[Frage] VPN per LAN-Port 1 bei FB 7590

jstessi

Neuer User
Mitglied seit
15 Jul 2018
Beiträge
21
Punkte für Reaktionen
0
Punkte
1
Kennt hier jemand den Grund, warum bei der FB 7590 am Lan-Anschluss 1 VPN nicht verteilt werden kann?VPN.jpg
101433
 

Olaf Ligor

Neuer User
Mitglied seit
21 Mai 2019
Beiträge
53
Punkte für Reaktionen
3
Punkte
8
Wie kommst du dann noch an die Box, nur noch über WLAN?
 

jstessi

Neuer User
Mitglied seit
15 Jul 2018
Beiträge
21
Punkte für Reaktionen
0
Punkte
1
Was hat das jetzt mit meiner Frage zu tun? Ich denke, gar nichts.
 

jstessi

Neuer User
Mitglied seit
15 Jul 2018
Beiträge
21
Punkte für Reaktionen
0
Punkte
1
Über Internet per VPN
 

Olaf Ligor

Neuer User
Mitglied seit
21 Mai 2019
Beiträge
53
Punkte für Reaktionen
3
Punkte
8
Ohne WLAN-Zugang oder Internet, also per VPN oder HTTPS, sprich standalone und ohne WLAN-Kennwort und/oder -Gerät kann man dann nur nach Recover oder TelefonCode-Reset auf die Box, wenn kein LAN1 mehr für den "normalen" Zugriff zur Verfügung steht. Falls ich einen Zugang vergessen habe, dann bitte freundlich ergänzen.

So mutig ist AVM dann auch wieder nicht, den folgenden AVM-hat-mich-ausgesperrt!-Shitstorm von der Ich-probiere-mal-alles-aus-habe-aber-keine-Ahnung-Fraktion zu ertragen.
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,045
Punkte für Reaktionen
718
Punkte
113
Das gilt ohnehin nur, solange man die Verbindung ausschließlich übers GUI konfiguriert. Die Lua-Files "kennen" an der Stelle nur LAN2 bis LAN4 ... man kann aber über die Shell (mittels
Code:
# ctlmgr_ctl w vpn settings/<connection_n>/ipsecbr_interfaces eth0,eth1
z.B. für "LAN1" und "LAN2") auch das LAN1-Interface (also "eth0") in eine "ipsecbrX"-Bridge einbinden. Vermutlich klappt das auch über die "ar7.cfg" und den Import ... habe ich aber selbst nie probiert, weil mir der Shell-Zugang reicht(e).

Theoretisch könnte man wohl auch die Lua-Seiten entsprechend anpassen und dort den Support für "LAN1" ergänzen ... während bei den älteren Modellen ohne WAN-Port die "Reservierung" von LAN1 noch halbwegs nachvollziehbar war, ist das bei den GRX-Boxen ja auch nicht mehr unbedingt der Fall - ich würde hier nicht unbedingt "Vorsatz" von AVM vermuten, wenn bei den Boxen mit zusätzlichem WAN-Port (der ja auch in der LAN-Bridge ist, solange man ihn nicht als WAN-Zugang verwendet) der LAN1-Port in der IPSec-Konfiguration fehlt ... eher tippe ich auf "nicht so wichtig".

Wer die wirklich als IP-Client oder reinen Ethernet-Router betreiben will, der verwendet i.d.R. wahrscheinlich ohnehin den WAN-Port. Wobei der tatsächlich noch den Vorteil hat (zumindest bei meiner 7580), daß der nicht im Bootloader (also in EVA) erreichbar ist ... damit kann auch ein kabelgebundener "Angreifer" auf diesem Port nicht in den FTP-Server und eigene Firmware ins RAM laden.

Leider gilt das (immer noch) nicht für den vierten LAN-Port (also "eth3" aus Interface-Sicht) ... wer den für die Anbindung eines Gastnetzwerks verwendet und dort "unsichere" Geräte unterbringt, der muß auch damit rechnen, daß ihn von dort aus im geeigneten Moment (bei den GRX-Boxen halt nur nach einem PowerOn-Reset) irgendeine Malware in den Hintern beißen kann.

Ähnliches gilt - per se - natürlich auch für die anderen Ports ... wer also einen dieser Ports irgendwohin per VPN "delegieren" will und damit dann davon ausgeht, das dort bei ihm lokal angeschlossene Gerät könne damit das LAN nicht mehr erreichen (aka "gefährden"), der liegt auch nur solange richtig, bis die FRITZ!Box beim PowerOn-Reset ihre Achillesferse entblößt und auf JEDEM der (üblicherweise gelben) Ethernet-Ports auf FTP-Sessions reagiert.

Alle anderen Restriktionen (Gastnetz oder IPSec-Bridge) greifen erst dann, wenn das System bereits läuft ... ja, eigentlich erst dann, wenn der "dsld" die Interfaces anhand der "ar7.cfg" konfiguriert hat (während Teile schon vorher initialisiert werden bzw. zumindest initialisiert werden könnten).

Da die Aufteilung der Ports bei den FRITZ!Boxen nur "in Software" erfolgt, sind die also keinesweg "sicher voneinander getrennt", solange die Software das nicht entsprechend konfiguriert hat.
 

jstessi

Neuer User
Mitglied seit
15 Jul 2018
Beiträge
21
Punkte für Reaktionen
0
Punkte
1
Moin,
so tiefgründig war meine Überlegung gar nicht. Basierend auf dem neu hinzugekommenen WAN-Port der 7590, der ja die Sonderaufgabe des bisherigen LAN1 (z.B. in der 7490) übernimmt, schloss ich analog darauf, dass dies mit einer Gleichbehandlung der ETH-Ports Lan1 bis Lan4 einherginge. Was ich mir aber sehr wohl vorstellen kann, dass einfach 'aus der Schublade' bisheriger Boxen gearbeitet wurde und deren Routinen übernommen/mitgeschleppt wurden. Bei VPN ist einfach noch nicht nachgearbeitet worden, denn eine Sonderrolle von Lan1 kann ich nicht mehr feststellen, zumindest ist mir diese bisher nicht aufgefallen.
Ist aber IMO auch nicht sooo wichtig, dass man deswegen eine Revolution anzettel müsste.

CU jstessi
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,045
Punkte für Reaktionen
718
Punkte
113

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
232,030
Beiträge
2,018,086
Mitglieder
349,308
Neuestes Mitglied
UweMe