Hallo,
ich habe erfolgreich zwischen 2 Fritzboxen (FB1: 7390, FB2: 7290; beide mit aktuellster Firmware) mithilfe des FritzFernzugangs eine VPN-Verbindung etabliert.
Jetzt kann aber jedes Netzwerkgerät auf jedes Netzwerkgerät im entfernten Netz zugreifen. Ich möchte aber gerne folgende Zugriffsbeschränkungen festlegen:
a.) FB2 darf auf die Admin-Seite von FB1 und auf ein NAS im FB1-Netz zugreifen; alle anderen Netzwerkressourcen hinter FB1 sind verboten.
b.) FB1 bzw. alle Netzwerkgeräte hinter FB1 dürfen komplett auf FB2 und deren Netzwerkgeräte zugreifen.
Konfiguriert sind die Netze wie folgt:
FB1 = 192.168.10.1
NAS = 192.168.10.15
FB2 = 192.168.20.1
Nach drei erfolglosen Änderungen, immer verbunden mit schwierigen telefonischen Anweisungen für die Gegenstelle, sehen die beiden CFG-Dateien zur Zeit so aus. Sind die Angaben unter "ACCESSLIST" korrekt?
(FB2.cfg konnte bisher noch nicht wieder zum vierten Mal importiert werden)
Die Dyndns-Adressen und Passwörter sind verfremdet:
FB1.cfg:
FB2.cfg:
Was trage ich nun wie in welcher CFG-Datei händisch ein? Ich habe verschiedenes ausprobiert, aber mindestens eine Seite kann dann nicht mehr auf die andere zugreifen. Auch eine Suche hier im Forum oder über Gokkle hat nicht wirklich weitergeholfen. Mal wird der "Tipp" gegeben, "permit ip any 192..." zu schreiben, mal "permit ip 192..." ohne any. Beides habe ich schon ausprobiert. Nur vielleicht noch nicht in der richtigen CFG-Datei mit den richtigen IPs.
Kann mir jemand einen Denkanstoß geben? Zur Zeit weiß ich nicht weiter.
ich habe erfolgreich zwischen 2 Fritzboxen (FB1: 7390, FB2: 7290; beide mit aktuellster Firmware) mithilfe des FritzFernzugangs eine VPN-Verbindung etabliert.
Jetzt kann aber jedes Netzwerkgerät auf jedes Netzwerkgerät im entfernten Netz zugreifen. Ich möchte aber gerne folgende Zugriffsbeschränkungen festlegen:
a.) FB2 darf auf die Admin-Seite von FB1 und auf ein NAS im FB1-Netz zugreifen; alle anderen Netzwerkressourcen hinter FB1 sind verboten.
b.) FB1 bzw. alle Netzwerkgeräte hinter FB1 dürfen komplett auf FB2 und deren Netzwerkgeräte zugreifen.
Konfiguriert sind die Netze wie folgt:
FB1 = 192.168.10.1
NAS = 192.168.10.15
FB2 = 192.168.20.1
Nach drei erfolglosen Änderungen, immer verbunden mit schwierigen telefonischen Anweisungen für die Gegenstelle, sehen die beiden CFG-Dateien zur Zeit so aus. Sind die Angaben unter "ACCESSLIST" korrekt?
(FB2.cfg konnte bisher noch nicht wieder zum vierten Mal importiert werden)
Die Dyndns-Adressen und Passwörter sind verfremdet:
FB1.cfg:
Code:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "fb2.dyndns.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "fb2.dyndns.org";
localid {
fqdn = "fb1.dyndns.org";
}
remoteid {
fqdn = "fb2.dyndns.org";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "geheimerkey";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.10.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.20.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.20.0 255.255.255.0";
} ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}FB2.cfg:
Code:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "fb1.dyndns.org";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "fb1.dyndns.org";
localid {
fqdn = "fb2.dyndns.org";
}
remoteid {
fqdn = "fb1.dyndns.org";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "geheimerkey2";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.20.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.10.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.10.1 255.255.255.255, permit ip any 192.168.10.15 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}Was trage ich nun wie in welcher CFG-Datei händisch ein? Ich habe verschiedenes ausprobiert, aber mindestens eine Seite kann dann nicht mehr auf die andere zugreifen. Auch eine Suche hier im Forum oder über Gokkle hat nicht wirklich weitergeholfen. Mal wird der "Tipp" gegeben, "permit ip any 192..." zu schreiben, mal "permit ip 192..." ohne any. Beides habe ich schon ausprobiert. Nur vielleicht noch nicht in der richtigen CFG-Datei mit den richtigen IPs.
Kann mir jemand einen Denkanstoß geben? Zur Zeit weiß ich nicht weiter.
