der IP 192.168.178.201 in seinem lokalen Netzwerk herumtreibe.

Danke fuer Eure Vorschlaege.
 
Hej mrspeccy,

Gibt es eine Moeglichkeit, dem VPN-Client nur Zugriff auf das entfernte Internet, aber nicht auf das entfernte lokale Netz zu geben?

probiert doch mal auf der FRITZ!Box folgende cfg:
Code:
accesslist = "deny ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255", "permit ip any 192.168.178.201 255.255.255.255";

Kann aber sein, dass man dadurch wieder gar nicht mehr surfen kann...

Außerdem fällt mir noch folgende Lösung ein, falls die erste nicht funktionieren sollte:
Dein Freund ändert in seiner FRITZ!Box den Bereich des DHCP-Servers auf 192.168.178.65 bis 192.168.178.126 (kann dadurch maximal 62 IP-Adressen vergeben, aber das sollte wohl reichen).

Dann nehmt ihr folgende cfg für die FRITZ!Box:
Code:
accesslist = "deny ip 192.168.178.64 255.255.255.192 192.168.178.201 255.255.255.255", "permit ip any 192.168.178.201 255.255.255.255";
Damit sollte der Zugriff auf alle seine Rechner, die IPs per DHCP beziehen, nicht möglich sein. Du hast aber weiterhin Zugriff auf 192.168.178.1, falls der zum Surfen benötigt wird.

Im Übrigen sieht dein Freund immer deinen PC im Netz und kann ggf. auf freigegebene Ordner etc. zugreifen.

Viele Grüße
buecke
 
Zuletzt bearbeitet:
@ mrspeccy:
Eine Alternative waere ggf. Openvpn. Ich bin damit sehr zufrieden. Kannst Du ueber freetz, image (the construct) oder manuell (so hab ich es gemacht, per usb) auf beiden Boxen installieren. Waere das was fuer Dich, oder zu viel des Guten?
 
Hej DerLanWan!

[...]
Auf der Client Seite:
accesslist = "permit ip any 192.168.1.0 255.255.255.0", "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
Auf der FB:
accesslist = "permit ip 192.168.1.0 255.255.255.0 192.168.1.76 255.255.255.255", "permit ip any 192.168.1.76 255.255.255.255";
-15559[...]

Super Tipp, vielen Dank! Ich habe das bei meiner Konfiguration ausprobiert und es funktioniert prima. Zudem ist die Einrichtung natürlich viel einfacher, da man sich nicht um IP-Adressen der externen FRITZ!Box etc. kümmern muss. Ich werde meine Anleitung entsprechend anpassen.
Es geht aber noch einen kleinen Tick einfacher, als du geschrieben hast. Beim Client reicht folgende Zeile:
Code:
accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
Die Konfiguration auf der FRITZ!Box kann so bleiben, wie in meiner Anleitung beschrieben:
Code:
accesslist = "permit ip any 192.168.1.76 255.255.255.255";
Viele Grüße
buecke
 
Zuletzt bearbeitet von einem Moderator:
Wenn man jetzt noch den remoten DNS benutzen könnte wäre es perfekt, aber das ist ja leider ausgeschlossen...
 
Hej!

Dadurch kann man z.B. im Ausland Streams von einigen deutschen TV-Sendern sehen, die sonst mit dem Hinweis "in deinem Land nicht verfügbar" nicht funktionieren.

buecke

Bin auch gerade im Ausland und habe nach Deiner Anleitung alles erfolgreich installiert. Zattoo klappt dank deutscher IP auch, aber die Übertragung ist nicht flüssig und lädt alle paar Sekunden ständig neu. Liegt das an meiner Box zu Hause?

Ein Zugriff auf meine Box ist bei dieser modifizierten Variante auch nicht mehr möglich. Bei der normalen Erstellung der *.cfg Dateien hingegen schon. Hat einer eine Erklärung für so etwas?

mankmill
 
mankmill schrieb:
Liegt das an meiner Box zu Hause?
Vielleicht eher am Upload des dazugehörigen DSL-Anschlusses, denn der dürfte das Nadelöhr in dieser Betriebsart sein, wenn die Box nicht duch sonstiges Routing belastet ist. Daran wirst Du wohl auch kaum was ändern können.

Gruß Telefonmännchen
 
Wenn man jetzt noch den remoten DNS benutzen könnte wäre es perfekt, aber das ist ja leider ausgeschlossen...

Ja um die IP deiner Fritzbox zu bekommen brauchst Du den lokalen DNS noch.
Aber wenn Du die IP Adresse im Client als 99.88.... angibst, dann ist doch der locale DNS überflüssig, oder?
 
Mal ne andre frage in dem zusammenhang: kennt jemand eine gute methode, die fritzbox conf *upzudaten* statt neu zu schreiben, wenn man z.b. einen neuen user hinzufuegen moechte?

Gruss
Chris
 
das würde mich auch interessieren. Ich glaub, man muss es per Hand machen (zusammenkopieren).

Ich habe mal das Thema "Mit Shrew gesamten Internetverkehr über das VPN leiten" hierhin ausgelagert: http://www.ip-phone-forum.de/showthread.php?p=1432149 - kann mir da jemand helfen?

Gruß,
Pfeffer.
 
Inzwischen habe ich es selbst geschafft:
Für alle die, die statt des AVM-Fernzugangsprogramms Shrew benutzen wollen oder müssen (bei mir läuft der AVM-VPN-Client nicht), habe ich hier ( http://www.ip-phone-forum.de/showpost.php?p=1434042&postcount=12 ) eine Anleitung für Shrew unter Windows erstellt, die zeigt, wie man mittels Shrew den gesamten Internetverkehr über den VPN-Tunnel leiten kann.

Gruß,
Pfeffer.
 
Fettes Lob

mal zwischendurch nicht verkehrt? :groesste: @buecke und restlichen Helferlein hier!
Als eher DAU das im 2.ten Hieb dann problemlos hinbekommen auf entfernter

1. FB7270
2. Gefritzer W701V-Annex A (worüber ich gerade schreibe)

Anfänger-Fehler 1. Heimischer Box -7240- vergessen ne andere IP als 192.168.178.1 zu verpassen! (die beiden anderen haben dieselbe!)
-Anmerkung: Für Fritz!Vox die IP in der registry anpassen.-

Fehler 2. Die config via VPN (Box1) versuchen über Fernzugriff auf die entfernte Box 2 zu schieben? ... könnte auch sein, dass ich mit meinem "crimson"-editor zuviele Screens offen hatte?

Besser über eigene I-Net-Verbindung und https-Fernzugriff hochschieben ... und bei dem typischen Lost (im Browser ... bei mir Firefox) der Verbindung auf "Neuladen".

Egal jetzt läufts rund :huhu:

LG
 
Zuletzt bearbeitet:
Hi,

danke für das Howto, funktioniert echt super!

Aber: Werden jetzt wirklich alle Internetanfragen über das VPN geleitet - wie sieht es bspw. mit DNS-Anfragen aus?

Warum wird mir bei Vertippern (http://www.xyxyxyxyxyxyxy.de/) weiterhin die Fehlerseite des WLANs (Kabel Deutschland) und nicht die von meinem Provider (T-Online) angezeigt?

THX & CU
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,386
Beiträge
2,251,243
Mitglieder
374,050
Neuestes Mitglied
SmartITECH
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.