.titleBar { margin-bottom: 5px!important; }

[Frage] VPN Box-to-Box: Zugriff auf nur jeweils eine IP-Adresse

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von druckmusik, 28 Sep. 2011.

  1. druckmusik

    druckmusik Neuer User

    Registriert seit:
    12 Feb. 2005
    Beiträge:
    73
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,

    ich habe mich schon mal durch-gegoogelt aber bisher nichts passendes gefunden.

    Ich habe fünf Fritz!Boxen per VPN LAN-to-LAN verbunden. Alle boxen haben jeweils ein eigenes Subnetz. Alle Boxen sollen auf ein zentrales NAS zugreifen können, was auch soweit funktioniert.

    Meine Frage ist nun, wie ich es in der jeweiligen VPN-CFG definieren kann, dass der Zugriff von den entfernten Boxen nur auch eine IP der zentralen Fritz!Box erlaubt ist. In meinem Fall wäre das ein NAS, das erreichbar sein soll - mehr aber nicht.

    Bisher sieht die entsprechende Zeile so aus:

    accesslist = "permit ip any 192.168.1.0 255.255.255.0";

    Die erlaubt von beiden Seiten Zugriff auf alles. Diese Zeile habe ich aus der Config der Box mit dem Subnetz 192.168.2.0, die sich auf die "Zentrale" mit dem NAS im Netz 192.168.1.0 verbindet.

    Wie schränke ich hier konkret von "any" auf z.B.: die einzelne IP 192.168.1.5 ein?

    Vielen Dank für Eure Hilfe,

    druckmusik
     
  2. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,864
    Zustimmungen:
    167
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Probier mal accesslist = "permit ip any 192.168.1.?? 255.255.255.255"; statt ?? halt die IP von dem NAS und Subnetmaske 4*255 damit sollte nur die IP möglich sein.
     
  3. druckmusik

    druckmusik Neuer User

    Registriert seit:
    12 Feb. 2005
    Beiträge:
    73
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke für Deine Antwort - leider passiert mit dieser Einstellung nichts. Eine Verbindung lässt sich so nicht aufbauen. Noch eine Idee?
     
  4. smart-gp

    smart-gp Mitglied

    Registriert seit:
    31 Mai 2006
    Beiträge:
    316
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Esslingen
    Ich vermute mal, daß Du zusätzlich den Zugriff auf die Box selbst auch zulassen musst, damit das VPN aufgebaut werden kann.
     
  5. druckmusik

    druckmusik Neuer User

    Registriert seit:
    12 Feb. 2005
    Beiträge:
    73
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das klingt sinnvoll - somit sollte nur der erste Teil der Zeile durch eine bestimmte IP ersetzt werden und der zweite Teil einfach übernommen werden? Hast Du vielleicht ein Beispiel?
     
  6. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,864
    Zustimmungen:
    167
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Probiers mit Zwei Zeilen, eine für FB und eine fürn NAS
    accesslist = "permit ip any 192.168.1.X 255.255.255.255";
    accesslist = "permit ip any 192.168.1.Y 255.255.255.255";
     
  7. smart-gp

    smart-gp Mitglied

    Registriert seit:
    31 Mai 2006
    Beiträge:
    316
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Esslingen
    Nicht ganz. Die Syntax für die accesslist findet sich hier: http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/15136.php3

    accesslist =
    "permit ip any 192.168.1.X 255.255.255.255",
    "permit ip any 192.168.1.Y 255.255.255.255";

    HINWEIS:
    Beachten Sie, dass die Einträge für die IP-Netzwerke durch Komma getrennt und der Wert für "accesslist" mit einem Semikolon beendet werden muss!