VPN Client-LAN-Kopplung zu Lancom-Router?

[Helmi82]

Hi,

ich möchte gerne eine VPN-Verbindung von meiner Fritzbox 7170 zuhause mit einem Lancom-Router in unserem Firmennetz aufbauen.

Hierzu habe ich in dem AVM-VPN-Portal auch folgende ausführliche Anleitung gefunden:
http://www.avm.de/de/Service/Servic...l/VPN_Interoperabilitaet/15107.php?portal=VPN

1) Meine Frage ist jetzt nur, ob es nicht auch möglich wäre, von zu Hause aus eine Client-LAN-Kopplung zu erstellen. Der Rückweg wird ja eigentlich nicht benötigt und somit würde ich mir z.B. das Einrichten der Dyndns-Adresse sparen. Falls ja, welche Änderungen wären bei der Konfiguration zu beachten?

2) Sind meine Netzwerkgeräte bei dieser Variante auch alle im Firmennetz sichtbar oder gibt es hier Unterschiede zur LAN-LAN-Kopplung wie in dem Link beschrieben?

MfG,
Helmi

 

[frank_m24]

Hallo,

Meine Frage ist jetzt nur, ob es nicht auch möglich wäre, von zu Hause aus eine Client-LAN-Kopplung zu erstellen.

Klar. Du brauchst einfach nur einen VPN Client für LANCOM Router. Das geht aber nicht mit Fritzboxen oder AVM Software.

Sind meine Netzwerkgeräte bei dieser Variante auch alle im Firmennetz sichtbar oder gibt es hier Unterschiede zur LAN-LAN-Kopplung wie in dem Link beschrieben?

Bei einer Client-LAN Verbindung taucht natürlich nur der Rechner im fremden LAN auf, auf dem der VPN Client läuft.

 

[Helmi82]

Hi,

1) Ich wollte die VPN-Verbindung schon direkt mit der Fritzbox erstellen. Mich verwirrt nur ein bißchen, dass es im VPN-Portal Beispiele für Client-LAN-Kopplung mit anderen Routern gibt. Deswegen meine Frage, ob das für Lancom nicht auch möglich wäre.

http://www.avm.de/de/Service/Servic...eroperabilitaet/box_zu_bintecvpnaccess100.php
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interoperabilitaet/box_zu_cisco.php

2) D.h. sobald meine Fritzbox die VPN-Verbindung zum Lancom-Router aufgebaut hat, wäre die Sichtbarkeit aber dieselbe wie bei der LAN-LAN-Kopplung? Der Unetrscheid ist dann nur, dass der Lancom-Router die Verbindung nicht eigenständig aufbauen kann, korrekt?

3) Kann ich bei der Verbindung zu einem "fremden" Router denn das werkseitig eingestellte IP-Netz 192.168.178.0 verwenden oder ist das fürs VPN mit der Fritzbox generell nicht zu gebrauchen? Denn bei der Verbindung zweier Fritzboxen darf es ja nicht verwendet werden.

MfG,
Helmi

 

[frank_m24]

Hallo,

versuche doch einfach mal, den conn_type umzustellen und sieh, was passiert.

 

[Helmi82]

In den Beispielen für die anderen Router steht aber doch auch "conn_type=conntype_lan" drin. Es unterscheidet sich ja eigentlich nur der Abschnitt mit der "localid" und "remoteid" fehlt komplett.

http://www.avm.de/de/Service/Servic...ges/Redaktionelle_Grafiken/vpn/bintec_box.pdf

Aber mir ist der Unterscheid bzgl. der Sichtbarkeit bei der CLient-LAN-Kopplung noch nicht ganz klar. Wenn ja doch alle meine Netzwerkgeräte im Firemennetz sichtbar sind nachdem ich die Verbindung aufgebaut habe, dann wärs ja auch egal. Oder kann ich die Sichtbarkeit für die Rückroute irgendwie in der Config steuern?

 

[frank_m24]

Hallo,

mag sein, dass man da über die Access-Listen was steuern kann. Schränke doch einfach mal die Access-List auf deiner Seite auf einen Host ein.

 

[Helmi82]

Hi,

ich habe die Verbindung jetzt soweit hinbekommen. Aber die Bedeutung der access list ist mir noch nicht ganz klar.

accesslist = "permit ip any 192.168.1.0 255.255.255.0";

Bedeuted "any" in diesem Fall, dass jeder Host aus meinem Netz Zugriff auf das komplette Remotenetz hat oder dass jeder aus dem Remotenetz Zugriff auf mein komplettes lokales Netz hat?

Ich würde nämlich gerne den eingehenden Verkehr z.B. auf mein Gateway beschränken. Nach aussen möchte aber vollen Zugriff haben, sofern es natürlich die Remoteseite erlaubt.

 

[pfeffer]

Die Sache ist die: Auf IP-Ebene kann man nicht erkennen, wer die Anfrage gestellt hat. Es gibt nur Pakete mit Quell- und Ziel-IP.
nach permit kommt erst das quell-Netz und dann das Zielnetz.
Das bedeutet in Deinem Fall, dass alle IP-Pakete mit dem Ziel 192.168.1.0 255.255.255.0 durchgelassen werden. Ob das Antorten auf Anfragen von 192.168.1.x sind oder Anfragen aus einem anderen Netz, kann auf IP-Ebene nicht festgestellt werden. Dafür bräuchte man ein statefull firewall.

Gruß,
Pfeffer.

 

[Helmi82]

accesslist = "permit ip any 192.168.1.181 255.255.255.255";

Dann würde die obere Zeile doch eigentlich bedeuten, dass ich nur noch auf die 192.168.1.181 aus dem Remotenetz zugreifen kann und auch nur noch dieser Host auf mein komplettes Netz zugreifen kann?

Aber wenn ich die Einstellungen importiere, dann wird gar kein Tunnel mehr aufgebaut. Muss das auf der Gegenseite dann auch genauso konfiguriert werden?

 

[frank_m24]

Hallo,

die beiden Seiten müssen natürlich zueinander passen. In den Subnetzinformationen verstecken sich unter Umständen auch Teile der Authentifizierungsinformationen für Phase 2.

 

[Helmi82]

Ok, dann wird's wohl daran liegen. Und wie kann ich den Zugriff auf einzelne Rechner in meinem Netz sperren?

accesslist = "deny ip 192.168.178.21 255.255.255.255 192.168.1.0 255.255.255.0", "permit ip any 192.168.1.0 255.255.255.0";

Der Abschnitt würde doch schon das komplette Remotenetz für mich sperren, weil sich "deny" ja dann sowohl auf das Quell- als auch auf das Zielnetz auswirkt, oder? Aber eigentlich will ich ja nur angeben, dass der Host 192.168.178.21 ausgeschlossen werden soll.