[Gelöst] VPN trotz Kindersicherung

[Andreas_LHS]

Hallo zusammen,
ich habe kürzlich in meinem Firmennetzwerk für alle Geräte die nicht ins Internet dürfen, wie WLAN APs, Telefonanlage, Telefone usw., den Zugang per Kindersicherung unterbunden (FB 7390). Seitdem kann ich über VPN nicht mehr direkt auf diese Geräte zugreifen. Das ist aber gelegentlich nötig um z.B. eine Rufumleitung in der Telefonanlage zu ändern. Alle anderen Rechner funktionieren wie gehabt.

AVM empfiehlt, die Kindersicherung aufzuheben. Das finde ich nicht zielführend, da ich gerade im Firmennetzwerk durch die Sperrung einen deutlich höhere Sicherheit erreiche. Inzwischen weiss man ja nicht mehr so genau, was die Geräte alles so treiben und welche Verbindungen aufgemacht werden. Updates für Geräte spiele ich sowieso immer von Hand ein (kleine Firma, überschaubare Geräteanzahl)

Was ich nicht verstehe ist: Durch den Fritz-Fernzugang bekommt mein externen Rechner eine IP-Adresse aus dem Firmennetz, die ich beim Einrichten des Fernzugangs zugewiesen habe. Die anderen Rechner im Firmennetzwerk können doch garnicht unterscheiden ob eine IP einem Gerät, einem Rechner oder einer VPN-Verbindung gehört, oder?

Eine Lösung habe ich hier im Forum und auch sonst nicht gefunden.
Hat von euch jemand eine Idee?

Gruß
Andreas

 

[andiling]

Hi,

ja, dass es nicht klappt, weil die Unterbindung des Internetzugangs über das Gateway bzw. die Trennung hiervon realisiert wird und der Zugriff über VPN auf Geräte nur geht, wenn deren Gateway die Route ist über die das VPN aufgebaut wird.

Gruß,

Andreas

 

[koyaanisqatsi]

Moin

Kindersicherung sollte in deinem Fall nicht komplett sperren.
Da muss manchmal etwas "quer" gedacht werden.
Meine Wenigkeit macht das mit der Whitelist.

Beispiel:
Wenn ein Gerät nur Verbindung zu einen Internetrechner bekommt der in der Whitelist steht,
dann kann nur der einen Fernzugriff zu diesem Gerät aufbauen, dessen IP/Hostname in der Whitelist steht.

Natürlich braucht dieses Gerät auch eine Portweiterleitung ins Internet.
Mit der Whitelist kannst du also auch den Zugang von Außen nach Innen reglementieren.

Wenn du erstmal mit VPN im lokalen Netz bist, dann versteh ich folgendes nicht...

Seitdem kann ich über VPN nicht mehr direkt auf diese Geräte zugreifen

Sind die in einem anderen Subnetz, oder warum kannst du keine lokalen Geräte erreichen?
Denn im VPN hat der Klient eine lokale IP die nicht von der Kindersicherung gesperrt ist/wird.

 

[Andreas_LHS]

Moin

Sind die in einem anderen Subnetz, oder warum kannst du keine lokalen Geräte erreichen?
Denn im VPN hat der Klient eine lokale IP die nicht von der Kindersicherung gesperrt ist/wird.

Eben das ist das was ich nicht verstehe. Wenn ich über VPN eingwählt bin, die sichtbare IP-Adresse des VPN-Kanals eine Adresse aus dem lokalen Subnetz. Dewegen ist mir unklar, warum die Kindersicheung die Verbindung sperrt.

@andiling
siehe oben. Wenn ich im eigenen subnetz unterwegs bin brauche ich doch normalerweise kein Gateway, Oder?

Andreas

 

[koyaanisqatsi]

Das kannst du ja mal testen.

Gib mal einen Gerät, welches du im VPN Netzt erreichen möchtest,
ein KiSi-Profil das nur Whitelist erlaubt (bei Onlinezeit: immer).
Trage in die Whitelist deine öffentliche IP oder DynDNS Hostnamen ein.
...und versuch es noch einmal.

 

[RalfFriedl]

Wenn ich im eigenen subnetz unterwegs bin brauche ich doch normalerweise kein Gateway, Oder?

Wenn Du VPN verwendest, bist Du nicht im eigenen Subnetz unterwegs. Es ist zwar eine Adresse aus dem lokalen Bereich der Box, aber wie kommen Pakete von Deiner Telefonanlage zum anderen Ende der VPN Verbindung? Sie müssen zuerst zur Box, damit diese sie dann verschlüsselt über das VPN schickt.
Hast Du schon mal überprüft, ob es tatsächlich an der Kindersicherung liegt? Funktioniert es ohne Kindersicherung? Wenn ja, dann schreib mal an AVM, ob es eine Möglichkeit gibt, trotz Kindersicherung die VPN Verbindung zu nutzen.

 

[Andreas_LHS]

Wie oben gesagt, komme ich per VPN auf die freigegebenen Rechner. Nur eben nicht auf die gesperrten Geräte. Ich werd mal ein paar Versuche starten und berichte dann.
Vielen Dank an alle
Gruß
Andreas

 

[andiling]

Eine nicht komplette Sperre ist ein passender Workaround und wohl am Einfachsten umzusetzen. Unabhängig von gibt es andere Lösungen:

- Zugriff auf die Geräte via Terminalserver
(oder ganz vereinfacht per RDP mit einem lokalen Gerät, alternativ klappen auch andere Remotelösungen)
- SSH Tunnel
(begrenzt auf die benötigten Ports)

In einem Firmennetzwerk sollte i.d.R. die Infrastruktur zu vorhanden sein.

Ob diese Blockade überhaupt einen Mehrwert bringt lasse ich mal dahingestellt.

 

[Andreas_LHS]

Hallo andiling,
auf die Telefonanlage kann ich nur via Browser zugreifen, um die gewünschten Einstellungen zu machen. Damit scheidet der Terminalserver aus, bzw war bisher kein Thema. Bei RDP müsste ich einen lokalen Rechner durchlaufen lassen und das ist nicht gewollt. Sind nur 4 Rechner, dazu ein paar Drucker und sonstiges Gerät.
Ich werde mal mit der Whitelist experimentieren.
Die Blokade hat für mich durchaus Sinn. Der Drucker holt sich ungefragt Updates und nervt mit Infos, die ich nicht haben will, die WLAN APs sind wie wir aus c't wisssen auch nicht immer sicher usw.

Gruß
Andreas

 

[koyaanisqatsi]

:lol:

die WLAN APs sind wie wir aus c't wisssen auch nicht immer sicher

...hätteste Smartfon Apps geschrieben (was ich tatsächlich beim Lesen wahrnam), hätt ichs ja verstanden.

Teste mal KiSi Profile mit Whitelist. Ich kanns nur empfehlen.
Damit verhinderst du sogar, daß Jemand die KiSi mit einem System-, oder Browserproxy aushebelt.

Ach ja, die Adresse im Internet, die in die Whitelist sollte,
steht nach VPN Verbindungsaufbau hier: fritz.box/internet/vpn.lua
...falls es für die keinen Hostnamen (DynDNS) gibt.

 

[Andreas_LHS]

Hallo zusammen.

Ich habe jetzt ein bisschen getestet. Der Workaround mit der Whitelist funktioniert. Danke für den Tipp. Habe bei allen Geräten die Netzwerkeinstellungen überprüft. Beim Einrichten öfter auch mal die Gatewayadresse weggelassen. Dort hats natürlich auch ohne Kindersicherung nicht funtkioniert. Jetzt ist mir das auch klar.

Also Danke nochmal an alle.
Gruß
Andreas

 

[andiling]

Hallo Andreas,

anstatt Dein gelöst hintenan zu setzen kannst Du auch den ersten Beitrag editieren und unter erweitert dann das Präfix ändern.

Nur als Hinweis (für die Zukunft).

Schön, dass es klappt.

Gruss,

A.

 

[sg2000]

:lol:


...hätteste Smartfon Apps geschrieben (was ich tatsächlich beim Lesen wahrnam), hätt ichs ja verstanden.

Teste mal KiSi Profile mit Whitelist. Ich kanns nur empfehlen.
Damit verhinderst du sogar, daß Jemand die KiSi mit einem System-, oder Browserproxy aushebelt.

Ach ja, die Adresse im Internet, die in die Whitelist sollte,
steht nach VPN Verbindungsaufbau hier: fritz.box/internet/vpn.lua
...falls es für die keinen Hostnamen (DynDNS) gibt.

Hi, Du hast geschrieben, dass du mit einer Whitelist und einem entsprechenden Profil bei einer VPN-Verbindung zu deiner Fritzbox auf ansonsten fürs Internet gesperrte Geräte im Netzwerk zugreifen kannst. Dazu habe ich eine Frage: Was steht in der Whitelist? Du berichtest von einem dyndns-Namen. Woher kriege ich diesen? Hast du auf deinem Handy einen dyndns-Client? Welchen? Oder habe ich das alles falsch verstanden? Ich nutze die Myfritzapp 2 auf Android und will von dort an meine Webcams, welche aber selbst nicht ins Internet können sollen. DANKE und viele Grüße!

 

[koyaanisqatsi]

Moin

Ich nutze Securepoint DyDNS und den (meinen) Hostnamen im Smartfon/Tablet bei der VPN Einstellung als: Serveradresse
Genau diesen Hostnamen, wie unter "Serveradresse", gehört dann in die Whitelist für die gesperrten Geräteprofile.
...bei dir wäre das deine: abcdef1234567890.myfritz.net
...wenn du myfritz.net als DynDNS nutzt.
Die gesperrten Geräte benötigen dann so ein zugewiesenes Profil, damit du sie via VPN erreichen kannst....

 

[Fritzinger]

Mahlzeit,

ich habe das selbe Problem und mich deswegen hier angemeldet.

In diesem Sinne "Hallo erstmal!" ;-)

Was das Problem hier angeht: Ich habe jetzt genau das ausprobiert und tatsächlich bekomme ich über das VPN auf die Kamera. Allerdings ist es dabei völlig egal, ob ich die Whitelist leer lasse oder irgendetwas hineinschreibe. Ich komme immer auf die Kamera. Ist das normal?

Und bedeutet das dann nicht, daß die Kamera ohne weiteres auch wieder nach Hause telefonieren kann?

 

[koyaanisqatsi]

Moins


Vielleicht hat AVM die Firmware dahingehend und zwischenzeitlich gefixt ?
...welche Fritz!Box Firmwareversion ist denn bei dir drauf ?


PS: Willkommen im Forum

 

[Fritzinger]

Hhm. Das ist 'ne 7590, dürfte also wohl die neueste Version sein.
Aber was soll da gefixt sein? Ich meine, wenn in der "Whitelist" z.B. die Adresse tisch.de freigegeben ist, wieso sollte das dann den Zugriff per VPN ermöglichen? Bei der Variante der Internetkomplettsperre für die Kamera kann ich per VPN ja auch nicht drauf zugreifen.

 

[koyaanisqatsi]

Nach meinem Verständniss gehört ein VPN Benutzer zum "Heimnetz".
...ist also lokal und vertrauenswürdig.
...und erst nach einer Firmwareänderung seitens AVM konnten Nutzer auf einmal nicht mehr auf fürs Internet gesperrte Geräte über VPN zugreifen.
...und dieser "Whitelisttrick" ist/wurde nicht von AVM dokumentiert.

 

[Fritzinger]

Das dachte ich eigentlich auch. Also daß das VPN zum Heimnetz gehört. Dem ist aber augenscheinlich nicht so. Offenbar werden die Daten verpackt und "in den Augen" der Firewall zum Internet verschickt, wenn sie Richtung Tunnel gehen. WOL funktioniert zum Beispiel durch das VPN-Netz auch nicht.

Das ist halt hinsichtlich der IP-Kameras ärgerlich. Denn denen möchte ich verbieten "nach Hause" zu telefonieren. Also brauche ich eine Konfiguration im Router, die es erlaubt, auf die Kameras über das VPN zuzugreifen und ich möchte gleichzeitig sicher unterbinden, daß die Kameras mit ihren Freunden in China telefonieren.

 

[sg2000]

Hallo, ich habe auch mit der Whitelist experimentiert (siehe meine Frage oben). Sie reglementiert meinen Tests nach nur den Port 80 (TCP-Standardport für Webseiten). Wenn man also eine Cam hat, die auch andere Ports nutzt, hilft das ganze wohl nichts, d. h. die Cam kommt wie sie möchte "durch". Es ist eben doch nur ein Filter, mit welchem man seine Kinder von gewissen Webseiten fernhalten kann. Einfach mal selbst testen, was noch geht und was nicht wenn man seinem Standardrechner die Sperre und die Whitelist-Einstellungen zuweist...

Ich habe zwischenzeitlich bei AVM angefragt, dort gab es auch keinen Lösungsvorschlag, d. h. per Kindersicherung voll gesperrte Geräte sind per VPN definitiv NICHT zu erreichen.

bitte / lösung: ich habe bei avm den kundenwunsch geäußert, dass ein profil eingepflegt wird, das den internetzugriff sperrt aber per vpn durchdringbar ist. dieser wunsch wurde an die produktenwicklicker weitergegeben. ich denke die umsetzugswahrscheinlichkeit steigt deutlich wenn sich noch mehr leute melden. also, haut bitte in die tasten und startet eure anfragen, einfach per formular auf der avm-page!

danke!

// edit stoney: Großschreibwahn geändert in Kleinbuchstaben - korrekte Großschreibung darf 'bearbeitet' werden