.titleBar { margin-bottom: 5px!important; }

Benutzer VPN Fritzbox Zugang begrenzen

Dieses Thema im Forum "FRITZ!Box Fon: Telefonie" wurde erstellt von DoctorUltra, 30 März 2012.

  1. DoctorUltra

    DoctorUltra Mitglied

    Registriert seit:
    4 Aug. 2005
    Beiträge:
    577
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Beruf:
    Informatiker
    Hallo,

    ich möchte einen Nutzer im Zugriff per VPN einschränken? Z. b. Zugriff auf IP Adressen?, d. h. ich möchte das dieser Benutzer nur auf bestimmte Rechner kommt?

    Grüße
     
  2. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,390
    Zustimmungen:
    130
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Pass dir einfach mal die Config an z.B. solltest so nur auf 192.168.178.25 und 192.168.178.75 kommen.

    "permit ip 192.168.178.25 255.255.255.255 192.168.178.200 255.255.255.255",
    "permit ip 192.168.178.75 255.255.255.255 192.168.178.200 255.255.255.255";
     
  3. DoctorUltra

    DoctorUltra Mitglied

    Registriert seit:
    4 Aug. 2005
    Beiträge:
    577
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Beruf:
    Informatiker
    Wäre es dann so ok, wenn der Benutzer nur auf die 192.168.10.5 soll u. die IP 192.168.10.203 bekommt?

    "permit ip 192.168.10.5 255.255.255.255 192.168.10.203 255.255.255.255",
    "permit ip any 192.168.10.203 255.255.255.255";

    Wie kann ich den vpn Zugang überhaupt testen?
     
  4. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,390
    Zustimmungen:
    130
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Mit dem any erlaubste alles ;)

    Geh in ein fremdes Netzwerk ggf. Mobilfunk und baue eine VPN Verbbindung auf z.b. mit Notebook, Smartphone ect. und probier es aus :)
     
  5. DoctorUltra

    DoctorUltra Mitglied

    Registriert seit:
    4 Aug. 2005
    Beiträge:
    577
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Beruf:
    Informatiker
    Wie müsste dann der Eintrag lauten?
     
  6. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,390
    Zustimmungen:
    130
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Wenn der VPU User die .201 bekommt dürfte er mit der Config nur auf die .5 und .203 kommen.

    "permit ip 192.168.10.5 255.255.255.255 192.168.10.201 255.255.255.255",
    "permit ip 192.168.10.203 255.255.255.255 192.168.10.201 255.255.255.255";
     
  7. DoctorUltra

    DoctorUltra Mitglied

    Registriert seit:
    4 Aug. 2005
    Beiträge:
    577
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Beruf:
    Informatiker
    Wenn ich die geänderte Datei importieren möchte, dann kommt immer die Fehlermeldung "Der Import der VPN-Einstellungen ist fehlgeschlagen."?
     
  8. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,390
    Zustimmungen:
    130
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Kannst die Config ja mal Posten ohne die Dyn DNS und Sharedkey ;-)
     
  9. DoctorUltra

    DoctorUltra Mitglied

    Registriert seit:
    4 Aug. 2005
    Beiträge:
    577
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Beruf:
    Informatiker
    connections {
    enabled = yes;
    conn_type = conntype_user;
    name = "xxx";
    always_renew = no;
    reject_not_encrypted = no;
    dont_filter_netbios = yes;
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = 0.0.0.0;
    remote_virtualip = 192.168.10.203;
    remoteid {
    user_fqdn = "xxx";
    }
    mode = phase1_mode_aggressive;
    phase1ss = "all/all/all";
    keytype = connkeytype_pre_shared;
    key = xxxx
    cert_do_server_auth = no;
    use_nat_t = yes;
    use_xauth = no;
    use_cfgmode = no;
    phase2localid {
    ipnet {
    ipaddr = 192.168.10.0;
    mask = 255.255.255.0;
    }
    }
    phase2remoteid {
    ipaddr = 192.168.10.203;
    }
    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
    accesslist = "permit ip 192.168.10.5 255.255.255.255 192.168.10.203 255.255.255.255";
    }
     
  10. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,390
    Zustimmungen:
    130
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Probier mal mit
    ipnet {
    ipaddr = 0.0.0.0;
    mask = 0.0.0.0;
    }
     
  11. DoctorUltra

    DoctorUltra Mitglied

    Registriert seit:
    4 Aug. 2005
    Beiträge:
    577
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Beruf:
    Informatiker
    Nein leider funktioniert das nicht?? Komisch
     
  12. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,390
    Zustimmungen:
    130
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Sonst habe ich auch keine Idee :(
    Evt muß in accesslist auch die FB selbst erlaubt werden z.B. so wenn die FB .1 hat.
    "permit ip 192.168.10.5 255.255.255.255 192.168.10.201 255.255.255.255",
    "permit ip 192.168.10.1 255.255.255.255 192.168.10.201 255.255.255.255";
     
  13. DoctorUltra

    DoctorUltra Mitglied

    Registriert seit:
    4 Aug. 2005
    Beiträge:
    577
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Beruf:
    Informatiker
    kappt auch nicht wahrscheinlich funktioniert das mit der neuen Firmware nicht mehr?
     
  14. Zündapp

    Zündapp Neuer User

    Registriert seit:
    26 Mai 2012
    Beiträge:
    32
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    #14 Zündapp, 27 Mai 2012
    Zuletzt bearbeitet: 28 Mai 2012
    Hallo,

    ich hab auch ein Problem mit der Config für die Beschränkung des VPNs. Mein Szenario sieht so aus, dass meine FB (192.168.1.1) und die meines Cousins (192.168.2.1) via VPN verbunden sind. Jetzt will ich, dass er nur Zugriff auf die IP-Adresse meines Netzes (192.168.1.20) hat. Ich hab meine Config so angepasst:

    Code:
     phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                    accesslist = "permit ip 192.168.1.20 255.255.255.255 192.168.2.0 255.255.255.255";
    Der Tunnel wird auch aufgebaut, nur kann ich auf nichts mehr aus seinem Netz zugreifen d.h. kein Pingen und gar nichts mehr möglich. Umgedreht das gleiche. Mach ich Die Accesslist wieder auf Standard funktionierts wieder. Wäre es auch möglich das ganze noch um einen TCP Port zu erweitern, dass ich z.B. sag er darf nur auf den Port 21 für FTP zugreifen?

    Danke

    MfG

    Zündapp
     
  15. Doemer

    Doemer Neuer User

    Registriert seit:
    28 Jan. 2010
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Zusammen

    Gibt es Neuigkeiten zu diesem Thema?

    Habe ein VPN zwischen der heimischen FB7390 und der FB7170 im Geschäft meiner Frau aufgebaut. Der Geschäfts-PC macht täglich Backups auf das NAS im heimischen Netz. Zusätzlich greift sie mit ihrem Android Handy aus dem Firmennetz auf die Fotos auf demselben NAS zu.

    Nach meine Verständnis müsste das wie folgt aussehen...

    Heimnetz: 192.168.10.0
    NAS 192.168.10.100

    Firma: 192.168.11.0
    PC: 192.168.11.102
    Android Handy: 192.168.11.103

    "permit ip 192.168.10.100 255.255.255.0 192.168.11.0 255.255.255.0";

    Es soll also nur das NAS erreichbar sein, wobei mir die Quell IP im Firmennetz momentan eigentlich Schnuppe ist. Spiel ich das so zurück in die FB funktioniert die Verbindung zwischen den beiden Netzen leider gar nicht mehr. Mach ich einen Überlegungsfehler?

    Danke für eure Unterstützung

    Gruss

    Dömer
     
  16. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,390
    Zustimmungen:
    130
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Deine Subnetmaske passt nicht, erlaubst so ganze Subnet, nicht nur den NAS. Siehe Beispiel von mir in #12
     
  17. trendchiller

    trendchiller Mitglied

    Registriert seit:
    3 Juni 2011
    Beiträge:
    363
    Zustimmungen:
    3
    Punkte für Erfolge:
    18
    Hat jemand Erfahrungswerte, was das Filtern von eingehenden Verbindungen über einen VPN-Tunnel (conntype_lan) angeht ?
    Wenn ich z.B. möchte, daß das entfernte LAN hinter der weiteren Fritz!Box nur auf bestimmte Dienste (IPs / Ports) zugreifen darf, gibt es dafür accesslist-Einträge, die "erprobt" sind ?
    DIE AVM-Dokumentation ist dazu ja sehr dürftig ;-)
     
  18. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,183
    Zustimmungen:
    533
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Man sollte keinesfalls das Verhalten von "accesslist" mit einer Firewall verwechseln. Wenn man die Daten für ein entferntes Netz nicht mit einer "accesslist"-Regel in den Tunnel schickt, gehen die über "dev dsl" weiter in Richtung WAN und zwar unverschlüsselt. Der Effekt der "Nichterreichbarkeit" beruht also nur auf dieser "Fehlkonfiguration".

    Es werden damit im Prinzip auch nur TCP-"Verbindungen" blockiert, denn UDP arbeitet nun einmal "verbindungslos" und man kann zwar auf der eigenen Seite einer VPN-Verbindung verhindern, daß die Antworten auf irgendwelche Pakete ihr Ziel auch erreichen, aber man kann auf diesem Weg nicht verhindern, daß beliebige IP-Pakete von der Gegenstelle im eigenen Netz auftauchen. Das ist nun mal kein Paket-Filter, das ist eine Auswahl, welche Pakete verschlüsselt und anschließend über den "Tunnel" zur Gegenstelle übertragen werden sollen.

    Ob es so richtig gut ist, wenn die nicht zur Verschlüsselung ausgeleiteten Pakete anschließend bis zum nächsten Router auf der WAN-Strecke im Klartext übertragen werden, muß sicherlich auch jeder selbst beurteilen ... wer denkt, daß die die FRITZ!Box nie verlassen würden, dürfte sich (wenn AVM nichts geändert hat) schwer täuschen.
     
  19. trendchiller

    trendchiller Mitglied

    Registriert seit:
    3 Juni 2011
    Beiträge:
    363
    Zustimmungen:
    3
    Punkte für Erfolge:
    18
    Kennt denn jemand eine Möglichkeit, eventuell über Zugriffslisten, wie zum Beispiel der Kindersicherung, den Zugang über das VPN zu begrenzen ?
    Das wäre ja ein traumhaftes Feature ;-)
     
  20. thtomate12

    thtomate12 IPPF-Promi

    Registriert seit:
    28 Okt. 2010
    Beiträge:
    5,168
    Zustimmungen:
    6
    Punkte für Erfolge:
    38
    Ort:
    NRW
    Wenn es nur bestimmte IP-Adressen sind, kannst du dir dein Routing in der VPN-Konfig bauen, mit Hostnamen geht das natürlich nur begrenzt, also wenn der DNS-Eintrag sich nicht ändert und nur einzelne IP-Adressen auflöst