VPN Zugang der Fb 7490 auf IP und Port im LAN beschränken

[EherxTREM]

Hallo,

ich würde gerne den allgemeinen VPN-Zugang der Fb 7490 auf eine bestimme IP (192.168.2.5) in meinem Lan und einen bestimmen Port (FTP 21) dieser IP beschränken (es laufen noch andere Dienste, die eben nicht erreichbar sein sollen).

Ich stelle mir da (theoretisch) eine Anpassung der cfg nach folgendem Muster vor:

accesslist =
"permit ip 192.168.2.0 255.255.255.0 192.168.2.201 255.255.255.255";

accesslist =
"permit ip 192.168.1.99:21 255.255.255.255 192.168.1.99:21 255.255.255.255";

Ist das überhaupt und wenn ja wie ausgeführt möglich oder bleibt nur der Weg per Firewall am localen PC (192.168.2.5) zur Begrenzung des Ports?

 

[PeterPawn]

Wie auch immer man das lösen will ... FTP braucht mindestens zwei Ports, egal ob aktives oder passives. Zumindest dann, wenn da wirklich Dateien übertragen werden sollen (gilt auch für Listings) und nicht nur Kommandos im "control channel".

 

[EherxTREM]

Ich habe eine Port-Range für die FTPS-Datenkanäle definiert und freigegeben. Die müssten natürlich analog in der cfg limitiert werden (wenn es denn funzt). Danke für den Hinweis.

 

[PeterPawn]

Dann hilft es (für den eigenen Test) vielleicht noch, wenn Du weißt, daß sich die Syntax weitgehend an das Cisco-Format für solche Access-Listen anzulehnen scheint. Welche Schlüsselwörter nun genau von AVM wohl implementiert wurden, verrät der Blick in die Datei "kdsldmod.ko" in einer DSL-Firmware. Beim VPN handelt es sich dann aber (ich betone es noch einmal, obwohl ich es praktisch pausenlos in diesem Kontext - VPN und "accesslists" - immer wieder schreibe) NICHT um einen Filter für eingehende Pakete (was Dein Vorhaben wenig plausibel erscheinen läßt), sondern "nur" um einen Selektor, welchen Weg ausgehende Pakete am Ende nehmen (Tunnel oder nicht).

Du kannst also dafür sorgen, daß tatsächlich nur FTP-bezogene Antwortpakete mit TCP-Daten von der Seite mit dem FTP-Server in den Tunnel gelangen (mal unterstellt, bei den VPN-Konfigurationen funktionieren auch die Schlüsselworte "tcp" und "eq" in der Syntax), aber Du kannst mit den Mitteln des AVM-VPN nicht steuern, was den Tunnel auf dieser Seite verläßt - da kommt alles raus, was die andere Seite dort hineinstopft.

Aber wie gesagt ... alles soo oft diskutiert und erläutert (und ausführlicher als hier), daß es keinen wirklichen Sinn macht, da noch einmal von vorne zu beginnen (mit den Erläuterungen der Basics). Da würde ich Dir die Benutzung der Suche empfehlen - allerdings hier über das Forum selbst oder bei Suchmaschinen dann mit Beschränkung der Ergebnisse auf diese Site (wenn Du nach den von mir erwähnten Threads suchen willst und nicht irgendwo im Internet).

 

[EherxTREM]

Danke für Deine ausführlichen Hinweise und den Verweis auf die Suche (die ich selbstverständlich bemüht habe). Ich denke, die feste Zuweisung einer IP zu einem VPN-User in Verbindung mit einer Firewall auf dem Zielrechner (nur Port 21 plus Datenkanäle werden erlaubt sein für die IP des VPN-Users) sollten eine "Quasi-ACL" darstellen und für meine Zwecke reichen. Ich werde das mal testen und auf Wunsch berichten.

 

[PeterPawn]

Wenn Du den Hinweis dann richtig verstanden hast (der richtet sich ja auch an alle späteren Leser genauso), kann das tatsächlich reichen ... das hindert aber eben den Betreiber der "anderen Seite" des VPN-Tunnels nicht daran, auf seiner Seite beliebigen Traffic in den Tunnel zu stopfen, der dann von der lokalen FRITZ!Box sofort wieder so weitergeleitet wird, als wäre es lokaler Verkehr.

Wenn also die andere Tunnelseite sich dazu entschließt, mit UDP-Paketen (die brauchen per se keine Antworten) irgendwelche Dienst in Deinem LAN oder sogar im Internet anzugreifen (denn die Box steckt dann alles, was nicht an "lokale Ziele" (eigenes Segment + Routing-Table + andere VPN-Tunnel, die rechnen wir mal der Einfachheit halber hier dazu) adressiert ist, wortlos auch in die WAN-Connection), dann kannst Du sie davon (mit den AVM-Mitteln) nicht wirklich abhalten.

Das "normale" AVM-VPN ist also NICHT dazu geeignet, damit einen Peer anzukoppeln, dem man nicht 100% Vertrauen schenken kann. Wenn man so etwas tatsächlich braucht, dann sollte man die Variante mit dem dedizierten LAN-Anschluß benutzen und den fraglichen Server dann dort - notfalls mit einem zweiten Netzwerkinterface und da kann der dann auch sinnvoll "firewallen", um weitere Dienste zu blockieren - anschließen (geht notfalls auch alles mit VLANs und passenden Switches, wenn ein "echtes" zweites Interface nicht machbar ist, z.B. bei einem (gekauften) NAS).

 

[EherxTREM]

Ist soweit sachlogisch und verstanden. Dennoch ringe ich mit mir, ob sich der "Aufwand" für meine beiden Anwendungen und der überschaubaren Anzahl der (vertrauenswürdigen) Clients lohnt oder ob das vielleicht doch etwas "overkill" ist.

Die routerinterne Lösung incl. ACL etc. drängt sich ja gerade zu auf. Im Grunde wirklich schade, dass AVM da nicht "mehr" anbietet.

 

[PeterPawn]

Das ist halt auch Ansichtssache ... wenn man das erste Mal mit jemand anderem in die Eingeweide einer VPN-Verbindung gekrochen ist, bei der sichtbar die Daten über einen Tunnel auch ankommen, aber an einer (natürlich demjenigen gar nicht bekannten) Firewall zerschellen ("Firewall? Was ist das? Habe ich nicht ..."), dann lernt man auch die Vorteile nicht vorhandener Einstellmöglichkeiten gleich ganz anders zu schätzen.

Ich finde sogar, daß AVM hier mit der Möglichkeit, an einem isolierten Ethernet-Port so ein "remote network" aufzubauen, das ansonsten keine Verbindung zum LAN oder Gast-Netz hat, schon sehr viel mehr liefert als andere Hersteller (ich kenne aus dem Stand gar keinen anderen SOHO-Router, der ebenfalls so ein "split net" (als kommerzielles Produkt und als VPN-Endpoint, nicht als getrenntes Interface in irgendeinem OpenWrt-/LEDE-Router) ermöglichen würde).

 

[koyaanisqatsi]

Moin

Wenn ein LAN Gerät für den Internetzugriff komplett gesperrt ist, dann wird der Zugriff eines VPN Klienten, egal welche Portnummer, auch nicht funktionieren.



Erst wenn mindestens der Zugriff auf den DynDNS Hostnamen den der VPN Klient nutzt mittels Whitelist erlaubt wird, kann der VPN Klient unbeschränkt drauf zugreifen.


...und funktioniert immernoch ohne Konfigurationskuddelmuddel

 

[PeterPawn]

@koyaanisqatsi
Nur noch mal für mein Verständnis ... m.W. gibt es keine Möglichkeit, einem VPN-Client den Internet-Zugriff zu sperren (nur die, Antworten von dort nicht an ihn weiterzuleiten). Die ganze Geschichte mit den Zugriffsbeschränkungen macht in diesem Kontext hier doch nur dann irgendeinen Sinn, wenn der LAN-Client selbst eine VPN-Verbindung aufbauen will und nicht dann, wenn er eine Verbindung benutzen will/soll, die von der FRITZ!Box aufgebaut wurde.

 

[koyaanisqatsi]

Die Whitelist mit dem DynDNS Hostnamen welcher für VPN genutzt wird für ein ansonsten fürs Internet gesperrte LAN Gerät gestattet die Kommunikation mit einem VPN Klienten der diesen DynDNS Hostnamen nutzt um ins LAN zu kommen.

Für das LAN Gerät sieht es so aus, als ob der VPN Klient aus dem Internet kommt, und die Whitelist erlaubt letztendlich die Kommunikation mit Diesem.

Es ist eigentlich nur ein Workaround um die fürs Internet gesperrten "Heimtelefonierer" trotzdem über VPN zu erreichen.

 

[PeterPawn]

Häh? Mag sein, daß ich noch nicht so ganz wach bin oder nicht mehr ... aber den ersten Satz verstehe ich vom Sinn her gar nicht.

Da ein LAN-Client ja gar keine Namensauflösung zwingend verwenden muß, um mit einem "VPN-Client" zu kommunizieren (der erreicht den auch ausschließlich über die IP-Adresse) und lange nicht jeder "VPN-Client" eine "eigene" DynDNS-Adresse haben muß (das gilt - vielleicht; aber eigentlich auch nicht wirklich - noch für LAN-LAN-Kopplungen, spätestens für Host-LAN-Verbindungen schon nicht mehr), verstehe ich überhaupt nicht, was Whitelists, Blacklists oder überhaupt irgendwelche Filter (abseits der "VPN-Selektoren" für eine Verbindung) damit zu tun haben sollten.

Ein VPN-Client (einer Host-LAN-Verbindung) ist eigentlich aus Netzwerksicht sogar in demselben LAN-Segment wie jeder lokale Client (die Box macht Proxy-ARP für diesen Host) und wenn ein LAN-Client tatsächlich keine Internetverbindungen aufbauen darf, weil er nur "Whitelist-Einträge" kontaktieren soll, dann fiele mir jetzt kein Grund ein, warum das auch für einen solchen VPN-Client gelten sollte. Da müßte das AVM-VPN aber an einer verdammt komischen Stelle im IP-Stack ansetzen, damit das wirklich auch ausgefiltert werden kann und dann stellt sich mir immer noch die Frage, was man da nun in die Whitelist eintragen sollte ... es käme ja nur die IP (aus dem lokalen Pool) in Frage oder wo käme in so einem Fall ein "DynDNS-Hostname" her?

Ich bin echt irritiert ... und der Witz an der Sache ist es ja eigentlich auch, daß so ein Zugriff (zumindest nach meiner Theorie) auch ohne jeden Whitelist-Eintrag funktionieren sollte (das ist auch aus Sicht der Box alles noch LAN, zumindest vom "Kontext" her) und so etwas ist nun mal schwerer zu diagnostizieren als etwas, was tatsächlich gar nciht funktioniert. Die meisten ändern dann nämlich auch noch andere Einstellungen (und nicht nur diesen einen Eintrag in der Whitelist) und machen dann für den eintretenden Erfolg auch schon mal die falsche Einstellung verantwortlich.

Bist Du Dir ganz sicher, daß so ein Zugriff (selbst bei einer LAN-LAN-Kopplung) ohne den Eintrag in der Whitelist tatsächlich nicht funktioniert? Was trägt man dann in der Whitelist ein, wenn man eine VPN-Verbindung mit getrenntem Initiator und Responder hat, wo der Responder gar keinen DynDNS-Namen kennt für das Gateway im Peer-Netz?

PS: Das war von heute mittag und ich bin in der Zwischenzeit nicht zum Absenden gekommen ... also Zeitangaben nicht ganz so ernst nehmen.

 

[koyaanisqatsi]

Moin

Bist Du Dir ganz sicher, daß so ein Zugriff (selbst bei einer LAN-LAN-Kopplung) ohne den Eintrag in der Whitelist tatsächlich nicht funktioniert? Was trägt man dann in der Whitelist ein, wenn man eine VPN-Verbindung mit getrenntem Initiator und Responder hat, wo der Responder gar keinen DynDNS-Namen kennt für das Gateway im Peer-Netz?

Nein, für eine LAN-LAN Kopplung weiss ich nicht, ob es sich dann genauso verhält.
Bei mir beobachte ich das schon seit einer geraumen Zeit, die "ab Firmwareversion" kann ich aber nicht angeben, dieses Verhalten mit stinknormalen VPN für (androide) mobile Geräte.

Dabei ist es schnuppe ob ich über den VPN Klienten die IP oder Hostnamen eines für Internet gesperrten LAN Geräts aufrufe, es kommt immer zum...

 

[EherxTREM]

Also nur mal am Rande: Die Beschränkung auf eine IP mittels AVM-CFG per Fb 7490 hat funktioniert (auch wenn sie professionellen Ansprüchen in keinster Weise gerecht wird/werden soll) und die Firewall auf dem Gerät unter der noch erreichbaren IP hat den einzig gewünschten Port wunderbar begrenzt (allen anderen Abfragen werden geblockt).

Meine Eingangsfrage ist damit geklärt

 

[PeterPawn]

@koyaanisqatsi
OK, das ist also der "Fehlerfall" ... sollte nach meiner Meinung auch nicht auftreten (entweder schlecht umgesetzt oder schlecht dokumentiert von AVM), aber gehen wir mal davon aus, daß AVM tatsächlich auch Traffic von so einem Gerät , welches ein Profil mit Whitelist zugewiesen bekam, an VPN-Clients aus demselben Netz (Host-LAN aka "conntype_user") oder auch an entfernte LANs (das wäre noch logischer, weil da die Ziel-IP nicht mehr im lokalen IP-Segment läge) unterdrückt.

Was gibt man jetzt genau in der Whitelist an, damit dieser Zugriff dann doch wieder funktioniert? Wo hat denn ein VPN-Client (mit Android) einen eigenen DynDNS-Namen her, den man da jetzt eintragen soll, wenn ich das richtig verstanden habe? Oder soll ich da tatsächlich den DynDNS-Namen der Box eintragen?

Aber selbst wenn das mit so einem Whitelist-Eintrag dann funktioniert, halte ich das auf folgendem Grund für einen Fehler: Soweit mir bekannt, gibt es nur eine einzige Whitelist in der Filterung des FRITZ!OS und die gilt für alle Profile, in denen diese Beschränkung aktiviert ist. Da gibt es keine individuelle Whitelist für Profile und schon gar keine für einzelne Geräte.

Damit führte so ein Eintrag für den VPN-Client (der dann zumindest der Theorie nach tatsächlich mit seiner (lokalen) IP-Adresse dort eingetragen werden könnte, denn die hat er ja) dann wieder dazu, daß jedes andere System mit einem Whitelist-Profil ebenfalls mit diesem Client "reden" darf ... und wenn das nicht tatsächlich mit dessen IP-Adresse in der Whitelist funktioniert, sondern über den DynDNS-Namen der Box selbst, dann sollte das auch wieder automatisch für jeden anderen VPN-Client hinter einer Host-LAN-Verbindung ebenfalls gelten und wäre dann so etwas wie ein "VPN erlaubt"-Eintrag (zumindest für Host-LAN-Verbindungen) in der Whitelist.

Wenn man in die Whitelist tatsächlich den eigenen (lokalen) DynDNS-Namen einträgt und der auf die externe IPv4-Adresse auflöst, aber per NAT-Hairpinning dann doch wieder lokal behandelt wird, ist das zumindest auch "komisch" und etwas undurchsichtig ... m.E. dann auch eher wieder ein unbeabsichtigter "side effect" als irgendeine sinnvolle (und absichtliche) Implementierung, weil das mit einer simplen Checkbox "Lokaler Zugriff auch über externe Adressen erlaubt" oder auch "Zugriff auf/für VPN-Clients erlaubt" (es sind ja eigentlich zwei getrennte Fälle) wesentlich simpler, eindeutiger und universeller zu lösen wäre bei der Konfiguration dieser (systemweiten) Whitelist.

Aber bei keiner dieser beiden Interpretationen verstehe ich nun meinerseits, wie das beim Einrichten des Szenarios beim TO helfen würde. Der will ja offensichtlich nicht seinen Server mit dem FTP-Service so weit von allem anderen abschirmen, daß der nur noch mit Adressen aus der Whitelist kommunizieren darf, sondern er will eine VPN-Verbindung so beschränken, daß darüber nur der FTP-Zugriff auf ein einzelnes Gerät funktioniert. Um die Unzulänglichkeiten (keine Filterung von eingehendem Verkehr über den Tunnel) weiß er und die sind in seinem Fall nicht relevant (das andere Netz ist also nur "bedingt feindlich"). Was sollte hier jetzt ein Profil für diesen Server bringen, bei dem nur noch der Zugriff auf Whitelist-Einträge möglich ist? Wo ist mein "missing link"?

 

[PeterPawn]

@EherxTREM
Was hast Du denn nun genau in der "accesslist" umgesetzt? Nur das "Übliche" mit irgendeinem "permit ip" oder hast Du es tatsächlich mal mit mehr spezialisierten Einträgen "permit tcp <from> <to> eq 21" (bzw. für die Port-Range für die Data-Connections) probiert? Das wäre ja für spätere Leser auch nicht ganz uninteressant ... auch wenn das beim FTP natürlich etwas unhandlich ist. Aber wenn man darüber den Zugriff auf ein bestimmtes Gerät mit HTTPS-GUI beschränken könnte oder auf irgendeinen Media-Server, ist das ja auch mal ein Szenario, was ggf. häufiger mal eine Überlegung wert ist, wenn man denn weiß, daß es funktioniert.

 

[koyaanisqatsi]

@PeterPawn: In die Whitelist kommt der DynDNS, den die Box kennt/benutzt*.
Das kann sowohl der Hostname von myfritz.net als auch der eines "Benutzerdefinierten" sein.
Der wird sowohl für einen Benutzer mit VPN Recht als auch für die MYFRITZ!App 2 "Heimnetzverbindung" genutzt.

Bei mir gibt es einige Gerätschaften die nicht ins Internet sollen.
Drucker, WDS Basis/Repeater, IP-Kamera, IP-Telefone...
Gesperrt sind die über VPN nicht zu erreichen, nur mit diesem "Whitelist Trick".

Ein im LAN agierendes NAS, fürs Internet gesperrt == Für VPN Klienten gesperrt

Filter für VPN Klienten machen keinen Sinn.
1. Sie haben immer das Standardfilter (Siehe: http://fritz.box/surf.lua )
2. Sie greifen aus dem Internet aufs LAN zu, Filter greift so nicht

* Internet->Freigaben-Reiter->Fritz!Box-Dienste/Internetzugriff
(Anhaken um den Namen zu sehen, nicht übernehmen klicken)

 

[PeterPawn]

Dann ist es also doch eher ein Problem beim NAT-Hairpinning. Hinter dieser DynDNS-Adresse steht ja dann (wenn das Update korrekt war), die jeweilige öffentliche IP-Adresse der FRITZ!Box. Damit sollte es eigentlich auch immer noch funktionieren, wenn man bei einer (bereits bekannten) öffentlichen IP-Adresse auch diese in die Whitelist einträgt. Über IPv6-Adressen (hinter diesem Namen) i.V.m. DS-Lite und über ausgehende VPN-Verbindungen dort, denke ich da lieber gar nicht erst nach ... auch wenn Du ja nach eigenem Bekunden nicht weißt, wie sich das auf LAN-LAN-Verbindungen ("conntype_lan") auswirkt bei so einem Profil mit Whitelist.

Vor allem würde mich mal interessieren, was dann passiert, wenn das Update für die DynDNS-Adresse nicht funktioniert aus irgendeinem Grund und man doch den Namen einträgt ... zwar wird es dann für einen VPN-Client auch schwer, die Box im Internet zu finden, aber das würde ja tatsächlich auch noch über andere Mechanismen (z.B. die E-Mail aus den Push-Services) funktionieren. Aber wenn da die Whitelist selbst für eine Auflösung sorgen will bzw. sogar muß, muß sie ja irgendeinen DNS-Server befragen ... notfalls sich selbst.

Ich glaube aber eher nicht, daß da der "ddnsd" und der "kdsld"/"multid" so weit miteinander "verwoben" sind, daß da gar keine "echte" DNS-Abfrage bei einem Forwarder mehr erfolgt ... das würde auch irgendwie nicht dazu passen, daß der "ddnsd" ja selbst nachträglich durch DNS-Abfragen noch versucht festzustellen, ob sein Update auch erfolgreich war - das würde ja auch nichts bringen, wenn das aus einem Cache wg. einer "direkten Verbindung" innerhalb der Box beantwortet würde.

Wie gesagt ... ich finde das etwas mysteriös und - genau genommen - beim VPN-Zugriff auch nicht nachvollziehbar bzw. da halte ich es für einen (Implementierungs-)Fehler, wenn das von einem Profil mit einer Whitelist auch blockiert wird. Das erinnert mich etwas an die ersten Versuche von AVM mit dem Gastnetz, wo auch noch (fälschlicherweise, denn wenn das machbar ist, ist es per Definition kein Gastnetz mehr in meinen Augen) Portfreigaben in so ein Gastnetz funktionierten und wo AVM das erst später (mit besserer Plausibilitätskontrolle) verhindert hat.

Um das (als mögliches Mißverständnis) auch noch mal aufzuklären ... ich habe nirgendwo etwas davon geschrieben, daß ich Filter auf VPN-Clients anwenden will. Es macht aber durchaus Sinn, einem ansonsten blockierten LAN-Client eine Möglichkeit zuzugestehen, mit der es ihm erlaubt ist, mit allen oder sogar gezielt mit speziellen VPN-Clients (bzw. ggf. sogar kompletten Netzen bei LAN-LAN-Kopplungen) zu kommunizieren. So etwas über einen solchen Eintrag des eigenen DynDNS-Namens in die Whitelist zu "erlauben", ist nicht nur fehleranfälliger als ein zusätzlicher "Schalter" - siehe mein Beispiel, falls das Update des "ddnsd" nicht funktioniert -, es ist auch noch weitaus "undurchsichtiger" und daher kann ich eigentlich kaum glauben, daß es sich hier tatsächlich um ein "Feature" handelt und nicht doch um einen Bug. Aber wer kann bei AVM schon in die Köpfe sehen ...

 

[koyaanisqatsi]

Der "Whitelist Trick" ist bestimmt kein von AVM absichtlich implementiertes Feature.
Ebenso wie das Nichterreichen lokaler fürs Internet gesperrte Geräte für VPN Klienten.
Hier haben wir also 2 Bugs, wo 1 Bug den Anderen glattbügelt.
...bis AVM beliebt es zu fixen.

 

[PeterPawn]

OK, darauf können wir uns sofort einigen.