[Gelöst] VPN LAN2LAN-Verbindung | Ist eine Einschränkung über Accesslist nur einseitig möglich?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
J

JumpySkippy

Neuer User
Mitglied seit
22 Dez 2010
Beiträge
14
Punkte für Reaktionen
0
Punkte
1
Ich möchte eine VPN-Verbindung zwischen zwei FRITZ!Box-Netzwerken einrichten und nutze dabei auf beiden Seiten des Tunnels die FRITZ!Box 7490.

IP-Netzwerk von FRITZ!Box A: 192.168.1.0/24
IP-Netzwerk von FRITZ!Box B: 192.168.2.0/24

Mittels "FRITZ!Box-Fernzugang einrichten" habe ich bereits für beide Standorte eine cfg-Datei erzeugt, kann diese auch importieren und der VPN-Tunnel baut sich erfolgreich auf und Zugriffe zwischen beiden Netzwerken sind möglich.

Nun meine Frage: Ich möchte vom Netzwerk A (192.168.1.0/24) auf das komplette Netzwerk B (192.168.2.0/24) zugreifen können und habe dafür in der cfg-Datei der FRITZ!Box A folgende Accesslist definiert:

accesslist = "permit ip any 192.168.2.0 255.255.255.0";
Zum Vergrößern anklicken....

Vom Netzwerk B soll jedoch nur genau ein Gerät mit der IP-Adresse 192.168.2.2 auf die IP-Adresse 192.168.1.4 des Netzwerks A zugreifen können, die anderen Geräte nicht. Dafür habe ich in der cfg-File für FRITZ!Box B folgende Accesslist definiert:

accesslist = "permit ip 192.168.2.2 255.255.255.255 192.168.1.4 255.255.255.255";
Zum Vergrößern anklicken....


Wenn ich diese beiden Konfigurationen importiere, wird zwar auch eine VPN-Verbindung erfolgreich aufgebaut, jedoch funktioniert aus beiden Netzwerken nur die Verbindung zwischen 192.168.1.4 (Netzwerk A) und 192.168.2.2 (Netzwerk B). Der gewünschte komplette Zugriff von Netzwerk A auf Netzwerk B funktioniert nicht.

Kann es sein, dass mein gewünschtes Vorhaben gar nicht realisierbar ist und sich beide Zugriffsfilter gegenseitig ausschließen und somit letztendlich die Begrenzung auf der Netzwerkseite B auch auf der FRITZ!Box der Seite A rein grätscht? Oder habe ich einen Fehler in der Konfiguration?
 
DAS SIND KEINE FILTER!

Ich "schreie" jetzt hier mal, weil das oft genug wiederholt wurde - vielleicht ist es so ja einprägsamer dank des damit verbundenen Schreckens.

Es handelt sich um "Selektoren" für den Traffic, der verschlüsselt und über den Tunnel gesendet werden soll - da ist also auch keine "Begrenzung" (solange es sich nicht um ein "deny" i.V.m. einem ansonsten vorliegenden "allow all" handelt) und kein "Connection Tracking", wo die Antwort-Pakete "innerhalb" einer Verbindung dann schon irgendwie denselben Weg nehmen.

Wenn da auf einer Seite nur der Traffic selektiert wird, der von der 192.168.2.2 zur 192.168.1.4 geht, wird logischerweise jede Antwort auf ein Paket von einem anderen Host aus 192.168.1.0/24 an eine Adresse aus 192.168.2.0/24 (denn diese kommen tatsächlich im Netz 192.168.2.0/24 an, weil es eben KEIN FILTER ist - das heißt dann wiederum, daß es auch KEINE FIREWALL ist, weil man mit UDP-Paketen aus 192.168.1.0/24 auch dann Geräte in 192.168.2.0/24 angreifen kann, wenn man keine Antwort erhält; Beispiele dafür gibt es genug, wenn man mal danach sucht im "Internetz") ihr Ziel nicht erreichen - entweder weil die Source- oder die Destination-Adresse nicht paßt, solange es nicht um ein Paket von der 192.168.2.2 zur 192.168.1.4 handelt.

Nur mit dem AVM-VPN wird man hier auch keine Lösung hinbekommen ... solange die 192.168.2.2 auch im Netz 192.168.2.0/24 von anderen Geräten erreicht werden soll. Ist das irgendein "abgesetzter" Backup-Server und besteht keine Notwendigkeit, daß der ansonsten im LAN der entfernten FRITZ!Box ("remote" ist hier der Standort dieses Backup-Servers) anderweitig genutzt wird, kann man mit einem gezielten VPN-Tunnel (an einem/mehreren LAN-Ports der FRITZ!Box) das Gerät per VPN zum lokalen LAN "hinzufügen" ... aber eben auch nur diejenigen Geräte, die dort dann an diesen Ports angeschlossen sind.

Zwar könnte man dann wieder parallel eine weitere VPN-Verbindung für den "Vollzugriff" von Netzwerk A auf Netzwerk B verwenden, nur hätten dann auch wieder ALLE Geräte in Netzwerk B die Möglichkeit, auf Netzwerk A zuzugreifen. Eine "Filterung" nach "connection state" (was notwendig wäre für einen "einseitigen" Zugriff, wo also nur die Geräte aus Netzwerk A eine Verbindung nach Netzwerk B "öffnen" können) gibt es bei der FRITZ!Box (beim VPN, denn natürlich macht das die Firewall genau so, wenn ein Client aus dem LAN ins Internet will) nicht.
 
Vielen Dank für die ausführliche Antwort, das habe ich schon vermutet, dass das mit "Boardmitteln" nichts wird.
Ich setze daher den Status des Themas auf "Gelöst".
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 530 (Mitglieder: 2, Gäste: 528)

Neueste Beiträge

Statistik des Forums

Themen
246,375
Beiträge
2,251,051
Mitglieder
374,029
Neuestes Mitglied
hgt41807
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück