[Frage] VPN eines einzelnen Geräts im Netzwerk über Fritz!Box

[gaddagah]

Hallo zusammen,

ich habe ein VPN Verbindung zwischen zwei Fritz!Boxen an zwei Standorten hergestellt:

- Netzwerk A: 7560 an 1&1 VDSL Anschluss
- Netzwerk B: 7530AX an 1&1 VDSL Anschluss

Verbindung wurde gemäß dieser Anleitung hergestellt: https://avm.de/service/wissensdaten...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/

Ich möchte nun, dass der gesamte Netzwerk-Verkehr von lediglich einem bestimmten Gerät / W-Lan-Client in Netzwerk A per VPN die Internetleitung von Netzwerk B nutzt. Auf dem Client selbst lässt sich kein VPN konfigurieren. Bei der VPN-Konfiguration in der Fritz!Box habe ich zwei Auswahlmöglichkeiten:
- "Nur bestimmte Geräte nutzen die VPN-Verbindung" habe ich aktiviert und dort lediglich den gewünschten Client ausgewählt. Bei dieser Auswahl läuft aber nicht automatisch der gesamte Netzwerkverkehr des Clients über die VPN-Verbindung, sondern die Geräte im anderen Netzwerk wären nur grundsätzlich für diesen Client erreichbar.
- dazu gibt es noch die Option "Gesamten Netzwerkverkehr über die VPN-Verbindung senden". Wenn ich diese zusätzlich auswähle, läuft der VPN-Verkehr wie gewünscht über Netzwerk B, allerdings funktioniert die IP-Telefonie an Anschluss A nicht mehr.

Laut Fritz!Box Support (und Klärung im Second Level) ist die von mir gewünschte Konstellation nicht möglich, da bei Auswahl der Option "Gesamten Netzwerkverkehr über die VPN-Verbindung senden" die Auswahl "Nur bestimmte Geräte nutzen die VPN-Verbindung" ignoriert wird (auch wenn sich beide gleichzeitig auswählen lassen). Zitat des Supports:

Leider wird das von Ihnen gewünschte Szenario von der FRITZ!Box derzeit nicht unterstützt. Auch ist mir eine alternative derzeit nicht bekannt. Derzeit ist es so, dass wenn "Fulltunneling" dazu aktiviert wird, gehen sämtliche Anfragen über den Tunnel über die entfernte FRITZ!Box raus und daher können die 1&1-SIP-Accounts über diesen Tunnel nicht registriert werden.

Hat jemand eine Idee, wie ich die gewünschte Konstellation dennoch erreichen kann? Wahrscheinlich nicht mit der Fritz!Box selbst... Gibt es z.B. einen günstigen WLAN-Access Point mit VPN Konfiguration? Dann könnte ich diesen ja an der Fritz!Box anschließen und nur den gewünschten Client mit dessen separatem WLAN betreiben. Hat jemand noch andere Ideen?

Danke für euren Support!

 

[Tippfehler]

Was ist das für ein Client, auf dem sich kein VPN installieren lässt?

 

[NDiIPP]

Bspw. ein Gerät/Client basierend auf einem ESP8266 oder ESP32 oder einem KINO4 usw. usf…

 

[gaddagah]

Was ist das für ein Client, auf dem sich kein VPN installieren lässt?

Ein Receiver

 

[B612]

Wahrscheinlich nicht mit der Fritz!Box selbst...

Doch man muss nur die Konfiguration richtig machen. Zur Not per Hand. Zeige uns mal die VPN Konfig von Netzwerk A.

 

[gaddagah]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gemäß der Forumsregeln gelöscht]
Was genau möchtest du denn sehen / brauchst du an Infos? Die Verbindung an sich funktioniert ja und es sind für beide Netzwerke auch unterschiedliche IP-Adressbereiche vergeben. Das Problem liegt meiner Ansicht bei den beiden Einstellungen aus dem angehängten Screenshot. Wenn ich den ersten Haken nicht aktiviere, stellt der Client, den ich beim zweiten Haken weiter unten (außerhalb des Screenshots) ausgewählt habe, noch keine VPN-Verbindung her. Wenn ich allerdings den ersten Haken (gesamten Netzwerkverkehr) doch aktiviere, funktioniert die VoIP Telefonie nicht mehr. Was kann ich da denn zusätzlich noch händisch in der FritzBox konfigurieren?


[Edit Novize: Riesenbild gemäß der Forumsregeln auf Vorschau verkleinert]

Falls diese Konfiguration nicht funktioniert, würde ich ja auch zu einem einfachen WLAN-Access Point greifen, in dem ich dann händisch die VPN Verbindung per IPSec zur FritzBox konfigurieren kann. Gibt es da etwas "von der Stange"?

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

Ich habe es gerade noch mal durchgetestet. Die VPN-Verbindung steht grundsätzlich und wird auch als aktiv angezeigt. Der Client nutzt diese aber nicht (ich sehe bei FritzBox B keinen Upload, wenn der Client in Netzwerk A etwas streamt). Sobald ich den Haken bei "Gesamten Netzwerkverkehr..." setze, sehe ich bei FritzBox B, dass der Upload genutzt wird, die IP-Telefonie in Netzwerk A funktioniert ab dem Moment aber nicht mehr. Anbei noch weitere Screenshots.

 

[B612]

Was genau möchtest du denn sehen / brauchst du an Infos?

Die VPN Konfig in Textform. z.B. aus den gesicherten Einstellungen.

 

[Joe_57]

Anderes Netzwerk verwenden heisst, die IP-Adressen der zwei FRITZ!Boxen dürfen nicht beide mit 192.168.178. anfangen!

 

[gaddagah]

Die VPN Konfig in Textform. z.B. aus den gesicherten Einstellungen.

An die komme ich gerade nicht dran, erst in den nächsten Tagen wieder. Habe hier aber die ausführlichen Support-Logs, die ich für AVM erstellt hatte. Finde ich sie dort auch? An welcher Stelle? Wonach müsste ich suchen?

Anderes Netzwerk verwenden heisst, die IP-Adressen der zwei FRITZ!Boxen dürfen nicht beide mit 192.168.178. anfangen!

Das tun sie nicht. Netzwerk A beginnt mit 192.168.188.

 

[B612]

Wonach müsste ich suchen?

vpn.cfg

 

[gaddagah]

vpn.cfg

Das hier habe ich dort gefunden:

##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
/*
* /var/flash/vpn.cfg
* Fri Apr 15 11:07:14 2022
*/

meta { encoding = "utf-8"; }

vpncfg {
vpncfg_version = 1;
connections {
enabled = yes;
editable = yes;
conn_type = conntype_out;
name = "FRITZ!Box XYZ";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "XYZ.myfritz.net";
keepalive_ip = 192.168.178.1;
localid {
key_id = "SECRET";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "SECRET";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
xauth {
valid = yes;
username = "SECRET";
passwd = "SECRET";
}
use_cfgmode = yes;
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist = "permit ip any 0.0.0.0 0.0.0.0",
"permit ip any 192.168.178.0 255.255.255.0";
allowed_vpn_clients {
ipaddr = 192.168.188.24;
mask = 255.255.255.255;
}
landevice_uids = "landevice9111";
app_id = 0;
}
}


// EOF
##### END SECTION vpn_cfg

 

[gaddagah]

Niemand eine Idee dazu?

 

[PeterPawn]

Wozu? Mal abgesehen davon, daß die Datei bei mir (und wohl auch bei vielen anderen, wie ich schon desöfteren feststellen konnte) irgendwie anders aussieht (egal wo man sie "extrahiert" hat) - primärer Unterschied sind Zeilen, die passend eingerückt wurden, damit man auf das "Abzählen" von geschweiften Klammern, die jeweils die "Sektionen" begrenzen, verzichten kann. Da die Datei bei Dir vermutlich ebenfalls MIT Einrückungen vorliegt, kannst Du Dir ja mal die Frage stellen, ob DAS vielleicht ein Grund für die "Unlust" von anderen sein könnte, sich weiter mit Deinem Problem zu befassen.

Ansonsten ist irgendwo erklärt (hier im Board, halt in entsprechenden Threads, die anderen bereits geholfen haben), was die Einträge in accesslist bedeuten und da könnte man tatsächlich einen "Selektor" bauen, der nur den Traffic einer bestimmten (lokalen) IP-Adresse über diese VPN-Verbindung überträgt. Aber erstens ist das - wie geschrieben - nicht zum ersten Mal hier ein Thema und auch nicht nur ein einziges Mal "behandelt" (es gibt also genug "alte" Threads, in denen man sich erst einmal selbst belesen kann) und zweitens hat sich gegenüber vorherigen Antworten/Lösungen nur wenig bis nichts geändert (wenn man nicht mit Beiträgen aus 2010 mit dem eigenen Lesen beginnt, sondern irgendwo nach der 06.5x), so daß die entsprechenden Antworten immer noch gültig sind - Du mußt sie nur suchen, lesen und selbst umsetzen.

 

[B612]

Wobei mir das neu ist:

allowed_vpn_clients

mMn haben wir das bisher nicht genutzt.

 

[PeterPawn]

Das kam ja auch erst mit der Option, nur einzelne Geräte über das VPN zu verbinden, hinzu (nicht zu verwechseln mit den ipsecbrX-Interfaces, die einen bestimmten Ethernet-Port der Box mit dem Peer verbinden).

---

Bringt hier aber ohnehin nichts ... die "internen" Konfigurationsmöglichkeiten ändern ja auch die accesslist (daher ja auch der "any"-Eintrag ohne Einschränkungen) und es sieht so aus, als würde die zusätzliche "Zugriffskontrolle" für die Verbindung (eben dieser allowed_vpn_clients-Abschnitt) NICHT dafür sorgen, daß die anderen Pakete dann auch nicht selektiert werden und damit den "normalen" Weg im Routing weiterhin nehmen, sondern eben wirklich nur "zusätzlich" sicherstellen, daß keine Pakete von einem anderen Client über diese Verbindung übertragen werden. Zumindest würde das ja auch zur AVM-Antwort passen - zwar werden alle Pakete in Richtung der entfernten Box "selektiert", es kommen aber nur die durch, die von einem bestimmten Client (hier halt die .24) stammen.

Wobei ich das Format ohnehin eigenartig finde (oder es liegt doch nur an der Formatierung) ... bei mehr als einer IP-Adresse (also mehreren Clients) muß es ja auch irgendwie noch eine "Array-Form" dieser Liste geben, denn ipaddr und mask ohne jeden Index-Wert taugt ja nicht für n Einträge (mit n > 1).

Ich habe das auch nie erneut untersucht, nachdem AVM diese neuen Optionen eingebaut hat ... speziell wäre natürlich interessant zu wissen, ob das auch sonst noch irgendwie "gegen Mißbrauch" abgesichert ist. Wenn das jemand so versteht, daß man damit den Zugriff auf entfernte Clients verhindern(!) kann, sollte es ja auch nicht ohne weiteres möglich sein, durch Verwendung der passenden (statisch konfigurierten) Client-IP dann doch die VPN-Verbindung nutzen zu können. Ich "rate" mal und hoffe, daß das irgendetwas mit dem (ebenfalls neuen) Eintrag für landevice_uids zu tun hat ...die kann ein "(W)LAN-Client" nicht einfach selbst beeinflussen. Andererseits habe ich auch noch nie GENAU nachgelesen, wie AVM diese zusätzlichen Optionen jetzt dokumentiert(!) hat ... daraus sollte sich ja auch ableiten lassen, welche Vorkehrungen man dort getroffen hat.

---

Aber ein passender Selektor (was ja auch vorher schon machbar war und auch ohne allowed_vpn_clients weiterhin funktionieren sollte) müßte dennoch für den gewünschten Erfolg in dem hier geschilderten Szenario reichen ...