Hallo,
meine FritzBox 7390 (kein Freetz) verbindet sich per VPN zu meinem privaten Linux-Server (strongSwan), das klappt soweit.
Sobald die Verbindung steht kann allerdings vom Linux-Server aus jeder Rechner in meinem Heimnetz erreicht werden. Ziel ist, daß nur Verbindungen aus dem Heimnetz in das VPN auf dem Linux-Server zugelassen werden. In der Richtung Linux-Server => Heimnetz soll das nicht möglich sein.
Scheinbar kann man mit "reject" oder "deny" in der accesslist nicht das erreichen was ich mir vorstelle:
hat leider nichts gebracht, es können noch immer Verbindungen in beide Richtungen aufgebaut werdebn.
Was genau bedeutet denn "permit" im Kontext vpncfg / accesslist? Wenn mann den Beiträgen hier oder hier glaubt, hat das mehr mit Routing als mit Filtern zu tun ...
Hier mal ein Ausschnitt aus meiner vpncfg:
meine FritzBox 7390 (kein Freetz) verbindet sich per VPN zu meinem privaten Linux-Server (strongSwan), das klappt soweit.
Sobald die Verbindung steht kann allerdings vom Linux-Server aus jeder Rechner in meinem Heimnetz erreicht werden. Ziel ist, daß nur Verbindungen aus dem Heimnetz in das VPN auf dem Linux-Server zugelassen werden. In der Richtung Linux-Server => Heimnetz soll das nicht möglich sein.
Scheinbar kann man mit "reject" oder "deny" in der accesslist nicht das erreichen was ich mir vorstelle:
Code:
accesslist = "deny ip 192.168.135.0 255.255.255.0 any",
"permit ip any 192.168.135.0 255.255.255.0";
hat leider nichts gebracht, es können noch immer Verbindungen in beide Richtungen aufgebaut werdebn.
Was genau bedeutet denn "permit" im Kontext vpncfg / accesslist? Wenn mann den Beiträgen hier oder hier glaubt, hat das mehr mit Routing als mit Filtern zu tun ...
Hier mal ein Ausschnitt aus meiner vpncfg:
Code:
vpncfg {
connections {
enabled = yes;
...
phase2localid {
ipnet {
ipaddr = 192.168.64.0;
mask = 255.255.254.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.135.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.135.0 255.255.255.0";
} {
Zuletzt bearbeitet: