AVM VPN Netz2Netz nur in eine Richtung

[lxuser]

Hallo,

Ich habe von meiner 7170 zu zwei weiteren 7170 mit dem AVM VPN Tunnel aufgebaut.

Im Webinterface wird der Tunnel jeweils bei beiden Boxen als aufgebaut angezeigt. Jedoch funktioniert der Zugriff jeweils nur aus den anderen beiden Netzwerken in mein Netzwerk. Umgekehrt kann ich nicht auf die anderen Netzwerke zugreifen.

Alle Netz haben unterschiedliche Subnetze mit 255.255.255.0 Masken...

Viele Grüsse
Mario

 

[big_blue]

Hi.

Ich suche eigentlich genau nach so einer Möglichkeit. Weiß einer hier im Board ob diese Konstellation möglich ist?:

Fritzbox 7270 (Masternetz):
IP: 192.168.99.0
Subnetz: 255.255.255.0

Verbunden mit mehreren anderen FritzBoxen. z.B:
Fritzbox 7170 (Client1):
IP: 192.168.88.0
Subnetz: 255.255.255.0

Fritzbox 7170 (Client2):
IP: 192.168.77.0
Subnetz: 255.255.255.0

Soweit so gut. Es funktioniert auch alles. Vom "Masternetz" (192.168.99.0) kann auf alle Clientnetze (Client 1 und 2) zugegriffen werden und umgekehrt. Dies jedoch will ich nicht. Client2 soll nicht auf das Masternetz zugreifen können, Client1 jedoch schon

Im Prinzip sollte sowas doch über die Subnetzmaske gehen. Jedoch kann ich bei dem einrichten des Masternetzen über das AVM-Tool nur 1x die Subnetzmaske angeben. Die wird dann immer für diese Box genutzt. Habe ich da einen Denkfehler drin?

DANKE für Eure Hilfe

 

[PCMor]

Im Webinterface wird der Tunnel jeweils bei beiden Boxen als aufgebaut angezeigt.

Demnach sollten in deiner 7170 zwei VPN-Verbindungen angezeigt werden - ist dem so?

Jedoch funktioniert der Zugriff jeweils nur aus den anderen beiden Netzwerken in mein Netzwerk. Umgekehrt kann ich nicht auf die anderen Netzwerke zugreifen.

Dann sollte was mit den accesslist-Einträgen nicht stimmen...

Poste doch mal etwas aus den vpn.cfg's der drei Boxen, vielleicht sieht man dann eher was.

 

[PCMor]

Vom "Masternetz" (192.168.99.0) kann auf alle Clientnetze (Client 1 und 2) zugegriffen werden und umgekehrt.

So ist es in der Regel ja auch gewollt...

Dies jedoch will ich nicht. Client2 soll nicht auf das Masternetz zugreifen können, Client1 jedoch schon

Wer welchen Zugriff erhält, regelst du über die Einträge in der accesslist - allerdings habe ich das noch nicht gemacht (will ja nun auch, dass sich bei so 'nem Site2Site-VPN die Netze gegenseitig sehen). Funktionieren könnte aber sowas (vpn.cfg der Client2-7170 - teste mal, ohne Gewähr):

accesslist = permit ip 192.168.178.1 255.255.255.255 192.168.167.0 255.255.255.0

...wobei 192.168.178.1/32 die interne IP deiner Client2-7170 wäre und 192.168.167.0/24 die Adresse deines Master-Netzes. Sollte das funzen, kann nur die Client2-7170 auf dein Netz zugreifen; ob du dann aber auch noch komplett auf die Gegenseite kommst... :gruebel:

Im Prinzip sollte sowas doch über die Subnetzmaske gehen. Jedoch kann ich bei dem einrichten des Masternetzen über das AVM-Tool nur 1x die Subnetzmaske angeben.

Die Subnetzmaske ermöglicht dir die Unterteilung bzw. Einschränkung der Anzahl der möglichen Hosts in einem Netzwerk. Ganz stumpf: Maske 32 (255.255.255.255) = 1 mögl. Adresse, Maske 24 (255.255.255.0) = 256 mögl. Adressen (wobei die .0 im letzten Oktett die Adresse des gesamten Netzwerkes wäre und die .255 die für Broadcasts, also netto 254 mögliche Hosts).