[Gelöst] Über AVM VPN-Tunnel zwischen 2 FBoxen nur bestimmten Traffic umleiten

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
zoolook

zoolook

Neuer User
Mitglied seit
30 Jun 2005
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Hallo, ein gesundes Neues Jahr allerseits!

Ich bin auf ein Problem gestossen, bei folgendem Vorhaben und Mitteln:
  • Aus dem Heimnetzwerk in Deutschland möchte ich mit einer rumänischen IP-Adresse auf einen Videodienst zugreifen können (der logischerweise nur IPs die geographisch entsprechen, bedient), über eine Android-App auf dem Amazon FireTV welches im Netz und am Fernseher hängt;
  • Meine FB hier in DE kann ich erfolgreich an die meiner Eltern in Rumänien über VPN als client verbinden, so daß ich sowohl auf deren LAN zugreifen kann, als auch mit meinem gesamten LAN hier in DE über die rumänische IP-Addresse ins Netz komme (also mein Hauptanliegen, diesen Streaming-Dienst von einem in meinem LAN hängenden Gerät nutzen zu können, ist erreicht).
Jetzt das Problem: ich würde eigentlich den Traffic, der durch den VPN-Tunnel geht, nur auf bestimmte IPs begrenzen, sonst habe ich Probleme mit manchen VoIP-Accounts, wenn die sich nun aus dem Ausland verbinden wollen. Der relevante Teil in der Accesslist, der den ganzen Traffic über das entfernte Netzwerk routet, wenn die Verbindung steht, sieht so aus (hier im Forum diesen Ansatz gefunden):
Code: 
                accesslist = "reject udp any any eq 53",
                             "reject udp any any eq 500", 
                             "reject udp any any eq 4500",
                             "permit ip any any";
Ich hatte mir gedacht, es müsste funktionieren, die letzte Zeile so zu ändern:
Code: 
"permit ip any aaa.bbb.ccc.0 255.255.255.0";
um nicht den gesamten Trafic durch den Tunnel umzuleiten, sondern nur jenen zu der generischen Netzwerkklasse "aaa.bbb.ccc.0". Funktioniert aber leider nicht, der Tunnel wird nicht mehr aufgebaut. Wenn ich in der Cfg-Datei das wieder rückgängifg mache und sie neu importiere, dann geht wieder der gesamte Traffic über die entfernte FB. Bestimmt mache ich etwas falsch, weiß denn jemand Rat?

Viele Grüße,
Lucian
 
Zuletzt bearbeitet:
zoolook schrieb:
Code: 
                accesslist = "reject udp any any eq 53",
                             "reject udp any any eq 500",
                             "reject udp any any eq 4500",
                             "permit ip any any";
Zum Vergrößern anklicken....


Die zwei Fritzboxen (Fritzbox_A/192.168.xxx.1 und Fritzbox_B/192.168.yyy.1) sollten gegenseitig in den accesslist freigeschaltet sein;
Beispiel:
vpn_Fritzbox_A.cfg:
Code: 
                accesslist = "reject udp any any eq 53",
                             "reject udp any any eq 500",
                             "reject udp any any eq 4500",
                             permit ip 192.168.xxx.1 255.255.255.255 192.168.yyy.1 255.255.255.255",
                             permit ip any aaa.bbb.ccc.0 255.255.255.0";


vpn_Fritzbox_B.cfg:
Code: 
                accesslist = "reject udp any any eq 53",
                             "reject udp any any eq 500",
                             "reject udp any any eq 4500",
                             permit ip 192.168.yyy.1 255.255.255.255 192.168.xxx.1 255.255.255.255",
                             permit ip aaa.bbb.ccc.0 255.255.255.0 any";


auch sind die Source- und Destinations-Scopes in der accesslists der beiden vpn.cfg "spiegelbildlich" aufzubauen.
 
Zuletzt bearbeitet:
Hallo Shirocco88,

danke für die Antwort, sie bestätigte mir daß ich prinzipiell auf dem richtigen Weg war. Die Fritzbox bei meinen Eltern hat eine VPN-Verbindung vom Typ "User", generiert direkt aus der Web-UI, und die schreibt in der accesslist lediglich
Code: 
accesslist = "permit ip 0.0.0.0 0.0.0.0 192.168.188.201 255.255.255.255";
und ich wollte diesmal nicht wieder riskieren, nach dem Hochladen einer Konfigdatei die Fritzbox nicht mehr erreichen zu können (ist mir vor paar Tagen passiert, zum Glück konnte der Umstand durch Löschen der so von mir vermurksten VPN-Verbindung wieder behoben werden).
Die VPN-Verbindung meiner FB hier in Deutschland ist vom Typ conn_type = conntype_out, und nun konnte ich tatsächlich mit folgender accesslist bloß ausgewählte IP-Bereiche sowie einige DNS-Anfragen durch den Tunnel umleiten:
Code: 
                accesslist = "deny ip any 192.168.187.0 255.255.255.0", # mein eigenes LAN
                             "reject udp any any eq 53",
                             "reject udp any any eq 500", 
                             "reject udp any any eq 4500",
                             "permit ip any 212.19.62.0 255.255.255.0", # da ist auch die IP von wieistmeineip.de, zur Bestätigung im Browser
                             "permit ip any aaa.bbb.ccc.0 255.255.255.0", # verschiedene Server die nur durch den Tunnel erreichbar sind 
                             "permit ip any ddd.eee.fff.0 255.255.255.0",
                               .........
                             "permit ip any 192.168.188.0 255.255.255.0"; # das remote LAN meiner Eltern
                dns_domains = "ein_vod_provider.ro",
                               .........
                              "wieistmeineip.de";
Nun kann ich tatsächlich auf wieistmeineip.de sehen, daß die öffentliche IP meiner Eltern erkannt wird, auf speedtest.net zum Beispiel aber meine eigene. So funktioniert nun auch das Videostreaming des Dienstes durch den Tunnel, und alles andere auch, am Tunnel vorbei.

Gruß,
Lucian
 
Zuletzt bearbeitet:
zoolook schrieb:
ich wollte diesmal nicht wieder riskieren, nach dem Hochladen einer Konfigdatei die Fritzbox nicht mehr erreichen zu können (ist mir vor paar Tagen passiert, zum Glück konnte der Umstand durch Löschen der so von mir vermurksten VPN-Verbindung wieder behoben werden).
Zum Vergrößern anklicken....
ich schalte immer vor der Änderung an VPN-Config temporär den https-Port der Remote-Box frei und führe alle VPN-Änderungen dann per Web-IF https://

- - - Aktualisiert - - -

zoolook schrieb:
Die VPN-Verbindung meiner FB hier in Deutschland ist vom Typ conn_type = conntype_out
Zum Vergrößern anklicken....
warum "conntype_out" und nicht "conntype_lan" ?
 
Shirocco88 schrieb:
ich schalte immer vor der Änderung an VPN-Config temporär den https-Port der Remote-Box frei und führe alle VPN-Änderungen dann per Web-IF https://
Zum Vergrößern anklicken....

Darüber hatte ich die Änderung auch gemacht, und auf einmal war das Web-IF weg, jeglicher Zugriff auf IP-Ebene auf die 1300km entfernte FB war nicht mehr möglich, ausser der bestehenden SSH-Session aus der ich ein reboot einleitete. Ich rief danach die Festnetznummer an, und der AB ging ran, also war die Box zumindest nicht in irgendeiner Bootschleife oder mit voll ausgelasteter CPU. Da meine Eltern derzeit bei uns zu Besuch sind, hatte ich Glück jemanden dem sie den Wohnungsschlüssel gelassen hatten bitten zu können, den VPN Eintrag lokal über das Web-IF wieder zu löschen, ferngesteuert übers Telefon, und augenblicklich war HTTPS dann wieder erreichbar :)

Shirocco88 schrieb:
warum "conntype_out" und nicht "conntype_lan" ?
Zum Vergrößern anklicken....
Meine Versuche mit "conntype_lan" gingen schief, ich bekam einfach keine VPN-Verbindung. Ich wollte ausserdem auch die existierende User-Verbindung nutzen, die ja vom Smartphone aus nutzbar ist, da braucht man anscheinend nicht nur den pre-shared key, sondern auch XAuth, und das ist zumindest in der Web-IF bei LAN-LAN Verbindung nicht vorgesehen.
 
zoolook schrieb:
Ich wollte ausserdem auch die existierende User-Verbindung nutzen, die ja vom Smartphone aus nutzbar ist [...]
Zum Vergrößern anklicken....
Ganz schlechte Idee ... jeder nur ein Kreuz.

Jedes Gerät, das sich mit einer FRITZ!Box im "Host-to-LAN"-Modus verbinden soll, braucht es eine eigene Verbindung oder es muß in jedem Falle sichergestellt werden, daß niemals mehr als ein Gerät gleichzeitig diese Verbindung nutzen will. Bei einer "alles zu bestimmten Adressen über VPN routen"-Verbindung schon ein recht unwahrscheinlicher Umstand - also dürfte diese eine VPN-Verbindung niemals für ein Smartphone verwendet werden.
 
PeterPawn schrieb:
Ganz schlechte Idee ... jeder nur ein Kreuz.

Jedes Gerät, das sich mit einer FRITZ!Box im "Host-to-LAN"-Modus verbinden soll, braucht es eine eigene Verbindung oder es muß in jedem Falle sichergestellt werden, daß niemals mehr als ein Gerät gleichzeitig diese Verbindung nutzen will. Bei einer "alles zu bestimmten Adressen über VPN routen"-Verbindung schon ein recht unwahrscheinlicher Umstand - also dürfte diese eine VPN-Verbindung niemals für ein Smartphone verwendet werden.
Zum Vergrößern anklicken....

Hast Recht, ich werde dafür sorgen, daß ich für den Fall daß ich mich mal vom Smartphone dahin verbinden will, eine andere Verbindung benutze, falls mehrere Smartphones das können sollten, jeder mit dem eigenen User und Verbindung.
Ansonsten wollte ich tatsächlich nicht irgendwelche Geräte aus meinem LAN komplett in das getunnelte LAN stehen haben, sondern daß sie tatsächlich nur zu jenen Geräten die tatsächlich dort sind, und halt noch zu bestimmten Adressen im Internet über den Tunnel die Verbindung aufnehmen können, das ist für meine Bedürfnisse flexibler.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 966 (Mitglieder: 33, Gäste: 933)

Neueste Beiträge

Statistik des Forums

Themen
244,871
Beiträge
2,219,884
Mitglieder
371,592
Neuestes Mitglied
dtochtermann
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück