VPN 3270->7270 (IP accesslist?)

[iphone10]

Hallo zusammen,

ich habe heute Nacht ein VPN gebastelt zwischen zwei FritzBoxen.
FB1: 192.168.177.1
FB2: 192.168.179.1
Das Problem ist, ich möchte von der FB2 nur auf die IP-Adressen 192.168.179.10 (Drucker) und auf die 192.168.179.1 (FritzBox für Wartung) zu greifen können.

Aus dem anderen Netz 192.168.179.1 möchte ich nur auf die Fritzbox (192.168.177.1) zu greifen können. => NUR optional - wichtiger ist das andere

Wie stellt man dies am besten an?

Danke schonmal!

Configs: FB1

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "FB2";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "FB2";
                localid {
                        fqdn = "FB1";
                }
                remoteid {
                        fqdn = "FB2";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "asdasdasd";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.179.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.177.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.177.0 255.255.255.0";
        }

Fritzbox 2:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "FB1";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "FB1";
                localid {
                        fqdn = "FB2";
                }
                remoteid {
                        fqdn = "FB1";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "asdasd";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.177.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.179.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.179.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

 

[Thomas87]

FB1:
accesslist = "permit ip 192.168.177.1 255.255.255.255";

FB2:
accesslist = "permit ip 192.168.179.1 255.255.255.255";
accesslist = "permit ip 192.168.179.10 255.255.255.255";


weil
accesslist = "permit ip any 192.168.177.0 255.255.255.0";
erlaubt ja den zugriff auf alle Geräte in 192.168.177.*
was das any genau bedeutet weiss ich auch nicht,villeicht muss es auch da stehen..

 

[iphone10]

Genau, geht net - habe folgendes probiert

FB2:

accesslist = "permit ip 192.168.179.1 255.255.255.255";
accesslist = "permit ip 192.168.179.10 255.255.255.255";

UND

accesslist = "permit ip 192.168.179.1 255.255.255.255", "permit ip 192.168.179.10 255.255.255.255";

UND
accesslist = "permit ip 192.168.179.1 255.255.255.255 192.168.179.10 255.255.255.255";

geht aber alles nicht.

 

[neonnt]

hi
genau nach so etwas hab ich gesucht

@ iphone10
hast du inzwischen eine lösung für das problem gefunden?

 

[PCMor]

FB1, Netz 192.168.179.0/24:

accesslist = permit ip any 192.168.177.1 255.255.255.255;

Damit kommst du von jedem Rechner (any) per IP-Layer im 179er Netz nur auf die .177.1.


FB2, Netz 192.168.177.0/24:

accesslist = permit ip any 192.168.179.1 255.255.255.255,
                   permit ip any 192.168.179.10 255.255.255.255;

So kommt wiederum jeder Rechner aus dem 177er-Netz nur auf die .179.1 und die .179.10.

 

[neonnt]

also ich geh jetzt nur mal von der 2. fb aus

accesslist = "permit ip any 192.168.179.1 255.255.255.0, permit ip any 192.168.179.10 255.255.255.0";

stimmt diese schreibweise so?

 

[PCMor]

Ahoi,

yepp, so geht's auch [EDIT] STOP! Bei einer eindeutigen Maschinen-IP, also hier die 1 oder die 10 im vierten Oktett, MUSS die Netzmaske = 32, also 255.255.255.255 sein! Du willst eine einzelne IP gezielt ansprechen, da gibbet keine Subnetze mehr... [/EDIT] - wobei es nicht nötig ist, die Accesslist in einer Zeile zu schreiben: der Parser der FB wird beim Importieren ohnehin eine lesbare Form wählen, also nach jedem Komma in der Accesslist einen Zeilenumbruch einfügen und erst nach dem Semikolon das Ende der Accesslist interpretieren.

Kann man selbst nachvollziehen: einfach mal 'ne Accesslist mit mehreren Einträgen in die FB importieren, ohne die Komma-getrennten Einträge durch Zeilenumbrüche zu trennen, dann eine Sicherung der Einstellungen machen, die so erzeugte Datei mit einem (vernünftigen) Editor öffnen, dort so ziemlich ans Ende der Datei wandern (dort steht der Bereich der vpn.cfg) - und sich überzeugen.

Der FB-Parser ist nebenbei sehr schmerzfrei: bei bspw. zwei aufeinanderfolgenden Zeilen, die mit "accesslist = " beginnen und mit einem Semikolon enden, wird nicht etwa ein Fehler produziert und der Import der Config abgebrochen, sondern einfach die zuletzt gelesene plausible Zeile importiert.

Kann man auch selbst austesten

 

[neonnt]

danek dir

 

[PsychoMantis]

Lässt sich

                accesslist = "permit ip any 192.168.178.0 255.255.255.0",
                            "reject udp any any eq 53", 
                            "reject udp any any eq 500", 
                            "reject udp any any eq 4500", 
                            "permit ip 192.168.175.30 255.255.255.255 any",
                            "permit ip 192.168.175.31 255.255.255.255 any",
                            "permit ip 192.168.175.32 255.255.255.255 any",
                            "permit ip 192.168.175.33 255.255.255.255 any",
                                            ...
                            "permit ip 192.168.175.67 255.255.255.255 any",
                            "permit ip 192.168.175.68 255.255.255.255 any",
                            "permit ip 192.168.175.69 255.255.255.255 any",
                            "permit ip 192.168.175.70 255.255.255.255 any";

irgendwie kürzer schreiben?

 

[thtomate12]

Ungetestete Konfiguration von einem Ahnungslosen:
192.168.175.30 255.255.255.255
192.168.175.31 255.255.255.255
192.168.175.32 255.255.255.224
192.168.175.64 255.255.255.252
192.168.175.68 255.255.255.255
192.168.175.69 255.255.255.255
192.168.175.70 255.255.255.255

(Ja, es gibt noch mehr Optimierungsportenzial, aber das ist unheimlich.)