[Problem] 2 x Fritz!Box VPN, nur jeweils ein internes Gerät inkl. Portbeschränkung?

[Robert.Moss]

Hallo zusammen,

ich komme mit der VPN Konfiguration nicht weiter und hoffe ihr könnt mir helfen.

Folgendes Szenario:

1. Fritz!Box 7490 mit der lokalen IP 192.168.0.1 soll eine VPN Verbindung mit der Fritz!Box 7270 und der lokalen IP 192.168.18.1 aufbauen.
2. In diesem Tunnel sollen dann nur 2 Geräte kommunizieren können (192.168.0.2 und 192.168.18.40)
3. Diese Kommunikation soll auf den Port 21 beschränkt werden.

Punkt 1 ging problemlos.

Punkt 2 habe ich gelöst in dem ich folgenden Einträge in den Boxen gesetzt habe:

In der 7490 (192.168.0.1):

accesslist = "permit ip 192.168.0.2 255.255.255.255 192.168.18.40 255.255.255.255";

In der 7270 (192.168.18.1):

accesslist = "permit ip 192.168.18.40 255.255.255.255 192.168.0.2 255.255.255.255";

So weit so gut, bei Punkt 3 komme ich aber nicht weiter. Ich habe in anderen Beiträgen was von "deny" und "eq 21" gelesen, habe aber keinen Plan wie ich das anwenden muss.

Jemand eine Idee?

Robert

P.S. Die accesslist Einträge habe ich jetzt aus dem Gedächtnis aufgeschrieben, wir habe die VPN Verbindung temporär deaktiviert und erreiche an der Gegenstelle gerade niemanden um das zu überprüfen.

 

[eisbaerin]

Ganz einfach:
für die FB7490:

accesslist = "permit ip 192.168.0.2 255.255.255.255 192.168.18.40 255.255.255.255 [COLOR="#FF0000"]eq 21[/COLOR]";

oder wenn du es noch auf nur TCP beschränken willst:

accesslist = "permit [COLOR="#FF0000"]tcp[/COLOR] 192.168.0.2 255.255.255.255 192.168.18.40 255.255.255.255 [COLOR="#FF0000"]eq 21[/COLOR]";

die FB7270 dann entsprechend.

 

[Robert.Moss]

Danke, mit Deinem Eintrag sind wir ein Stück weiter.

accesslist = "permit tcp 192.168.0.2 255.255.255.255 192.168.18.40 255.255.255.255 eq 21";

Nun wird der VPN Tunnel erst aufgebaut wenn eine Anfrage über Port 21 läuft.

Leider können die Geräte aber nicht miteinander kommunizieren. In der Fritz!Box Oberfläche wird die Verbindung als aktiv angezeigt, ein Ping ist nicht möglich (durch die Einschränkung auf tcp), aber auch eine FTP Verbindung klappt nicht.

 

[Telefonmännchen]

Logisch. Port 21 dient ja auch nur dem Verbindungsaufbau bzw. der Übermittlung der Verzeichnislisten. Die eigentliche Datenübertragung läuft auf zusätzlich ausgehandelten Ports und dieser Trafic kommt nicht durch den Tunnel, weil keine Regel dafür existiert.

Gruß Telefonmännchen

 

[HabNeFritzbox]

Datenübertragung läuft normal auf Port 20 auf Server Seite. Sonst ggf. noch zusätzlichen passiven Port festlegen.

 

[Robert.Moss]

[...] Port 21 dient ja auch nur dem Verbindungsaufbau bzw. der Übermittlung der Verzeichnislisten [...]

Es kommt aber zu keinem FTP Verbindungsaufbau sondern zu einem Timeout wenn man sich mit dem FTP Server verbinden möchte.

Datenübertragung läuft normal auf Port 20 auf Server Seite. Sonst ggf. noch zusätzlichen passiven Port festlegen.

Also in etwa so?

accesslist = "permit tcp 192.168.0.2 255.255.255.255 192.168.18.40 255.255.255.255 eq 20",
"permit tcp 192.168.0.2 255.255.255.255 192.168.18.40 255.255.255.255 eq 21";

 

[Telefonmännchen]

Es kommt aber zu keinem FTP Verbindungsaufbau sondern zu einem Timeout wenn man sich mit dem FTP Server verbinden möchte.

Logisch, wenn zwar irgendwas ausgehandelt wird, aber letztendlich keine Verbindung aufgebaut wird, läuft es in den Timeout. Du kannst auch einem hübschen Mädel Deine Telefonnummer geben. Wenn sie Dich nicht anruft, wartest Du auch ewig.

Also in etwa so?

Könnte passen, oder auch noch Ports jenseits der 1023 notwendig sein. Je nachdem ob aktives oder passives FTP gefahren wird (Quelle). Meiner Meinung kannst Du solche Portbegrenzungen vielleicht mit HTTP(S) oder ähnlichen Singleportanwendungen machen, aber bei FTP wird es meiner Meinung nach nicht funktionieren. Ich lasse mich gern eines Anderen belehren.

Gruß Telefonmännchen

 

[Robert.Moss]

[...] Meiner Meinung kannst Du solche Portbegrenzungen vielleicht mit HTTP(S) oder ähnlichen Singleportanwendungen machen, aber bei FTP wird es meiner Meinung nach nicht funktionieren. [...]

Alternativ haben wir es mit einer Telnet Verbindung probiert:

accesslist = "permit ip 192.168.0.2 255.255.255.255 192.168.18.40 255.255.255.255 eq 23";

das funktioniert aber genauso wenig. Sprich Tunnel wird aufgebaut, aber keine Kommunikation möglich. Nehmen wir eq 23 oder im anderen Beispiel eq 21 wieder raus, klappt die Kommunikation - aber leider auf allen Ports.

 

[eisbaerin]

Also in etwa so?

accesslist = "permit tcp 192.168.0.2 255.255.255.255 192.168.18.40 255.255.255.255 eq 20",
"permit tcp 192.168.0.2 255.255.255.255 192.168.18.40 255.255.255.255 eq 21";

Ja aber nur auf einer FB, die andere FB ohne "eq",
dann sollte FTP von 192.168.0.2 nach 192.168.18.40 gehen.

 

[Robert.Moss]

Ja aber nur auf einer FB, die andere FB ohne "eq",
dann sollte FTP von 192.168.0.2 nach 192.168.18.40 gehen.

Also entweder habe ich das System nicht durchschaut, oder es ist völlig unlogisch...

Habe jetzt in die entfernte Box den Eintrag mit "eq" gesetzt und in meiner Box nicht. Nun war der Verbindungsaufbau und Zugriff von der entfernten Box möglich. Aber es kann doch nicht sein, dass die entfernte Box bestimmen kann, welche Ports er gerne haben möchte.

Mein Ziel ist doch eine VPN Verbindung zu haben, die nur 2 bestimmte Geräte nutzen können und nur auf einen bestimmten Port. Wobei ich den Port vorgeben möchte.

 

[HabNeFritzbox]

Die eine Seite verwendet halt fixen Port und der andere einen zufälligen, daher klappt es halt nicht.

 

[eisbaerin]

Aber es kann doch nicht sein, dass die entfernte Box bestimmen kann, welche Ports er gerne haben möchte.

Doch, das ist schon logisch. Die Box prüft am Eingang vom VPN, welche Pakete rein dürfen.
Am Ausgang des VPN wird da nichts geprüft.
Man darf es nicht als Accessliste/Firewall sehen (auch wenn es so heißt), es ist nur ein Filter.

Du kannst jetzt ja noch auf deiner Seite so filtern:

accesslist = "permit tcp 192.168.0.2 255.255.255.255 [COLOR="#FF0000"]eq 21[/COLOR] 192.168.18.40 255.255.255.255";

dann gehen nur die Pakete mit Source Port 21 zurück.