nur eine IP aufrufbar per VPN

Lieschen1983

Neuer User
Mitglied seit
4 Mrz 2008
Beiträge
104
Punkte für Reaktionen
0
Punkte
16
Hallo zusammen

ich habe eine VPN Verbinung zu meinem Home Netzwerk

Ich möchte jetzt eine zusätzliche VPN verbindung einrichten die dann aber nur zugriff auf ip 192.168.2.10 hat
der rest an IPs soll gesperrt sein

ich finde dazu nirgends eine anlteung geschweige weiss ich auch nicht hundert pro wie der Fachausdruck dafür ist

hoffe ihr könnt mir helfen
 

Shirocco88

Aktives Mitglied
Mitglied seit
4 Jan 2016
Beiträge
870
Punkte für Reaktionen
67
Punkte
28
ich finde dazu nirgends eine anlteung geschweige weiss ich auch nicht hundert pro wie der Fachausdruck dafür ist
nimm mal als Suchbegriff "accesslist", diser Parameter steuert welcher Traffic in den Tunnel "gestopft" wird.

Beispiel:
Auszug aus einer vpn.cfg:
Code:
accesslist = "permit ip 192.168.2.10 255.255.255.255 192.168.2.201 255.255.255.255";
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Lieschen1983

Lieschen1983

Neuer User
Mitglied seit
4 Mrz 2008
Beiträge
104
Punkte für Reaktionen
0
Punkte
16
ok werde ich gleich mal testen

sollte so gehen oder

192.168.2.205 ist der PC der sich per VPN Verbindet und dann im netzwerk diese ip bekommt
der Rechner soll nur auf die
192.168.2.10 zugreifen dürfen

Code:
/*
 * C:\fritzbox.cfg
 * Sat Mar 16 17:43:14 2019
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "VPN";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.2.205;
                remoteid {
                        user_fqdn = "VPN";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "-----------------------------------";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.2.205;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist =
                             "permit ip 192.168.2.10 255.255.255.0 192.168.2.205 255.255.255.255",
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

nimm mal als Suchbegriff "accesslist", diser Parameter steuert welcher Traffic in den Tunnel "gestopft" wird.

Beispiel:
Auszug aus einer vpn.cfg:
Code:
accesslist = "permit ip 192.168.2.10 255.255.255.255 192.168.2.201 255.255.255.255";
 
Zuletzt bearbeitet von einem Moderator:

Shirocco88

Aktives Mitglied
Mitglied seit
4 Jan 2016
Beiträge
870
Punkte für Reaktionen
67
Punkte
28
da ist noch ein Fehler in Deiner Accesslist
nimm einfach die Vorlage aus #2 und ersetze 192.168.2.201 durch 192.168.2.205
oder koorigiere Deine vpn.cfg.

Hinweis: in der accesslist kann ein Host u.a. durch "[net-addr] [mask]" mit 255.255.255.255 als Mask spezifiziert werden.

# ipcalc 192.168.2.10 255.255.255.255
Output
Address: 192.168.2.10 11000000.10101000.00000010.00001010
Netmask: 255.255.255.255 = 32 11111111.11111111.11111111.11111111
Wildcard: 0.0.0.0 00000000.00000000.00000000.00000000
=>
Hostroute: 192.168.2.10 11000000.10101000.00000010.00001010
Hosts/Net: 1 Class C, Private Internet

192.168.2.205 ist der PC der sich per VPN Verbindet und dann im netzwerk diese ip bekommt
der Rechner soll nur auf die
192.168.2.10 zugreifen dürfen
Wichtig: daran denken den PC auf Split-Tunnel zu konfigurieren, d.h. der PC sollte sinnvollerweise auch nur IP-Pakete an die IP=192.168.2.10 in den Tunnel schickt und die DNS-Namensauflösung aus dessen lokalem Subnet beziehen.

Welchen VPN-Client verwendest Du denn auf dem PC ?
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Lieschen1983

Lieschen1983

Neuer User
Mitglied seit
4 Mrz 2008
Beiträge
104
Punkte für Reaktionen
0
Punkte
16
ich nutze den von AVM

Code:
/*
 * C:\Fritz.cfg
 * Sat Mar 16 17:43:14 2019
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "VPN";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "VPN";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "--------";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist =
                             "permit ip 192.168.2.10 255.255.255.255 192.168.2.201 255.255.255.255",
                             "permit ip any 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
 
Zuletzt bearbeitet von einem Moderator:

Shirocco88

Aktives Mitglied
Mitglied seit
4 Jan 2016
Beiträge
870
Punkte für Reaktionen
67
Punkte
28
accesslist =
"permit ip 192.168.2.10 255.255.255.255 192.168.2.201 255.255.255.255",
"permit ip any 192.168.178.201 255.255.255.255";
}
nun bin ich aber "sprachlos" :-(
dies accesslist ist doch nicht mitt der von #2 identisch;
Sorry, da bin ich raus bei diesem Thread.
 

Lieschen1983

Neuer User
Mitglied seit
4 Mrz 2008
Beiträge
104
Punkte für Reaktionen
0
Punkte
16
Unnötiges Vollzitat entfernt - HabNeFritzbox

stimmt die any ist das alles zugelassen wird, oder
 

Shirocco88

Aktives Mitglied
Mitglied seit
4 Jan 2016
Beiträge
870
Punkte für Reaktionen
67
Punkte
28
Aufbau der Accesslist-Zeile/-Regel:

#Aktion# #Protokoll# #Quelle# #Ziel# #Zusätzliche parameter#

#Aktion#
Permit erlaubt Verbindung
Deny verweigert Verbindung
Reject zurückweisen der Verbindung

#Protokoll#
tcp TCP-Verbindung
udp UDP-Verbindung
icmp ICMP-Verbindung
ip IP Protokoll

#Quelle# oder #Ziel#
any alle Host und Netze
host [ip] einzelner Host
[net] [subnetmask] spezifiziert Netzwerk- oder Host-Range
 
  • Like
Reaktionen: Lieschen1983

Shirocco88

Aktives Mitglied
Mitglied seit
4 Jan 2016
Beiträge
870
Punkte für Reaktionen
67
Punkte
28
  • Like
Reaktionen: Lieschen1983

3CX PBX - GRATIS
Linux / Win / Cloud

Neueste Beiträge

Statistik des Forums

Themen
234,383
Beiträge
2,045,718
Mitglieder
354,050
Neuestes Mitglied
evilputti