nur eine IP aufrufbar per VPN

[Lieschen1983]

Hallo zusammen

ich habe eine VPN Verbinung zu meinem Home Netzwerk

Ich möchte jetzt eine zusätzliche VPN verbindung einrichten die dann aber nur zugriff auf ip 192.168.2.10 hat
der rest an IPs soll gesperrt sein

ich finde dazu nirgends eine anlteung geschweige weiss ich auch nicht hundert pro wie der Fachausdruck dafür ist

hoffe ihr könnt mir helfen

 

[Shirocco88]

ich finde dazu nirgends eine anlteung geschweige weiss ich auch nicht hundert pro wie der Fachausdruck dafür ist

nimm mal als Suchbegriff "accesslist", diser Parameter steuert welcher Traffic in den Tunnel "gestopft" wird.

Beispiel:
Auszug aus einer vpn.cfg:

accesslist = "permit ip 192.168.2.10 255.255.255.255 192.168.2.201 255.255.255.255";

 

[Lieschen1983]

ok werde ich gleich mal testen

sollte so gehen oder

192.168.2.205 ist der PC der sich per VPN Verbindet und dann im netzwerk diese ip bekommt
der Rechner soll nur auf die
192.168.2.10 zugreifen dürfen

/*
 * C:\fritzbox.cfg
 * Sat Mar 16 17:43:14 2019
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "VPN";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.2.205;
                remoteid {
                        user_fqdn = "VPN";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "-----------------------------------";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.2.205;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist =
                             "permit ip 192.168.2.10 255.255.255.0 192.168.2.205 255.255.255.255",
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

nimm mal als Suchbegriff "accesslist", diser Parameter steuert welcher Traffic in den Tunnel "gestopft" wird.

Beispiel:
Auszug aus einer vpn.cfg:

accesslist = "permit ip 192.168.2.10 255.255.255.255 192.168.2.201 255.255.255.255";

 

[Shirocco88]

da ist noch ein Fehler in Deiner Accesslist
nimm einfach die Vorlage aus #2 und ersetze 192.168.2.201 durch 192.168.2.205
oder koorigiere Deine vpn.cfg.

Hinweis: in der accesslist kann ein Host u.a. durch "[net-addr] [mask]" mit 255.255.255.255 als Mask spezifiziert werden.

# ipcalc 192.168.2.10 255.255.255.255
Output
Address: 192.168.2.10 11000000.10101000.00000010.00001010
Netmask: 255.255.255.255 = 32 11111111.11111111.11111111.11111111
Wildcard: 0.0.0.0 00000000.00000000.00000000.00000000
=>
Hostroute: 192.168.2.10 11000000.10101000.00000010.00001010
Hosts/Net: 1 Class C, Private Internet

192.168.2.205 ist der PC der sich per VPN Verbindet und dann im netzwerk diese ip bekommt
der Rechner soll nur auf die
192.168.2.10 zugreifen dürfen

Wichtig: daran denken den PC auf Split-Tunnel zu konfigurieren, d.h. der PC sollte sinnvollerweise auch nur IP-Pakete an die IP=192.168.2.10 in den Tunnel schickt und die DNS-Namensauflösung aus dessen lokalem Subnet beziehen.

Welchen VPN-Client verwendest Du denn auf dem PC ?

 

[Lieschen1983]

ich nutze den von AVM

/*
 * C:\Fritz.cfg
 * Sat Mar 16 17:43:14 2019
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "VPN";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "VPN";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "--------";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist =
                             "permit ip 192.168.2.10 255.255.255.255 192.168.2.201 255.255.255.255",
                             "permit ip any 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

 

[Shirocco88]

accesslist =
"permit ip 192.168.2.10 255.255.255.255 192.168.2.201 255.255.255.255",
"permit ip any 192.168.178.201 255.255.255.255";
}

nun bin ich aber "sprachlos" :-(
dies accesslist ist doch nicht mitt der von #2 identisch;
Sorry, da bin ich raus bei diesem Thread.

 

[Lieschen1983]

Unnötiges Vollzitat entfernt - HabNeFritzbox

stimmt die any ist das alles zugelassen wird, oder

 

[Shirocco88]

Aufbau der Accesslist-Zeile/-Regel:

#Aktion# #Protokoll# #Quelle# #Ziel# #Zusätzliche parameter#

#Aktion#
Permit erlaubt Verbindung
Deny verweigert Verbindung
Reject zurückweisen der Verbindung

#Protokoll#
tcp TCP-Verbindung
udp UDP-Verbindung
icmp ICMP-Verbindung
ip IP Protokoll

#Quelle# oder #Ziel#
any alle Host und Netze
host [ip] einzelner Host
[net] [subnetmask] spezifiziert Netzwerk- oder Host-Range

 

[Shirocco88]

für etwaige nachfolgende Leser anbei die Videoanleitung von AVM:

Fritz!Fernzugang am PC einrichten

sowie der KB-Artikel:
Wie kann ich auf meinem PC ein Fritz.Box VPN einrichten ?
https://avm.de/service/fritzbox/fri...Box-unter-Windows-einrichten-FRITZ-Fernzugang

Anmerkung: zuerst sollte der VPN-Tunnel entsprechend AVM-Doku stehen, erst dann sollte man über manuelle Anpassung/Optimierung nachdenken/durchführen.

 

[Lieschen1983]

ok danke und auch danke für deine gedult !
ich werde mal testen

Aufbau der Accesslist-Zeile/-Regel:
.... Vollzitat gekürzt by stoney