.titleBar { margin-bottom: 5px!important; }

nur eine IP aufrufbar per VPN

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von Lieschen1983, 16 März 2019.

  1. Lieschen1983

    Lieschen1983 Neuer User

    Registriert seit:
    4 März 2008
    Beiträge:
    104
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo zusammen

    ich habe eine VPN Verbinung zu meinem Home Netzwerk

    Ich möchte jetzt eine zusätzliche VPN verbindung einrichten die dann aber nur zugriff auf ip 192.168.2.10 hat
    der rest an IPs soll gesperrt sein

    ich finde dazu nirgends eine anlteung geschweige weiss ich auch nicht hundert pro wie der Fachausdruck dafür ist

    hoffe ihr könnt mir helfen
     
  2. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    854
    Zustimmungen:
    62
    Punkte für Erfolge:
    28
    #2 Shirocco88, 16 März 2019
    Zuletzt bearbeitet: 16 März 2019
    nimm mal als Suchbegriff "accesslist", diser Parameter steuert welcher Traffic in den Tunnel "gestopft" wird.

    Beispiel:
    Auszug aus einer vpn.cfg:
    Code:
    accesslist = "permit ip 192.168.2.10 255.255.255.255 192.168.2.201 255.255.255.255";
     
    Lieschen1983 gefällt das.
  3. Lieschen1983

    Lieschen1983 Neuer User

    Registriert seit:
    4 März 2008
    Beiträge:
    104
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    #3 Lieschen1983, 16 März 2019
    Zuletzt von einem Moderator bearbeitet: 16 März 2019
    ok werde ich gleich mal testen

    sollte so gehen oder

    192.168.2.205 ist der PC der sich per VPN Verbindet und dann im netzwerk diese ip bekommt
    der Rechner soll nur auf die
    192.168.2.10 zugreifen dürfen

    Code:
    /*
     * C:\fritzbox.cfg
     * Sat Mar 16 17:43:14 2019
     */
    
    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_user;
                    name = "VPN";
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 0.0.0.0;
                    remote_virtualip = 192.168.2.205;
                    remoteid {
                            user_fqdn = "VPN";
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "-----------------------------------";
                    cert_do_server_auth = no;
                    use_nat_t = yes;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2localid {
                            ipnet {
                                    ipaddr = 192.168.2.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2remoteid {
                            ipaddr = 192.168.2.205;
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                    accesslist =
                                 "permit ip 192.168.2.10 255.255.255.0 192.168.2.205 255.255.255.255",
            }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
    
    
    // EOF

     
  4. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    854
    Zustimmungen:
    62
    Punkte für Erfolge:
    28
    #4 Shirocco88, 16 März 2019
    Zuletzt bearbeitet: 16 März 2019
    da ist noch ein Fehler in Deiner Accesslist
    nimm einfach die Vorlage aus #2 und ersetze 192.168.2.201 durch 192.168.2.205
    oder koorigiere Deine vpn.cfg.

    Hinweis: in der accesslist kann ein Host u.a. durch "[net-addr] [mask]" mit 255.255.255.255 als Mask spezifiziert werden.

    # ipcalc 192.168.2.10 255.255.255.255
    Output
    Address: 192.168.2.10 11000000.10101000.00000010.00001010
    Netmask: 255.255.255.255 = 32 11111111.11111111.11111111.11111111
    Wildcard: 0.0.0.0 00000000.00000000.00000000.00000000
    =>
    Hostroute: 192.168.2.10 11000000.10101000.00000010.00001010
    Hosts/Net: 1 Class C, Private Internet

    Wichtig: daran denken den PC auf Split-Tunnel zu konfigurieren, d.h. der PC sollte sinnvollerweise auch nur IP-Pakete an die IP=192.168.2.10 in den Tunnel schickt und die DNS-Namensauflösung aus dessen lokalem Subnet beziehen.

    Welchen VPN-Client verwendest Du denn auf dem PC ?
     
    Lieschen1983 gefällt das.
  5. Lieschen1983

    Lieschen1983 Neuer User

    Registriert seit:
    4 März 2008
    Beiträge:
    104
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    #5 Lieschen1983, 16 März 2019
    Zuletzt von einem Moderator bearbeitet: 16 März 2019
    ich nutze den von AVM

    Code:
    /*
     * C:\Fritz.cfg
     * Sat Mar 16 17:43:14 2019
     */
    
    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_user;
                    name = "VPN";
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 0.0.0.0;
                    remote_virtualip = 192.168.178.201;
                    remoteid {
                            user_fqdn = "VPN";
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "--------";
                    cert_do_server_auth = no;
                    use_nat_t = yes;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2localid {
                            ipnet {
                                    ipaddr = 192.168.178.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2remoteid {
                            ipaddr = 192.168.178.201;
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                    accesslist =
                                 "permit ip 192.168.2.10 255.255.255.255 192.168.2.201 255.255.255.255",
                                 "permit ip any 192.168.178.201 255.255.255.255";
            }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
    
    
    // EOF
    
     
  6. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    854
    Zustimmungen:
    62
    Punkte für Erfolge:
    28
    nun bin ich aber "sprachlos" :-(
    dies accesslist ist doch nicht mitt der von #2 identisch;
    Sorry, da bin ich raus bei diesem Thread.
     
  7. Lieschen1983

    Lieschen1983 Neuer User

    Registriert seit:
    4 März 2008
    Beiträge:
    104
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Unnötiges Vollzitat entfernt - HabNeFritzbox

    stimmt die any ist das alles zugelassen wird, oder
     
  8. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    854
    Zustimmungen:
    62
    Punkte für Erfolge:
    28
    Aufbau der Accesslist-Zeile/-Regel:

    #Aktion# #Protokoll# #Quelle# #Ziel# #Zusätzliche parameter#

    #Aktion#
    Permit erlaubt Verbindung
    Deny verweigert Verbindung
    Reject zurückweisen der Verbindung

    #Protokoll#
    tcp TCP-Verbindung
    udp UDP-Verbindung
    icmp ICMP-Verbindung
    ip IP Protokoll

    #Quelle# oder #Ziel#
    any alle Host und Netze
    host [ip] einzelner Host
    [net] [subnetmask] spezifiziert Netzwerk- oder Host-Range
     
    Lieschen1983 gefällt das.
  9. Shirocco88

    Shirocco88 Aktives Mitglied

    Registriert seit:
    4 Jan. 2016
    Beiträge:
    854
    Zustimmungen:
    62
    Punkte für Erfolge:
    28
    für etwaige nachfolgende Leser anbei die Videoanleitung von AVM:

    Fritz!Fernzugang am PC einrichten


    sowie der KB-Artikel:
    Wie kann ich auf meinem PC ein Fritz.Box VPN einrichten ?
    https://avm.de/service/fritzbox/fri...Box-unter-Windows-einrichten-FRITZ-Fernzugang

    Anmerkung: zuerst sollte der VPN-Tunnel entsprechend AVM-Doku stehen, erst dann sollte man über manuelle Anpassung/Optimierung nachdenken/durchführen.
     
    Lieschen1983 gefällt das.
  10. Lieschen1983

    Lieschen1983 Neuer User

    Registriert seit:
    4 März 2008
    Beiträge:
    104
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    ok danke und auch danke für deine gedult !
    ich werde mal testen