VPN zwischen 7390 und 7270 läuft, wie schränkt man den Zugriff ein?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Hallo Thomas,

ich bin erst gestern zum Testen gekommen. Die neue Verbindung klappt ganz hervorragend.
Die Einschränkung funktioniert tadellos. Es können nur die beiden IPs miteinander "sprechen".
Mit dem Pferdefuss der möglichen einseitigen Änderung kann ich leben.

Besten Dank nochmal!

Gruß
Christian
 
Hallo Leute,

ich habe ein Problem und bin auf diesen Fred gestoßen, leider bringt er mich nicht wirklich weiter. Deshalb muss ich ihn nochmal zum Leben erwecken :D

Ich möchte ein VPN einrichten zwischen meiner 7390 und 2 weiteren Fritzboxen zwecks Fernwartung/Problembehebung. Das funktioniert schon soweit. Ich möchte aber nun den Zugriff von den anderen beiden Boxen auf meine 7390 verbieten. Also dass ich nur von den PCs an meiner Box auf die anderen Beiden zugreifen kann, andersrum aber niemand auf meine Box. Und daran scheiterts..

Ich habe schon verschiedene Configs probiert. Wenn ich in der "FritzFernzugang einrichten" Software einen Rechtsklick auf die beiden anderen Boxen mache und den Haken bei "nur eingehende Verb. zu dieser Box" mache, dann trägt es in die Config eine virtuelle VPN IP ein und trägt auch nur noch diese in die accesslist ein. Dann komme ich zwar von den anderen beiden Boxen nicht mehr auf die 192.168.xxx.1 meiner 7390, aber wenn ich die virtuelle IP eingebe, lande ich trotzdem auf meiner Box. :(

Kann man das irgendwie unterbinden?

Grüßle
Marco
 
Wenn es Dir nur um die Fernwartung geht, dann benutze doch den genau für diesen Zweck vorgesehenen Menüpunkt. Voraussetzung hierfür ist lediglich eine DynDNS-Adresse eines beliebigen Anbieters (den Du für das VPN ja ebenfalls brauchst) oder eben MyFritz. Das VPN ist dafür Overkill. Da die Verbindung immer bidirektional sein muss, ist eine Zugriffsbeschränkung nur über manuelles Editieren der fritzbox.conf vor dem Import möglich. Ein guter Ansatz für den zu editierenden Eintrag ist die AVM-Anleitung Anpassung einer VPN-Verbindung von FRITZ!Box zu FRITZ!Box (LAN-LAN).

Gruß Telefonmännchen
 
Hey,
danke für deine Antwort, leider stellt sie mich nicht zufrieden, aber vielleicht habe ich auch zu wenige Infos gegeben. ;)

Im Moment soll es nur zur Fernwartung dienen, in naher Zukunft soll bei mir aber ein NAS her und u.a. auch für Backups aus den beiden Netzen dienen. (ja, da müssen die Vpn configs wieder geändert werden) Bis dahin wollte ich es so sicher wie möglich im Rahmen der Gegebenheiten machen. Deshalb möchte ich nicht die normale Fernwartung nutzen, da dann alle 3 Boxen für jedermann erreichbar wären und ich mir noch mehr Passwörter (und vor allem längere) merken muss ;)
MyFritz Konto hab ich keins und brauch ich auch nicht. Ich möchte weder extra Accounts dafür einrichten, noch extra Software installieren.

Dass ich was an den ConfigDateien bearbeiten muss, weiss ich, deswegen habe ich es in diesem Thread gepostet. ;)
Nachdem ich den Beitrag von key106 auf Seite 1 gelesen habe, habe ich auch schon mit der accesslist experimentiert, aber leider nicht erfolgreich, deswegen hier die Frage nach Hilfe. :)

Die Avm Hilfeseiten zum Thema Vpn hab ich alle durch. Nur leider bringen die mich mit der accesslist nicht weiter. Wie ich nur eine einzelne IP durch lasse, weiss ich dadurch und durch diesen Thread, nur halt nicht, wie ich den Zugriff für eine Seite komplett verbiete.

Grüßle
Marco
 
Hallo Marco,

Das was du meinst ist doch sicherlich das aus den anderen (Teil-VPN-)Netzen kein Zugriff auf das Web-IF deiner Fritte zugegriffen werden soll?
Dann wäre ein VPN ohne Probleme möglich (und auch sinnvoll aus den o.g. Gründen von Dir).

Original von AVM ist folgendes:
accesslist = "permit ip <Source-IP> <Source-Mask> <Dst-IP> <Dst-Mask>";

Wenn Du jetzt noch tcp und eq <Port> hinter der Quell-Maske zusätzlich einfügst, so das folgendes rauskommt:

accesslist = "deny <Protokoll> <Source-IP> <Source-Mask> eq <Port> <Dst-IP> <Dst-Mask>";

Übersetzt heißt das jetzt:
"erlaube Protokol ip Quell-IP Maske entspricht Quellport Ziel-IP Maske"

Damit nun die ganze Sache auch läuft machste Folgendes:

accesslist =
"deny tcp <Source-IP> <Source-Mask> eq 80 <Dst-IP> <Dst-Mask>",
"deny tcp <Source-IP> <Source-Mask> eq 23 <Dst-IP> <Dst-Mask>",
"deny tcp <Source-IP> <Source-Mask> eq 445 <Dst-IP> <Dst-Mask>",
"permit ip <Source-IP> <Source-Mask> <Dst-IP> <Dst-Mask>";

Das ganze also für jede VPN-Verbindungs-Konfig, in deinem Falle also 2 mal.
Mit diesem Konstrukt kannst du übrigens wirkungsvoll auch Telnet, SMB (->NAS) etc. unterbinden. (Siehe Beispiel)

Der "Trick" dabei ist der das du die abgehenden (VPN)-Verbindungen als Quellport "filterst".
(Man könnte auch auf den anderen beiden Boxen den Ziel-Port filtern, jedoch hat man dann keinen "Schutz" mehr
wenn jemand diese Konfig ändert...)
Zur Erinnerung: Eine Netzwerkverbindung ist grundsätlich bidirektional, aus den anderen beiden VPN-Netzen können
zwar alle dein Web-If, Telnet, NAS ansprechen - die Regel aber sagt das der (von deiner Box) abgehende Traffic dieser
Dienste (eben der Quell-Port, also 80 deines Web-IF z.B.) NICHT zurückgeleitet wird.
Folge ist das von "aussen" (im Sinne der VPN-Teilnetze) nicht erreichbar ist (obwohl ein Ping z.B. ohne weiteres möglich ist)

Falls Fragen noch sind: Trau dich ;)
Es ist noch mehr möglich...

MfG Thomas

PS: deine Sache mit der "virtuellen IP ist schlicht ein "verkaufter" Client-Zugang der einen Box auf einer Anderen.
Der Client-Box wird das aber geschickt als LAN-LAN Koppelung "verkauft" - ist aber schlicht eine Client-LAN Koppelung.
Dort greift das auch mit den Ports - die Maske sollte/muß (da es ein Host ist) folglich 32 Bit sein (255.255.255.255).
 
Zuletzt bearbeitet:
accesslist = "deny ip <Source-IP> <Source-Mask> eq <Port> <Dst-IP> <Dst-Mask>";

Übersetzt heißt das jetzt:
"erlaube protokol ip Quell-IP Maske entspricht Quellport Ziel-IP Maske"
Zum Vergrößern anklicken....
Tippfehler: deny und erlaube passt nicht zusammen, oder?
 
Jupp.
So ist es.

Das kommt davon wenn man beim Erstellen "copy and paste" mal einfach so macht. ;)
 
Vielen Dank Thomas!

Das man das auf Portebene machen muss, wusste ich noch nicht. Ich lese mich eigentlich immer gern in solche Sachen ein, nur habe ich irgendwie nichts zu der "accesslist" gefunden, außer die spärlichen Infos bei AVM und eben deinen ausführlichen Erklärungen in diesem Thread hier. ;) Ähnliches auch in anderen Foren, allerdings hat sich das alles nur mit Beschränkungen auf bestimmte einzelne IPs bezogen und nicht auf das, was ich möchte.
Hast du vielleicht eine Lektüre für mich als Tipp? Egal ob Buch oder irgendeine Seite.. Ich würde gerne wissen, was da alles möglich ist. :D Kann auch gerne mehr zum Thema Netzwerk allgemein sein..

Ich hatte mit der accesslist auch schon ein wenig experimentiert, aber irgendwie haben meine "Ideen" nicht funktioniert.

Meine Fragen:

1. Wenn von meiner Box der abgehende Traffic auf den 3 Ports gefiltert wird, wie kann ich denn dann auf die 2 anderen Boxen zugreifen? (läuft doch auf den selben Ports oder nicht?! mach ich jetzt einen Denkfehler?)
2. Ist es nur möglich, das auf Portebene zu realisieren oder geht das auch anders?
3. Gelten in der accesslist nur die IPs der privaten Netzwerke?
4. Angenommen auf einer Box wird das Netz auf einen anderen IP-Bereich umgestellt, funktioniert die VPN Connection dann trotzdem noch oder aufgrund der phase2localid/phase2remoteid Einträge nicht mehr? Ansonsten müsste ich statt "any" immer die IP-Bereiche benutzen oder?


Wäre es so richtig?

Box1 = 192.168.1.0 255.255.255.0 (meine)
Box2 = 192.168.2.0 255.255.255.0
Box3 = 192.168.3.0 255.255.255.0

Auf Box1:

Code: 
accesslist = 
 "deny ip 192.168.1.0 255.255.255.0 eq 80 192.168.2.0 255.255.255.0",
 "deny ip 192.168.1.0 255.255.255.0 eq 23 192.168.2.0 255.255.255.0",
 "deny ip 192.168.1.0 255.255.255.0 eq 445 192.168.2.0 255.255.255.0",
 "permit ip any 192.168.2.0 255.255.255.0";

bzw. wäre das Folgende das Selbe?

Code: 
accesslist = 
 "deny ip 192.168.1.0 255.255.255.0 eq 80 any",
 "deny ip 192.168.1.0 255.255.255.0 eq 23 any",
 "deny ip 192.168.1.0 255.255.255.0 eq 445 any",
 "permit ip any 192.168.2.0 255.255.255.0";

Und dem entsprechend noch den Eintrag für Box3.

Gruß
Marco
 
Hallo Marco,

1. Wenn von meiner Box der abgehende Traffic auf den 3 Ports gefiltert wird, wie kann ich denn dann auf die 2 anderen Boxen zugreifen? (läuft doch auf den selben Ports oder nicht?! mach ich jetzt einen Denkfehler?)
Zum Vergrößern anklicken....

Ja das kannst Du ohne Probleme, und ja - es ist ein Denkfehler ;)
Wenn Du die anderen Boxen z.B. per Web-IF ansprichtst dann ist es aus der Sicht deiner Box der ZIEL-Port, nicht der QUELL-Port ;)


2. Ist es nur möglich, das auf Portebene zu realisieren oder geht das auch anders?
Zum Vergrößern anklicken....

Ich sage es mal anders: Was "anderes" als Addressen, Masken, Ports und Protokolle kennt die Box eh nicht (ok, Statefull Inspection kann 'se auch noch).

3. Gelten in der accesslist nur die IPs der privaten Netzwerke?
Zum Vergrößern anklicken....

Definitiv Nein, du kannst sogar - wenn Du es möchtest - bestimmte Addressen (oder Bereiche) "durch" das VPN leiten. Dann ist das so als wenn du diesen "speziellen" Server
mit der öffentlichen IP der jeweils anderen Box diesen Server kontaktierst.
Oder anders: "Du machst ein auf U-Boot-Fahrer und tauchst an einer anderen Stelle im Netzwerk auf" (nähmlich an der Fritte welche deine Anfrage ins Netz stellt...)
Dazu gibts hier aber schon ausführliche Anleitungen, welche echt gut sind.


4. Angenommen auf einer Box wird das Netz auf einen anderen IP-Bereich umgestellt, funktioniert die VPN Connection dann trotzdem noch oder aufgrund der phase2localid/phase2remoteid Einträge nicht mehr? Ansonsten müsste ich statt "any" immer die IP-Bereiche benutzen oder?
Zum Vergrößern anklicken....

Naja, es haut ja eigentlich nichts mehr hin, daher sollten ja solche fundamentalen Sachen wie Addr u Masken definitv vorher feststehen - das erspart ein Haufen Arbeit...


Zu deinen Accesslists:

Arbeite lieber mit Hosts-Addr, nicht mit Bereichen. Das hat den Hintergrund das du im anderen Netz (die andere Seite) einen Web-Server aufstellen kannst ohne dabei (wieder mal) die VPN-Konfig anfassen zu müssen. Wenn du mit IP-Bereichen arbeitest (->192.168.1.0 255.255.255.0 ist so ein Fall) dann würdest du ganze Bereiche damit abriegeln, dabei wolltest du doch nur "deine" Fritte abriegeln...
Oder Du stellst in deinem Netz (u.a. für die beiden VPN-Netze) ein Web/File/FTP/oder was auchimmer-Server ein.
Dann fängt das Gefrickel der Konfigs wieder von vorne an...

bzw. wäre das Folgende das Selbe?
Zum Vergrößern anklicken....

Ja ist es, nur halt mit den o.g. Einschränkungen...

Nehmen wir mal an deine Fritte hat die IP 192.168.1.10 dann wäre folgendes in deiner VPN-Konfig sinnvoll:

"deny ip 192.168.1.10 255.255.255.255 eq 80 192.168.2.0 255.255.255.0",
und
"deny ip 192.168.1.10 255.255.255.255 eq 80 192.168.3.0 255.255.255.0",

Ganz einfach: "Verbiete von 192.168.1.10 nur diese Addr wenn Quellport 80 und Ziel 192.168.2.irgendwas ist"
bzw. "Verbiete von 192.168.1.10 nur diese Addr wenn Quellport 80 und Ziel 192.168.3.irgendwas ist"

Maske mit 255.255.255.255 heißt immer eine IP.

Du brauchst die anderen beiden Konfigs (deranderen beiden Boxen) gar nicht anfassen, das machste hier NUR mit deiner Konfig, das spart Arbeit und wenn auf der anderen Seite sich "einer" an genau diesen Accesslists "vergreift" dann kann "der sich schlicht Modder auf den Kopf legen"... ;)


MfG Thomas
 
Zuletzt bearbeitet:
Hallo Key106, Superbeitrag!

Auch Dank an Löffelbär, hat er mir doch erst durch seinen Beitrag bewusst gemacht, dass die entfernten 7170 eigentlich nichts auf meiner 7390 verloren haben.

Sehr hilfreich für mich war der Text:
Zur Erinnerung: Eine Netzwerkverbindung ist grundsätlich bidirektional, aus den anderen beiden VPN-Netzen können
zwar alle dein Web-If, Telnet, NAS ansprechen - die Regel aber sagt das der (von deiner Box) abgehende Traffic dieser
Dienste (eben der Quell-Port, also 80 deines Web-IF z.B.) NICHT zurückgeleitet wird.
Folge ist das von "aussen" (im Sinne der VPN-Teilnetze) nicht erreichbar ist (obwohl ein Ping z.B. ohne weiteres möglich ist)
Zum Vergrößern anklicken....
Das führte mich zu der einfachen Lösung:

Vorher:
accesslist = "permit ip any 192.168.110.0 255.255.255.0";
Nachher:
accesslist = "permit ip any 192.168.110.1 255.255.255.255";

in der Konfigurationsdatei der 7390, für jede entfernte Fritz.

Die Peripherien der 7170 haben keinen Zugriff mehr auf meine 7390, ich aber schon noch auf die 7170.
Das Telefonieren innerhalb des VPN klappt wie zuvor.

Erfolgserlebniss!!! :) :) :)
 
Moment mal henry90 (und auch Thomas), genau das wollte ich doch auch. Überhaupt keinen Zugriff auf irgendwas von den anderen 2 Teilnetzen auf mein Netz. Zumindest bis ich ein NAS habe. Und wenn ich was aufstelle (Server, NAS, etc.), dann ist das nur in meinem Netz. Ob ich dann nochmal die Configs ändern muss, ist mir im Moment eigentlich schnuppe. Hauptsache jetzt ist erstmal alles dicht, ich weiss ja nicht, welcher Wlan Nutzer in den anderen Netzen sich welchen Spaß erlauben möchte.. ;)

@henry90:
Ich nehme mal an, die 192.168.110.1 ist die IP von einer deiner 7170er? Mit der Zeile schließt du aber auch aus, dass du auf was anderes außer die 7170 Zugriff hast oder?
Oh man, irgendwie muss ich über jede Zeile erstmal 5 mal nachdenken bzw mir das fast bildlich vorstellen, um zu verstehen, was die Regel nun macht.. :D

@Thomas:
Sorry, dass wir da ein wenig aneinander vorbei geredet haben. :(

zu 1.:
alles klar ;)

zu 2.:
Ich meinte damit das Aussperren der anderen Netze von meinem. Aber wie ich gerade nach henry90's Beitrag gemerkt habe, dachtest du, ich möchte nur das WebIF sperren und ich hab heute Mittag gar nicht richtig mitgedacht.. Auf meine Rechner etc. sollte natürlich auch kein Zugriff möglich sein. (was eigentlich nur zur Sicherheit dienen soll, falls in den anderen Netzen Dritte irgendwie Zugriff bekommen, sei es jetzt durch Schadsoftware, Sicherheitslücken, Besucher im Wlan oder sonstige potentielle Möglichkeiten)

zu 3.:
Das wird für die Verbindung zwischen den Boxen von mir nicht benötigt. Ich hoffe aber, dass das vom FritzOS 6.0 automatisch für Client>LAN VPNs erstellt wird. Für die 7170 muss ich ja noch über die Software eine Config erstellen, wo man explizit einen Haken setzen muss, damit der Traffic vom Handy über die Fritzbox geleitet wird.. Weiss das einer von euch zufällig, wie das die neue Firmware anlegt?

zu 4.:
Damit meinte ich auch den wahrscheinlich nie vorkommenden Fall, dass bei den entfernten Boxen irgendjemand die IP-Settings oder VPN Configs ändert. Ansonsten sind die Adressbereiche von mir klar definiert, da ich der alleinige "Admin" der 3 Boxen bin.. ;)

Deine accesslist Tipps waren denoch nicht umsonst, denn die brauche ich ja immer noch, wenn ich mal mein NAS habe und die Backupgeschichte starten will.

Bleibt noch die Frage offen, welche Lektüre(n) du empfehlen könntest?! :)

Ich bin schon wieder verwirrt..
henry90's Zeile bewirkt doch nur, dass alle Zugriff auf die 192.168.110.1 (Ziel) bekommen. Nur wie kommen nun die Antwortdaten, die die 192.168.110.1 zurück sendet, durch?

Ich dreh noch durch.. :mad:
 
@henry90:
Ich nehme mal an, die 192.168.110.1 ist die IP von einer deiner 7170er? Mit der Zeile schließt du aber auch aus, dass du auf was anderes außer die 7170 Zugriff hast oder?
Zum Vergrößern anklicken....
Beide male richtig!
Die Accesslist ist auch für mich ein unbekanntes Land, aber ich sehe das so:
Ein PC an der 7170 mit z.B. der IP 192.168.110.20, der per http auf meine 7390 zugreifen will, findet keinen Rückweg, da nur der Weg zu 192.168.110.1 frei gegeben ist.
Ich selbst kann deshalb auch nur auf 192.168.110.1, die 7170, zugreifen. Mehr will ich aber auch nicht.

henry90's Zeile bewirkt doch nur, dass alle Zugriff auf die 192.168.110.1 (Ziel) bekommen. Nur wie kommen nun die Antwortdaten, die die 192.168.110.1 zurück sendet, durch?
Zum Vergrößern anklicken....
In der 7390 ist nur der Weg von der 7390 zur 7170 und nur zur 7170 festgelegt. In umgekehrter Richtung schreibt die 7390 nichts vor.

Ich würde sagen, probiere es einfach mal aus.
 
Zuletzt bearbeitet:
[FONT=Verdana, Arial, Tahoma, Calibri, Geneva, sans-serif]Hallo :)
Ich hatte die ganze Zeit im Hinterkopf das ihr das "gegnerische" Teilnetz "mit Argus-Augen" trotzdem beobachten wolltet.
Wenn ihr das nur über die IP-Addr regelt dann habt ihr das "restliche" Teilnetz nicht mehr im "Blick".

Aber es ist erst mal gut das es so läuft. Rumfrickeln könnt ihr ja immer noch drann. ;)

MfG Thomas[/FONT]
 
[Edit Novize: Überflüssiges Fullquote vom Beitrag direkt darüber gelöscht - siehe Foren-Regeln]

Das will ich ja auch, bzw. die Möglichkeit auf jeden Fall offen halten. Nur die anderen Netze nicht bei mir. ;)
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 571 (Mitglieder: 11, Gäste: 560)

Neueste Beiträge

Statistik des Forums

Themen
246,300
Beiträge
2,249,714
Mitglieder
373,904
Neuestes Mitglied
Elemir
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück