[Problem] Anmeldung Fritzbox mit VPN

[graefe]

Hallo,
Ich habe meine FB 7390 im Büro (mit aktuellem OS) so konfiguriert, dass keine Anmeldung über Internet möglich ist. Von zu Hause aus kann ich die Box verwalten, weil zwischen den Boxen eine VPN-Verbundung besteht. Soweit kein Problem.
Wenn ich mich direkt mit der 7390 mit einem VPN verbinde, kann ich mich jedoch nicht anmelden bzw. erst dann anmelden, wenn ich die Anmeldung über Internet in den Einstellungen erlaubt habe.
Man könnte es ja noch als Sicherheitsmerkmal durchgehen lassen, dass die Box einen Zugriff über VPN als Internetzugriff interpretiert. Aber bei der 7320 zu Hause funktioniert alles wie erwartet.
Hat jemand eine Idee, wo der Fehler liegen könnte?
Danke
Graefe

 

[andiling]

Anmerkung: Lt. Signatur hat Deine 7390 06.23, was nicht mehr aktuell ist.

Und zum Verständnis Deiner Szenarien:

a) Es besteht eine VPN Verbindung zwischen der 7320 und 7390? Wer baut die Verbindung auf? Und: Aus dem internen Netz der 7320 kannst Du Dich bei der 7390 dann anmelden?

b) Wer sind hier die VPN Partner? Wer baut die Verbindung auf? Aus welchem Netz greifst Du dann zu?

 

[PeterPawn]

wenn ich die Anmeldung über Internet in den Einstellungen erlaubt habe.

Ich rate mal und tippe, daß Du damit die Einstellung beim Benutzer-Konto meinst und nicht die Einstellung in der Box, ob überhaupt externer Zugriff erlaubt ist.

Man könnte es ja noch als Sicherheitsmerkmal durchgehen lassen, dass die Box einen Zugriff über VPN als Internetzugriff interpretiert.

Das sehe ich tatsächlich als solches an ... ein VPN-Zugriff ist kein lokaler Zugriff und am Ende erfolgt der eben über das Interface "dsl" anstelle von "lan", was eine Differenzierung erschwert. IPSec-Verbindungen laufen eben bei der FRITZ!Box immer über "dev dsl", genau wie jede andere WAN-Verbindung auch.

Aber bei der 7320 zu Hause funktioniert alles wie erwartet.

Das liegt ggf. an verschiedenen Firmware-Ständen? Auch ist das eben eine Frage der Erwartungen ... wie Du selbst feststellst, ist es reine Definitionsfrage, was nun das "richtige Verhalten" sein sollte. Beide Versionen haben gute Argumente für und wider ...

Da sich (wenn meine Vermutung oben stimmt) das ja nicht weiter auswirkt, wenn Du dem Benutzer (bei gesperrtem externen Zugriff auf die Box bzw. auf deren GUI/TR-064) auch den "Zugriff aus dem Internet" erlaubst, sehe ich das Problem nicht ... außer Du suchst nur nach der/einer Erklärung und nicht nach einer "Lösung" ("wo der Fehler liegen könnte" deutet mehr in die Richtung, daß Du damit ein Problem hast).

 

[graefe]

Zunächst danke für Eure Hinweise.
In der Tat sind die beiden FB per LAN-LAN-Kopplung (wie das bei AVM heisst) verbunden. Der Zugriff von extern erfolgt über IP-SEC (z.B. iOS), alles nach der Empfehlung von AVM konfiguriert.
Ich möchte beide FB nach außen möglichst abschließen und VPN sollte die einzige Verbindungsmöglichkeit von außen sein.
Wenn ich zu FB A extern mit dem iPad einen VPN-Tunnel aufbaue, dann kann ich mich nur anmelden, wenn diesem Benutzer Zugriff aus dem Internet gewährt wird (was ich eigentlich alles ausschließen wollte). Ok, könnte ein Sicherheitsfeature sein.
Über FB B (die per LAN-LAN-Kopplung mit FB A verbunden ist) kann ich mich problemlos bei der FB A anmelden, auch wenn der Zugriff aus dem Internet bei FB A gesperrt ist. Offensichtlich werden die beiden VPN unterschiedlich bewertet. Das kann ich auch noch nachvollziehen.
Das merkwürdige: Dies funktioniert auch dann, wenn ich mich mit FB B nur per VPN verbunden bin. Wenn ein externer VPN-Zugriff als Internet-Zugriff bewertet würde, der Zugriff aus dem Internet über die LAN-LAN-Kopplung einer zweiten FB aber möglich ist, wäre das eine Sicherheitslücke.

Graefe