[Frage] VPN, IP Bereich Zugriff einschränken, blockieren, VPN soll nur in eine Richtung funktionieren

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
fiberbox

fiberbox

Neuer User
Mitglied seit
26 Apr 2007
Beiträge
66
Punkte für Reaktionen
2
Punkte
8
Hallo,

VPN funktioniert wechselseitig, alles OK.

Ich möchte, dass die entfernte Box den kompletten Zugriff auf meinen IP-Bereich blockiert bekommt. Natürlich möchte ich den kompletten Zugriff auf das entfernte Netz behalten.
Ich darf alles, mein gegenüber darf nichts!

Ich habe schon probiert mit:
accesslist = "deny ip...

Das hat aber alle nicht funktioniert.

Vielen Dank
 
Wir reden über IPSec und nicht über Wireguard, richtig?
fiberbox schrieb:
Das hat aber alle nicht funktioniert.
Zum Vergrößern anklicken....
Was genau hat denn nicht funktioniert? Keine Verbindung mehr? Oder war der Zugriff trotzdem möglich? Es macht vermutlich Sinn, wenn du die Konfigurationen vollständig postest.
 
IPSec

Die Verbindung kommt immer zustande! Ich hatte mit "deny ip" entweder wechselseitig keinen Zugriff mehr, oder eben wechselseitig vollen Zugriff.

Es soll kein Zugriff von 192.168.yyy.0 auf meinen IP-Bereich 192.168.xxx.0 möglich sein!

Was für eine Regel muss unter "accesslist =" definiert werden?

Code: 
vpncfg {
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "name";
                boxuser_id = 0;
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "name.dyn";
                keepalive_ip = 192.168.yyy.1;
                localid {
                        key_id = "123";
                }
                remoteid {
                        fqdn = "name.dyn";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "123";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.xxx.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.yyy.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.yyy.0 255.255.255.0";
                app_id = 0;
        }
}


// EOF
 
Zuletzt bearbeitet:
Das hier kennst du? Ist nicht ganz exakt dein Anwendungsfall, daraus sollte sich aber ggf. was machen lassen.

[Gelöst] - VPN-Tunnel für Internet Traffic ohne Zugriff aufs LAN

Hallo, ich würde gern für ein paar Geräte (Smartphone, Tablet, ..) einen VPN Tunnel konfigurieren, der außschließlich Zugriff aufs Internet erlaubt, um den Traffic in WLAN Hotspots von Hotels etc. zu verschlüsseln. Über den VPN Tunnel soll kein Zugriff aus das interne Netzwerk möglich sein...
www.ip-phone-forum.de www.ip-phone-forum.de

Generell solltest du aber folgendes bedenken: Du willst ja von einem (oder mehreren) Rechnern aus deinem Heimnetz auf das Remote Netz zugreifen. Da ist kein NAT oder so dazwischen. Wenn du nun auf der Gegenseite den Datenverkehr mit deinem lokalen Subnetz komplett sperrst, dann wars das mit dem Zugriff.

Wie gesagt, möglicherweise macht es Sinn, die Konfiguration beider Seiten mal zu posten.
 
Zuletzt bearbeitet:
Dann hast du verloren. Die Einschränkung musst du definitiv auf der anderen Seite machen.
 
frank_m24 schrieb:
Wir reden über IPSec und nicht über Wireguard, richtig?
Zum Vergrößern anklicken....

Hallo, dann reden wir mal über Wireguard und "Ich kann nur auf meiner Seite was ändern!"

Der/Die WG Client(s) verbindet sich zu mir. Ich bin der Server! Kann ich mit WG auf Fritz (Serverseitig) ankommenden Traffic (reject / deny) durch einen Eintrag in der wg_conf beeinflussen? Reichen würde es auch, den erlaubten "incoming traffic" auf eine IP (vom client) zu beschränken.

Vielen Dank
 
fiberbox schrieb:
Kann ich mit WG auf Fritz (Serverseitig) ankommenden Traffic (reject / deny) durch einen Eintrag in der wg_conf beeinflussen?
Zum Vergrößern anklicken....
Nein. Bei Wireguard wird ausschließlich über die Allowed IPs in den Client Konfigurationen festgelegt, welchen Traffic die Boxen übers VPN schicken.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 159 (Mitglieder: 4, Gäste: 155)

Neueste Beiträge

Statistik des Forums

Themen
245,083
Beiträge
2,223,979
Mitglieder
371,900
Neuestes Mitglied
technic1711
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück