VPN "LAN-LAN-Kopplung" ohne MyFritz: Eine Seite hat feste IP, die andere nicht

Loc2263

Neuer User
Mitglied seit
3 Mrz 2016
Beiträge
51
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen!

Ja ich weiß, dieses Thema gabs bestimmt schon des öfteren. Daher würde ein Link zu einem passenden Thread dicke genügen! ;)

Ich möchte zwei Fritzboxen 7490 per LAN-LAN-Kopplung verbinden. Beide hängen an DSL-Anschlüssen mit öffentlicher WAN-IP. Box A hat eine feste WAN-IP, Box B nicht. Die Verbindung soll dauerhaft gehalten werden, Box B soll dazu immer Box A kontaktieren. Wenn möglich möchte ich daher ohne "MyFritz" oder vergleichbare DynDNS-Dienste auskommen, das sollte ja durch die feste IP nicht nötig sein.

Der VPN-Assistent möchte aber für beide Seiten eine "Internet-Adresse" eingetragen haben. Ich verstehe mein Querlesen im Forum so, daß diese nicht nur zur Kontaktaufnahme, sondern auch als Identifikation beim VPN-Aufbau verwendet wird?

Sprich bei Box B trage ich die feste IP von Box A ein. Was sollte ich bei Box A dort eintragen?

Besten Dank für Infos!
 
Suche Dir Bsp. heraus, wo -hier bei Dir FB B- aus einem Mobilfunknetz, DS-Lite usw. (private IP) Initiator spielt.
LG
 
Könnte jemand ein passendes Beispiel verlinken? Ich finde bei der Suche nur Threads, in denen die VPN-Konfigurationsdatei geändert wird. Dies möchte ich vermeiden und nur den Assistenten in der FB-Weboberfläche benutzen.

Anschlußfrage: Ich möchte die betreffende FB für keinerlei Zugänge von außen - abgesehen natürlich von VPN - freigeben. Wenn ich ein MyFritz-Konto registriere, und die entsprechenden Einstellungen unter "Internet / Freigaben / Fritzbox-Dienste" abgeschaltet lasse, ist dies gewährleistet? Gibt es noch woanders Checkboxen, auf die ich achten muß, damit außer VPN nichts von außen zugreifen kann?
 
Moin

Siehe: DIAGNOSE->SICHERHEIT->FRITZ!BOX-DIENSTE
Ohne eingerichtete Telefonie verschwinden auch die SIP/RTP Freigaben.

Internet->Zugangsdaten->Anbieter-Dienste
Screenshot_2017-03-23-14-07-19.png
Alles deaktivieren schliesst den "TR-069 Portknocking Port".
 
Zuletzt bearbeitet:
...Ich finde bei der Suche nur Threads, in denen die VPN-Konfigurationsdatei geändert wird. Dies möchte ich vermeiden und nur den Assistenten in der FB-Weboberfläche benutzen.

Das geht imho über das GUI bei LAN2LAN ohne selbstzimmern, FB-Editor o.ä. nicht. Sonst verwende die Option mit einem Firmen-VPN-Verbinden.

Anschlußfrage: Ich möchte die betreffende FB für keinerlei Zugänge von außen - abgesehen natürlich von VPN - freigeben. Wenn ich ein MyFritz-Konto registriere, und die entsprechenden Einstellungen unter "Internet / Freigaben / Fritzbox-Dienste" abgeschaltet lasse, ist dies gewährleistet? Gibt es noch woanders Checkboxen, auf die ich achten muß, damit außer VPN nichts von außen zugreifen kann?

Wenn Du "Internetzugriff auf die FRITZ!Box über HTTPS (de)aktivierst" und keinen DYNDNS eingestellt hast, sollte dies Deinen Ansprüchen genügen. Ganz unsichtbar bist Du dadurch mit einer öffentlichen IPv4 allerdings nie.
LG

P.S.: Da war PeterPawn wohl schneller ;)
 
Zuletzt bearbeitet:
Besten Dank für Eure Antworten! Hätte gedacht, daß die GUI-eigene LAN-LAN-Kopplung inzwischen soweit ist, ohne Configfilespielereien für "Sonderfälle" wie "eine feste IP" gerüstet zu sein. ;)

@koya: Danke für die Tips! Telefonie und TR-069 läuft bei meinem Anbieter über eine separate PPPoE-Einwahl mit privaten IPs, sprich da ist eh nichts ins Internet freigegeben und die "Anbieterdienste"-Lasche erscheint nicht.

@Peter+Micha: Okay, ich werde dann nen Myfritz-Account für die betreffende Box verwenden. Natürlich war Peter schneller. ;) Ja, ganz unsichtbar will ich nicht sein, sonst würde mich die VPN-Gegenstelle ja auch nicht finden. ;) Will nur die Angriffsfläche für Skriptkiddies minimieren. Was meinst Du genau mit "keinen DynDNS eingestellt"? Myfritz ist ja quasi auch ein solcher.
 
Das GUI kann keine "einseitige" Verbindung konfigurieren - der Griff zum (Text-)Editor ist also auch dann angesagt, wenn eine Seite gar keine öffentliche IPv4-Adresse hat (z.B. bei einem DS-Lite-Anschluß).

Ich würde auf den MyFRITZ!-Account verzichten (gibt es ein Leak bei AVM, findet der Angreifer darüber genau die Geräte, die 100%ig FRITZ!Boxen sind - ohne jedes weitere "finger-printing"), wenn man ihn gar nicht braucht. Solange eine Seite eine feste IP hat, kann man ja tatsächlich "ohne jede fremde Hilfe" zueinanderfinden und das ist immer der sicherste Weg. Daten, die gar nicht erst vorhanden sind (egal ob bei AVM oder einem DynDNS-Anbieter), können auch nicht entwendet werden.
 
@Peter: Okay... Bevor ich mich jetzt wieder durch die Suche und die zig teils veralteten Threads wühle... Könntest Du einen Link zu einer aktuell gültigen Anleitung posten, wie ich die Configdatei erzeuge, editiere, und dann in die FB bekomme?
 
Zuletzt bearbeitet:
Kein Thread, der sich mit dem Thema in den letzten zwei Jahren (seit dem Erscheinen der 06.20) beschäftigt hat, ist veraltet. Ich habe gar keine passenden Links, Senorita.

Ansonsten ist das kinderleicht ... jede Export-Datei enthält (sofern eine passende Verbindung zuvor per GUI konfiguriert wurde) eine "vpn.cfg" als verwendbares Template (Linux-Zeilenenden müssen es aber sein). Die verschlüsselten Daten dort ersetzt man ohnehin durch eigene und dabei kann man problemlos auch Klartext angeben. Das war's dann schon ... man kann sogar soweit gehen, daß man die Einstellungen zu den LAN-Adressen (inkl. "accesslist") gleich richtig vom GUI generieren läßt und nur die Identifikation in P1 und die Angaben, wo und wie die Gegenstelle zu finden wäre, ändert (und einen neuen PSK festlegt).
 
Danke! Okay, habe in meiner FB mal ein Test-VPN angelegt und die Config exportiert. Als erstes fällt mir auf, daß sich der Inhalt etwas von der von Dir in diesem Thread geposteten Vorlage unterscheidet:

http://www.ip-phone-forum.de/showthread.php?t=189391&page=21&p=2010024&viewfull=1#post2010024

- "editable" steht bei Dir auf "no", bei mir auf "yes"
- "dont_filter_netbios" bei Dir auf "no", bei mir auf "yes"
- der "localid"-Block für Phase 1 fehlt bei mir
- bei mir gibt es einen Eintrag "app_id = 0", der fehlt bei Dir

Kannst Du hierzu etwas sagen? Speziell das fehlende "localid" bei mir hat mich verwundert... Sollte nicht, wie Du in Deiner Beschreibung sagst, auf beiden Seiten die ID beider Seiten stehen, damit ein Abgleich erfolgen kann? Sprich, bei meiner Config, woher weiß die lokale Seite, welche ID sie der connectenden Gegenseite präsentieren soll? Oder wird in dem Fall nur das Shared Secret verglichen?

Wie gehe ich dann vor? Nach Anpassung dieses Configblocks speichere ich ihn in einer Datei und lese ihn in der Fritzbox in "Freigaben / VPN-Verbindung / Hinzufügen / aus einer vorhandenen Datei importieren" ein, richtig?

Edit: Editor, der Unix-Zeilenenden kennt und Sonderzeichen anzeigt, ist vorhanden und kein Problem. ;)

- - - Aktualisiert - - -

Sehe ich das richtig, daß die FB verschlüsselte Benutzernamen-/Kennwort-Einträge in der Configdatei an den "$$$$" erkennt? Sprich wenn ich dort etwas eintrage, was nicht mit "$$$$" beginnt, wird es als Klartext interpretiert?
 
Zuletzt bearbeitet:
*push* :)

Kann evtl. jemand meine noch ausstehenden Fragen beantworten?
 
Der fehlende Block mit der "localid" könnte daran liegen, daß Deine Box keinen DynDNS-Account verwendet ... dort wird ansonsten die MyFRITZ!-Adresse (bzw. wenn kein MyFRITZ! konfiguriert ist, der erste DynDNS-Account) eingetragen. Ob das funktioniert oder nicht, liegt an der Implementierung und wenn Du es genau wissen willst, mußt Du es ja nur ausprobieren. Bei einer "Verbindung mit einem Firmennetzwerk" (also Host-to-LAN, wobei hier die Box der Host ist) wird m.W. auch keine "localid" konfiguriert (dafür muß das Firmen-Gateway ja auch die Box nicht finden oder kontaktieren können) .. es wäre auch denkbar, daß von dieser Seite der fehlende Eintrag kommt, wenn kein DynDNS-Account konfiguriert ist.

Den Rest der Fragen kannst Du Dir durch "Nachdenken" (z.B. beim "editable", wofür mag das wohl stehen) oder auch durch "Nachlesen" (wie unterscheidet die FRITZ!Box zwischen verschlüsselten und Klartext-Daten oder auch das "Wie gehe ich dann vor?") problemlos selbst beantworten.

Zur "app_id" kann ich ja noch schreiben (falls man da wirklich nichts findet bei einer Suche), daß die erst mit einer neuen TR-064-Schnittstelle eingeführt wurde (wo eine App sich jetzt eine eigene VPN-Verbindung generieren kann - dazu findet man aber definitiv etwas beim Suchen) und es die damals vermutlich einfach noch nicht gab. Solange diese ID 0 ist, kann man sie beim Import aber auch beruhigt auslassen.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.