Ich kann der Beschreibung in Prosa schon an der Stelle nicht mehr folgen, wo es darum geht, welche denn nun die FRITZ!Box bei Dir ist, bei der eine VPN-Verbindung nur an einem einzelnen Port zur Verfügung stehen soll. Ist das bei Dir nun FRITZ!Box A oder FRITZ!Box B? Ich vermute zwar Box B, aber irgendwie verblüfft/verwirrt mich die Terminologie/Beschreibung mehr als daß es klarer wird.
Was willst Du denn am Ende konkret erreichen ... einfach mal mit passenden IP-Adressen konfigurieren, die Einstellungen aus den jeweiligen FRITZ!Boxen exportieren und in diesen exportierten Einstellungen die vpn.cfg (und bei der einen Box auch den bereits erwähnten ipsecbridge-Abschnitt) suchen. Niemand zwingt Dich, diese testweise konfigurierte Verbindung auch zu benutzen - einfach den "aktiviert"-Haken rausnehmen und alles ist Wölkchen. Mit diesen "Vorlagen", die Du hier einstellst, kann man dann konkrete Fragen diskutieren.
Was heißt denn "Fritz!Box B soll ja ganz normal genutzt werden"? Ich verstehe auch die anschließende Frage nicht ... habe aber auch keine wirklich Lust, das über den
Versuch der Erklärung in #4 hinaus großartig weiter zu vertiefen; daher ein letzter Versuch (ich verstehe aber auch nicht, warum ich mir jetzt an Deiner Stelle die Arbeit hier mache und Du das nicht selbst erledigst :gruebel
:
FRITZ!Box A:
LAN - 192.168.32.0/24
Nur an LAN2 von Box A soll ein neues Subnetz 192.168.33.0/24 bereitgestellt werden, der gesamte Traffic in diesem Subnetz geht an Box B (was dort damit passiert, geht Box A weder etwas an noch interessiert sie sich dafür).
FRITZ!Box B:
LAN - 192.168.64.0/24
vpn.cfg Box A:
Code:
vpncfg {
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "box_b.meinedomain.net";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "box_b.meinedomain.net";
keepalive_ip = 0.0.0.0;
localid {
fqdn = "box_a.meinedomain.net";
}
remoteid {
fqdn = "box_b.meinedomain.net";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "my_key";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.33.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.64.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.64.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Abschnitt ipsecbridge bei Box A:
Code:
ipsecbridge {
enabled = yes;
netinterface = "ipsecbr1";
vpnconnectionname = "box_b.meinedomain.net";
interfaces = "eth1";
prefix = 192.168.33.0;
netmask = 255.255.255.0;
dns1 = 192.168.64.1;
dns2 = 0.0.0.0;
}
vpn.cfg bei Box B:
Code:
vpncfg {
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "box_a.meinedomain.net";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "box_a.meinedomain.net";
keepalive_ip = 0.0.0.0;
localid {
fqdn = "box_b.meinedomain.net";
}
remoteid {
fqdn = "box_a.meinedomain.net";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "my_key";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.64.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.33.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.33.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
RollinCHK schrieb:
Ab hier wird mir das halt nicht mehr klar, in wie weit die Netzwerkgeräte im Bereich von Fritz!Box B durch die VPN Verbindung mit Fritz!Box A betroffen bzw. eingeschränkt sind...
Und was sollen wir jetzt dafür oder dagegen tun? Box B kennt ja das LAN auf der Seite von Box A überhaupt nicht ... warum sollte das also für irgendwelche Geräte hinter Box B anders sein?
Wie man in den Files unschwer sehen kann, gibt es bei Box B keine Information darüber, daß es das LAN der Box A überhaupt gibt ... wieso sollte also Box B irgendein Paket für 192.168.32.0/24 überhaupt zur Box A schicken?
Den Zugriff von Box A (auf Port LAN2) auf andere Geräte in 192.168.64.0/24 kannst Du nicht zuverlässig verhindern (da hat Box B einfach nicht das Sagen) - Du könntest nur durch weitere "accesslist"-Verfeinerung verhindern, daß
Antwortpakete von 192.168.64.0/24 das Subnetz 192.168.33.0/24 erreichen. Das ist ein VPN (bzw. ein "Selector" für den - ausgehenden(!) - Traffic), keine Firewall (für eingehenden Traffic) ... ob am Ende auf Box A noch eine erweiterte "accesslist"-Regel benötigt wird, weiß ich nicht mehr so genau - hängt davon ab, ob ohnehin aller Traffic bei dem isolierten LAN-Port in den Tunnel gesteckt wird oder nicht. Das ist aber ein simpler Test ... und solange Du am Ende einen solchen Aufbau erreichen willst, solltest Du auch derjenige sein, der diesen Test ausführt. Nach der AVM-Beschreibung würde ich zwar auch auf "nein" tippen, aber das ist eben auch schon wieder 3 Monate her, daß ich das mal getestet habe und ich altere zusehends (vielleicht auch wg. einiger Fragen und fortwährender Wiederholungen :gruebel
. Wenn das alles in den Tunnel geht, wäre eigentlich auch die Zeile
Code:
accesslist = "permit ip any 192.168.64.0 255.255.255.0";
in Box A ziemlich überflüssig nach meinem Verständnis - mir fehlt aber jeglicher Antrieb, das im Moment neu zu testen. Auch die Frage, ob Box A da jetzt einen DHCP-Server bereitstellt, der Clients am LAN2-Port konfigurieren kann oder ob man da statische Adressen verwenden muß, weiß ich beim besten Willen nicht mehr - das ist aber alles problemlos durch einfachen Test zu ermitteln. Wenn es einen DHCP-Service geben sollte, muß der auch schon ohne aufgebaute VPN-Verbindung antworten, sonst gibt es ein Henne-Ei-Problem, wenn die Verbindung "on demand" aufgebaut werden soll.
So, mehr fällt mir dazu nun wirklich nicht mehr ein ... entweder Du stellst
konkrete Fragen (und "Wie funktioniert ein IPSec-LAN2LAN-VPN?" ist - für mich jedenfalls bzw. in dem Kontext, in dem ich zu einer Antwort bereit bin - keine konkrete Frage) oder es findet sich sicherlich jemand anderes, der Dir das haarklein auseinanderklamüsert.