Benutzer VPN Fritzbox Zugang begrenzen

DoctorUltra

Mitglied
Mitglied seit
4 Aug 2005
Beiträge
597
Punkte für Reaktionen
0
Punkte
16
Hallo,

ich möchte einen Nutzer im Zugriff per VPN einschränken? Z. b. Zugriff auf IP Adressen?, d. h. ich möchte das dieser Benutzer nur auf bestimmte Rechner kommt?

Grüße
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,035
Punkte für Reaktionen
328
Punkte
83
Pass dir einfach mal die Config an z.B. solltest so nur auf 192.168.178.25 und 192.168.178.75 kommen.

"permit ip 192.168.178.25 255.255.255.255 192.168.178.200 255.255.255.255",
"permit ip 192.168.178.75 255.255.255.255 192.168.178.200 255.255.255.255";
 

DoctorUltra

Mitglied
Mitglied seit
4 Aug 2005
Beiträge
597
Punkte für Reaktionen
0
Punkte
16
Wäre es dann so ok, wenn der Benutzer nur auf die 192.168.10.5 soll u. die IP 192.168.10.203 bekommt?

"permit ip 192.168.10.5 255.255.255.255 192.168.10.203 255.255.255.255",
"permit ip any 192.168.10.203 255.255.255.255";

Wie kann ich den vpn Zugang überhaupt testen?
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,035
Punkte für Reaktionen
328
Punkte
83
Mit dem any erlaubste alles ;)

Geh in ein fremdes Netzwerk ggf. Mobilfunk und baue eine VPN Verbbindung auf z.b. mit Notebook, Smartphone ect. und probier es aus :)
 

DoctorUltra

Mitglied
Mitglied seit
4 Aug 2005
Beiträge
597
Punkte für Reaktionen
0
Punkte
16
Wie müsste dann der Eintrag lauten?
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,035
Punkte für Reaktionen
328
Punkte
83
Wenn der VPU User die .201 bekommt dürfte er mit der Config nur auf die .5 und .203 kommen.

"permit ip 192.168.10.5 255.255.255.255 192.168.10.201 255.255.255.255",
"permit ip 192.168.10.203 255.255.255.255 192.168.10.201 255.255.255.255";
 

DoctorUltra

Mitglied
Mitglied seit
4 Aug 2005
Beiträge
597
Punkte für Reaktionen
0
Punkte
16
Wenn ich die geänderte Datei importieren möchte, dann kommt immer die Fehlermeldung "Der Import der VPN-Einstellungen ist fehlgeschlagen."?
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,035
Punkte für Reaktionen
328
Punkte
83
Kannst die Config ja mal Posten ohne die Dyn DNS und Sharedkey ;-)
 

DoctorUltra

Mitglied
Mitglied seit
4 Aug 2005
Beiträge
597
Punkte für Reaktionen
0
Punkte
16
connections {
enabled = yes;
conn_type = conntype_user;
name = "xxx";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.10.203;
remoteid {
user_fqdn = "xxx";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = xxxx
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.10.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.10.203;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip 192.168.10.5 255.255.255.255 192.168.10.203 255.255.255.255";
}
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,035
Punkte für Reaktionen
328
Punkte
83
Probier mal mit
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
 

DoctorUltra

Mitglied
Mitglied seit
4 Aug 2005
Beiträge
597
Punkte für Reaktionen
0
Punkte
16
Nein leider funktioniert das nicht?? Komisch
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,035
Punkte für Reaktionen
328
Punkte
83
Sonst habe ich auch keine Idee :(
Evt muß in accesslist auch die FB selbst erlaubt werden z.B. so wenn die FB .1 hat.
"permit ip 192.168.10.5 255.255.255.255 192.168.10.201 255.255.255.255",
"permit ip 192.168.10.1 255.255.255.255 192.168.10.201 255.255.255.255";
 

DoctorUltra

Mitglied
Mitglied seit
4 Aug 2005
Beiträge
597
Punkte für Reaktionen
0
Punkte
16
kappt auch nicht wahrscheinlich funktioniert das mit der neuen Firmware nicht mehr?
 

Zündapp

Neuer User
Mitglied seit
26 Mai 2012
Beiträge
32
Punkte für Reaktionen
0
Punkte
6
Hallo,

ich hab auch ein Problem mit der Config für die Beschränkung des VPNs. Mein Szenario sieht so aus, dass meine FB (192.168.1.1) und die meines Cousins (192.168.2.1) via VPN verbunden sind. Jetzt will ich, dass er nur Zugriff auf die IP-Adresse meines Netzes (192.168.1.20) hat. Ich hab meine Config so angepasst:

Code:
 phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip 192.168.1.20 255.255.255.255 192.168.2.0 255.255.255.255";
Der Tunnel wird auch aufgebaut, nur kann ich auf nichts mehr aus seinem Netz zugreifen d.h. kein Pingen und gar nichts mehr möglich. Umgedreht das gleiche. Mach ich Die Accesslist wieder auf Standard funktionierts wieder. Wäre es auch möglich das ganze noch um einen TCP Port zu erweitern, dass ich z.B. sag er darf nur auf den Port 21 für FTP zugreifen?

Danke

MfG

Zündapp
 
Zuletzt bearbeitet:

Doemer

Neuer User
Mitglied seit
28 Jan 2010
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Hallo Zusammen

Gibt es Neuigkeiten zu diesem Thema?

Habe ein VPN zwischen der heimischen FB7390 und der FB7170 im Geschäft meiner Frau aufgebaut. Der Geschäfts-PC macht täglich Backups auf das NAS im heimischen Netz. Zusätzlich greift sie mit ihrem Android Handy aus dem Firmennetz auf die Fotos auf demselben NAS zu.

Nach meine Verständnis müsste das wie folgt aussehen...

Heimnetz: 192.168.10.0
NAS 192.168.10.100

Firma: 192.168.11.0
PC: 192.168.11.102
Android Handy: 192.168.11.103

"permit ip 192.168.10.100 255.255.255.0 192.168.11.0 255.255.255.0";

Es soll also nur das NAS erreichbar sein, wobei mir die Quell IP im Firmennetz momentan eigentlich Schnuppe ist. Spiel ich das so zurück in die FB funktioniert die Verbindung zwischen den beiden Netzen leider gar nicht mehr. Mach ich einen Überlegungsfehler?

Danke für eure Unterstützung

Gruss

Dömer
 

HabNeFritzbox

IPPF-Urgestein
Mitglied seit
12 Dez 2017
Beiträge
16,035
Punkte für Reaktionen
328
Punkte
83
Deine Subnetmaske passt nicht, erlaubst so ganze Subnet, nicht nur den NAS. Siehe Beispiel von mir in #12
 

trendchiller

Mitglied
Mitglied seit
3 Jun 2011
Beiträge
375
Punkte für Reaktionen
3
Punkte
18
Hat jemand Erfahrungswerte, was das Filtern von eingehenden Verbindungen über einen VPN-Tunnel (conntype_lan) angeht ?
Wenn ich z.B. möchte, daß das entfernte LAN hinter der weiteren Fritz!Box nur auf bestimmte Dienste (IPs / Ports) zugreifen darf, gibt es dafür accesslist-Einträge, die "erprobt" sind ?
DIE AVM-Dokumentation ist dazu ja sehr dürftig ;-)
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,162
Punkte für Reaktionen
1,039
Punkte
113
Man sollte keinesfalls das Verhalten von "accesslist" mit einer Firewall verwechseln. Wenn man die Daten für ein entferntes Netz nicht mit einer "accesslist"-Regel in den Tunnel schickt, gehen die über "dev dsl" weiter in Richtung WAN und zwar unverschlüsselt. Der Effekt der "Nichterreichbarkeit" beruht also nur auf dieser "Fehlkonfiguration".

Es werden damit im Prinzip auch nur TCP-"Verbindungen" blockiert, denn UDP arbeitet nun einmal "verbindungslos" und man kann zwar auf der eigenen Seite einer VPN-Verbindung verhindern, daß die Antworten auf irgendwelche Pakete ihr Ziel auch erreichen, aber man kann auf diesem Weg nicht verhindern, daß beliebige IP-Pakete von der Gegenstelle im eigenen Netz auftauchen. Das ist nun mal kein Paket-Filter, das ist eine Auswahl, welche Pakete verschlüsselt und anschließend über den "Tunnel" zur Gegenstelle übertragen werden sollen.

Ob es so richtig gut ist, wenn die nicht zur Verschlüsselung ausgeleiteten Pakete anschließend bis zum nächsten Router auf der WAN-Strecke im Klartext übertragen werden, muß sicherlich auch jeder selbst beurteilen ... wer denkt, daß die die FRITZ!Box nie verlassen würden, dürfte sich (wenn AVM nichts geändert hat) schwer täuschen.
 

trendchiller

Mitglied
Mitglied seit
3 Jun 2011
Beiträge
375
Punkte für Reaktionen
3
Punkte
18
Kennt denn jemand eine Möglichkeit, eventuell über Zugriffslisten, wie zum Beispiel der Kindersicherung, den Zugang über das VPN zu begrenzen ?
Das wäre ja ein traumhaftes Feature ;-)
 

thtomate12

IPPF-Promi
Mitglied seit
28 Okt 2010
Beiträge
5,165
Punkte für Reaktionen
6
Punkte
38
Wenn es nur bestimmte IP-Adressen sind, kannst du dir dein Routing in der VPN-Konfig bauen, mit Hostnamen geht das natürlich nur begrenzt, also wenn der DNS-Eintrag sich nicht ändert und nur einzelne IP-Adressen auflöst