Ehrgeiziges VPN Projekt mit 7270 geplant...

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

Mr.Becks

Neuer User
Mitglied seit
24 Jan 2006
Beiträge
118
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,
ich hoffe das ihr mir helfen könnt, denn ich habe etwas vor und weiss aus der Theorie, dass es klappen sollte. Aber eben nur sollte :)

Mit AVM habe ich bereits Kontakt gehabt und es sollte kein Problem sein, dass sich fünf meiner Freunde mit ihren Fritz!Boxen permanent mit meiner verbinden (LAN - LAN Kopplung) Weiterhin habe ich im VPN Portal von AVM auch schon diverse Anleitungen studiert.
Eine scheint auf mein Problem zu passen, aber eben nicht ganz, da ich eine FB 7170 an einer LAN Schnittstelle meiner FB 7270 betreibe.
Die VPN Kopplung soll zwischen meinen Freunden und der FB 7270 erfolgen.--> Aber....

dabei ist es mir wichtig, dass ihnen der Zugriff nur auf die FB 7170 (bzw. das Netzwerk dieser Box) erlaubt ist und nicht auf das ganze Netz, welches an der FB 7270 hängt.

Laut meinen Recherchen müsste das auch möglich sein. Aber ich bin eben nicht ganz sicher. Deshalb hier meine Fragen.

Zunächst mal mein IP-Netzwerk inkl. IP Adressen.

Freund FB 7170:
192.168.50.0
DynDns: rumpel.stielzchen.org

Meine FB 7270:
192.168.170.0
DynDns: mama.papa.net

Meine FB 7170:
192.168.5.1


Dann habe ich die Anleitung von AVM auf meine Anforderungen angepasst und ich würde gerne wissen, ob ich das soweit richtig verstanden habe, denn dann würde ich kommende Woche mal einen Testlauf starten. Habe diese txt Datei angehängt.

Vielleicht hat jemand Zeit und Lust sich das auch mal anzusehen und mich zu unterstützen.
Wäre toll...
ich bin dann auch aktiv dabei! Aber ist ja eh klar...ich will es ja lösen...

Mr.Becks
 

Anhänge

  • Anleitung.txt
    4.6 KB · Aufrufe: 18
Mr.Becks schrieb:
dabei ist es mir wichtig, dass ihnen der Zugriff nur auf die FB 7170 (bzw. das Netzwerk dieser Box) erlaubt ist und nicht auf das ganze Netz, welches an der FB 7270 hängt.
Zum Vergrößern anklicken....
Das kannst du aber nicht mit einer 7170 hinter einer 7270 lösen, die die 7170 ist ein NAT Router.
Wenn du ein separates Subnetz hinter der VPN Server Box einrichtest, dann brauchst du natürlich einen Router dafür (auf den die statische Route in der entfernten Box zeigt), der die Pakete in dieses separate Netz routet. Dieser Router muss aber richtig routen, nicht per NAT. Die 7170 ist aber ein NAT Router, und blockiert damit alle Pakete, die von außen kommen. Heißt: Wenn in der entfernten Box die statische Route auf die 7170 hinter deiner 7270 zeigt, dann kommen die Pakete über VPN in der 7270 an und diese leitet sie an die WAN IP der 7170, und genau da ist Schluss: Als NAT Router blockt sie alles ab, was von außen kommt, ohne von innen angefordert worden zu sein, bzw. für das eine Portweiterleitung existiert.

Du kannst das so machen, wie du es in deiner Anleitung beschrieben hast, brauchst dann aber anstatt der 7170 einen richtigen Router. Es gibt 2 Alternativen: Entweder wird die 7170 VPN Server, damit geht der VPN Zugriff nur ins 7170er Netz, oder du packst alle deine Geräte in ein Netz hinter die 7270 und sorgst durch clevere IP-Vergabe und Subnetting dafür, dass per VPN nur auf einen Teil davon zugegriffen werden kann.
 
Puuuuuuuhhh.....

@RiverSource:

Danke für deine ausführliche Antwort. Meiner einer hatte sowas schon erwartet :/ Hmmm....schlecht...

Das die 7170 VPN-Server wird ist schon ne Massnahme. Allerdings habe ich Sorge, dass sie mit fünf permantenten VPN-Tunneln an die Grenze kommt und es läuft ja noch was auf der Box...also wird es nicht gerade zuverlässiger *Annahme*

Dein zweiter Vorschlag ist interessant, aber vielleicht kannst du das konkretisieren? Ich verstehe das so.
Die 7270 bleibt VPN-Server, aber ich hänge beispielsweise an einer der LAN Ports einen richtigen Router (was kostet das?) und dahinter dann meine Komponenten. Dann kann ich mit Subnetting den Tunnelausgang so definieren, dass der Traffic wirklich nur in so einem Netz landet.

Also Beispiel:
LAN Port 2 (IP Range: 192.168.200.0) --> Router (192.168.200.100) --> Komponente. Dann Route ich den gesamten Traffic der aus den VPN-Tunnels kommt auf diese Adressrange und mein eigenes Netz bleibt zu. Richtig?

Nun ist es so, dass die Komponente eigentlich die FritzBox7170 ist, da ich dort per USB Speicher dran habe und ne Smartcard. Das ist nen Problem...richtig?

Mr.Becks
 
Hallo,

Mr.Becks schrieb:
Die 7270 bleibt VPN-Server, aber ich hänge beispielsweise an einer der LAN Ports einen richtigen Router (was kostet das?) und dahinter dann meine Komponenten. Dann kann ich mit Subnetting den Tunnelausgang so definieren, dass der Traffic wirklich nur in so einem Netz landet.
Zum Vergrößern anklicken....
Wenn du dir einen "richtigen" Router gönnst, brauchst du kein Subnetting mehr. Dann kannst du die Anleitung, die du geschrieben hast, exakt so umsetezn.

Mit Subnetting meinte ich folgendes: Nehmen wir an, du hast das Subnetz 192.168.170.0 mit Subnetzmaske 255.255.255.0 in deiner 7270. Das sind alle IP-Adressen von 192.168.170.1 - 192.168.170.254 (0 geht nicht und 255 ist Broadcast).

Man kann sich aber auch folgendes Subnetz konstruieren:
192.168.170.0 mit Subnetzmaske 255.255.255.240. Das sind dann alle IP-Adressen von 192.168.170.1 - 192.168.170.14.

Wenn du jetzt über VPN nur die Subnetzmaske 255.255.255.240 erlaubst, dann können die VPN CLients nur auf die Rechner mit den IP-Adressen 192.168.170.1 - 192.168.170.14 zugreifen - auf alle anderen nicht. Also verpasst du den Geräten, die per VPN erreichbar sein sollen, eine Adresse aus den unteren 14, allen anderen darüber. Letztere sind dann nicht per VPN erraichbar.
So kann man sich Subnetze für 2, 6, 14, 30, 62 oder 126 Rechner konstruieren - je nachdem, wie man es braucht.

Mr.Becks schrieb:
Nun ist es so, dass die Komponente eigentlich die FritzBox7170 ist, da ich dort per USB Speicher dran habe und ne Smartcard. Das ist nen Problem...richtig?
Zum Vergrößern anklicken....
Du willst nur auf die 7170 zugreifen? Dann baust du das Subnetz 255.255.255.254.
 
@RiverSource

Danke für deine Beschreibung. Ich denke, dass ich es raus habe.
(Äähh...evtl. muss ich doch noch mehr Gehirnschmalz investieren)...
Allerdings kannst du mir vielleicht noch mal bei den IP-Adressen helfen?

Also ich brauche prinzipiell nur eine IP-Adresse, die frei ist für den Router. Ob ich dann noch ein paar IPs frei habe oder nicht, spielt keine Rolle.
Angenommen ich nehme das Subnetting Beispiel für 14 IPs, wie du beschrieben hast, wie muss ich das dann einrichten? Also wo trage ich das ein?

Die 7170 würde die IP 192.168.170.5 bekommen.
Die 7270 die 192.168.170.55

Wo trage ich die unterschiedlichen Subnetze denn ein? Wo ich die IP meiner Box anpasse ist kein Thema. Ich denke das ich auch weiss, wo ich GW, DNS1und2 sowie die Subnetzmaske für die 7270 eintragen muss. Dafür wäre die Subnetzmaske ja 255.255.255.0 Richtig?

Wo gebe ich aber ein, dass es ein weiteres Subnetz geben soll? Oder muss ich bei den Einstellungen der 7270 schon die Subnetzmaske 255.255.255.240 eintragen?

Können dann aber andere Komponenten z.B. Playstation mit den Subnetzmasken 255.255.255.0 arbeiten? Oder was muss ich da eintragen?

Und noch was. Ich würde bei der VPN Konfiguration eintragen, dass ein bestimmter Adressebereich erlaubt ist. Welchen gebe ich dann ein, dass auch wirklich nur auf die 14 Adressen zugegeriffen werden kann?

Boahh....kompliziert ich weiss...vielleicht hast du ja noch Muße mich zu unterstützen. cool wärs...

Mr.Becks
 
Mir scheint, die fehlen etliche Grundlagen für dein Vorhaben. Bist du sicher, dass du das umsetzen willst? Mit etwas Pech sperrst du dich aus dem Internet zuverlässig aus.

Mr.Becks schrieb:
Also wo trage ich das ein?
Zum Vergrößern anklicken....
Natürlich in die VPN Config. Hier ist erklärt, wie man die Subnetze für VPN verändert.

Mr.Becks schrieb:
Ich denke das ich auch weiss, wo ich GW, DNS1und2 sowie die Subnetzmaske für die 7270 eintragen muss.
Zum Vergrößern anklicken....
Die kannst du gar nicht ändern.

Mr.Becks schrieb:
Oder muss ich bei den Einstellungen der 7270 schon die Subnetzmaske 255.255.255.240 eintragen?
Zum Vergrößern anklicken....
Nein, auf keinen Fall.

Mr.Becks schrieb:
Können dann aber andere Komponenten z.B. Playstation mit den Subnetzmasken 255.255.255.0 arbeiten?
Zum Vergrößern anklicken....
Ja, natürlich. Alle Geräte an der 7270 arbeiten mit ihren normalen Einstellungen. Nur für die VPN Clients soll der Zugriff ja eingeschränkt sein.

Mr.Becks schrieb:
Welchen gebe ich dann ein, dass auch wirklich nur auf die 14 Adressen zugegeriffen werden kann?
Zum Vergrößern anklicken....
Im verlinkten Thread wird das erklärt. Zwar geht es da eigentlich um den umgekehrten Fall, nämlich mehr Adressen zu erlauben, als die eigene Box hat, aber dein Fall funktioniert analog.
 
@RiverSource:
Ja, ich will es umsetzen. Ob in der Form letztendlich oder nicht, weiss ich noch nicht, aber es scheint mir interessant und ich lerne gerne durch "trial and error".

Danke für den Link zu dem Thread. Ich hoffe, dass ich in den nächsten Tagen/Wochen/Monaten dazu komme das mal intensiv zu lesen.

Mr.Becks
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 724 (Mitglieder: 42, Gäste: 682)

Neueste Beiträge

Statistik des Forums

Themen
246,271
Beiträge
2,249,233
Mitglieder
373,860
Neuestes Mitglied
Braunle
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück