VPN blocken bzw. nur für bestimmte IPs zulassen

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
G

gbenton

Neuer User
Mitglied seit
19 Mai 2010
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo,

kann dem Thema nicht so ein kerniges Betreffe geben - evtl. ist meine Suche auch daher gescheitert, ich fürchte, die Frage wurde evtl. schon beantwortet.

Szenario:
FB1 (IPs 192.168.10.xxx) mit Lan-Lan Kopplung zu FB2 (IP 192.168.1.xxx) (f. Fernarbeit, Wartungszwecke etc.)
an der FB1 hängt ein Linksys (IP 192.168.10.100) als öffentlicher (!) WLAN-Accesspoint, um Gästen Internet-Zugang zu ermöglichen

Problem:
Geben die Gäste aus dem WLAN des Linksys eine Adresse aus dem Bereich 192.168.1.xxx ein, so baut FB1 das VPN auf und die Gäste können das gesamte Netz der FB2 'sehen'. Das ist jedoch nicht gewollt, die sollen nur Internet-Access haben.

Das möchte ich also verhindern. Ich weiß, die Konstellation ist nicht sonderlich sicher und günstig gelöst, sehe aber für mich nicht viel andere Möglichkeiten. Um dem Tipp vorwegzukommen: die FB1 hinter den Linksys zu hängen wäre ja eine Möglichkeit, allerdings entgehen mir dann die Fernwartungs- und VPN-Möglichkeiten der FB1, und wenn der Linksys ausfällt, habe ich gar keinen VPN-Zugriff mehr zwischen den Netzen.

Nochmal versucht, konkret zu formulieren:
Besteht die Möglichkeit, in der Fritzbox FB1 zu verhindern, dass Anfragen von der IP 192.168.10.100 (dem Linksys und damit dem WLAN) *nicht* über das VPN laufen bzw. ins 'Leere' laufen? Kann man so etwas über Routing lösen? Davon habe ich leider keine Ahnung.

Wäre für jede Hilfe dankbar.

Gerd
 
So ohne weiteres wird das nicht gehen, die möglichen "Lösungsansätze" wären auch nur semi-sicher ;-)

Hintergrund ist, dass die WLAN-User ja nicht mit der IP des AP's ankommen, sondern eine eigene IP in dem Netz haben. Theoretisch möglicher Ansatzpunkt wäre, die in einen Bereich "einzusperren", der aus dem VPN ausgeschlossen wird.
Beispiel:
- Die WLAN-Clients bekommen IPs aus dem Bereich 192.168.10.193 - 254.
- Im VPN "blockst" du den Bereich 192.168.10.92/26
in etwa:
[noparse]accesslist = "deny ip 192.168.10.192 255.255.255.192 any", "permit ip 192.168.10.0 255.255.255.0 192.168.1.0 255.255.255.0";[/noparse]

Wie gesagt, alles reine Theorie, hab das nie probiert, ob das so ginge.

Jörg
 
Erstmal Danke für die Antwort.

Das klingt für mich doch schon gar nicht schlecht. Nur wo müste ich das eintragen - manuell in der VPN-config-Datei oder kann ich das in der Box irgendwo eintragen?

Gerd
 
Jepp, dafür müsstest du die .cfg-Datei von Hand editieren...

Jörg
 
gbenton,
Du schreibst leider nicht was für ein Linksys Gerät Du nutzt. Sollte es ein WRT54 sein, dann würde ich den als Router mit eigenem Netz für die Gäste einrichten und den Zugriff auf das Netz 192.168.1.0/24 sperren.
Gruss
gt40
 
Vielen Dank auch für diesen Tipp - das ist eigtl. eine prima Idee.
Danach hatte ich auch schon geguckt und es ist tatsächlich ein WRT45, allerdings ist eine andere Firmware (Tomato) drauf und dort konnte ich nichts finden, womit ich den Zugang für bestimmte IP-Adressen sperren kann.

Wenns da eine Möglichkeit gäbe, würde ich das natürlich gerne machen.

Gerd
 
Hast du denn schon mal geschaut welche IP-Adressen im Gäste-WLAN vergeben werden?
Wenn dein WRT ganz normal routet müßten dort andere IP's vergeben werden als 192.168.10.xxx .
Diese anderen IP's sind in der VPN-accesslist normal nicht frei gegeben,
so daß sie keinen Zugang zu deinem Netz haben.

Die Firmware auf dem WRT ist fast egal. Das schafft sogar die Originale.
Eigentlich muß da gar nichts eingestellt werden.
In der Grundkonfiguration läuft der schon so wie du ihn hier brauchst.
 
... klar, wenn es ein Router und kein (reiner) Accesspoint ist, dann wird es natürlich viel einfacher :)

Jörg
 
... und wenn es z.Z. kein Router ist, dann würde ich dort anfangen etwas zu ändern.
 
...dank Euch.

Also es werden andere IPs vergeben im WLAN, hatte ich vergessen, zu schreiben. 192.168.11.xxx

Aber ich komme halt ins VPN der FB2. Ist es denn nicht so, dass die FB1 als 'Tor zur Außenwelt' die Anfrage an 192.168.1.xxx (FB2) einwach dann automatisch übers VPN routet? Denn die Anfrage kommt ja über den WRT und der hat ja eine Adresse aus dem internen Netz der FB1 (192.168.10.100)

Gerd
 
Ja, du hast recht, da der WRT auch noch NAT macht werden die Adressen in 192.168.10.xxx geändert.
Das NAT müßte ausgeschaltet werden, fals es geht.
Er darf nur als ganz normaler Router arbeiten.
Ob das mit Tomato geht weiß ich nicht, aber mit DD-WRT geht es bestimmt.
 
Kommt natürlich etwas auf dein Szenario an: Wenn der WRT die IPs nicht verändert, dann sollte das gehen. Das würde bedeuten, dass du aus dem WLAN nicht in das "lokale" Netz 192.168.10.x kämest.
Da das aber scheinbar geht, werden die IPs aus dem WLAN wohl auf die IP des LAN (192.168.10.100) übersetzt (per NAT).
Wenn du das so ändern könntest, dass das Netz geroutet wird, dann wird es vermutlich schon nicht mehr in das Netz 192.168.1.x ginge (das würde eine Route für 192.168.11.x auf der FB zur WLAN-Box 192.168.10.100 erfordern).

Jörg

EDIT Mist, nur zweiter ;-)
 
Das ist ja gerade Dein Problem. Der WRT ist Mitglied des Netzes das per VPN Zugang zum anderen Netz hat. Nach "aussen" hin haben die Mitglieder Deines WLAN genau dieses IP-Adresse. Wenn du den Zugriff auf das Netz 192.168.1.xxx unterbinden willst, dann muss der WRT das unterbinden. Ich kenne die Tomato Oberfläche nicht aber zur Not geht auch eine zusätzliche netfilter Regel.
In etwa so : iptables -I FORWARD -d 192.168.1.0/24 -j REJECT
Das müsste dann dauerhaft gespeichert werden.
Gruss
gt40

Edit : Mmmh, dritter...
 
Ich glaube, da ist es doch einfacher die Accessliste im VPN zu ändern,
so wie Jörg es in #2 vorgeschlagen hat.

Wenn du nur auf die FB1 zugreifen willst würde ich auf deiner Seite (FB2) folgendes ändern:
alt: accesslist = "permit ip any 192.168.10.0 255.255.255.0";
neu: accesslist = "permit ip any 192.168.10.1 255.255.255.255";

das sollte reichen, daß kein anderer außer der FB1 auf dein Netz zugreifen kann.

In FB1 kann man auch folgendes ändern:
alt: accesslist = "permit ip any 192.168.1.0 255.255.255.0";
neu: accesslist = "permit ip 192.168.10.1 255.255.255.255 192.168.1.0 255.255.255.0";

so hast Du doppelte Sicherheit.

Sobald du aber auch auf den WRT zugreifen willst geht es so nicht,
da dann ja wieder die über NAT gewandelten Gäste-Adressen mit frei gegeben werden.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 717 (Mitglieder: 32, Gäste: 685)

Neueste Beiträge

Statistik des Forums

Themen
246,273
Beiträge
2,249,272
Mitglieder
373,861
Neuestes Mitglied
rbaur68
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück