VPN-Verbindung zw. 2 FRITZ!Boxen -> Zugriff auf eine IP-Adresse beschränken

[dwhhde]

Hallo zusammen,

ich habe 2 FRITZ!Boxen per VPN über das Internet miteinander verbunden. Dies funktioniert auch einwandfrei (FB1 IP-Bereich/Subnetz: 192.168.1.0 255.255.255.0; FB2IP-Bereich/Subnetz: 192.168.2.0 255.255.255.0).
Nun möchte ich, dass FB1 nur auf eine IP-Adresse von FB2 zugreifen darf. Hierfür möchte ich die entsprechende Konfigurationsdatei anpassen, weiß aber nicht genau wo. Läuft das über den Eintrag "accesslist = "permit ip..." und wenn ja, müssen die Einträge in beiden Konfigurationsdateien identisch sein?
Danke für die Hilfe und viele Grüße
Daniel

 

[Telefonmännchen]

Läuft das über den Eintrag "accesslist = "permit ip..." und wenn ja, müssen die Einträge in beiden Konfigurationsdateien identisch sein?

Ja, darüber läuft das. Du mußt nur die Netzadresse (z:b: 192.168.178.0) durch die einzelne Adresse (z.B. ...200) ersetzen und die Netzmaske auf 255.255.255.255 anpassen.

Ich habe ähnliches eingerichtet. Von einem Netz (Firma) aus lässt sich nur ein Datensicherungsserver in einem Privatnetz (Firmeninhaber zu Hause) via VPN ansprechen und die Gegenrichtung ist aber komplett freigegeben, da das Netz von dort aus sowie bei Bedarf über eine Roadwarrior-VPN-Verbindung ferngewartet wird (lokaler Server, FritzBox, IP-Kameras und PCs per VNC). Funktioniert problemlos seit ca. einem halben Jahr. Der Server im Firmennetz macht eine tägliche Sicherung nach Feierabend auf einen Sicherungsserver zu Hause, da durch einen Einbruch/Hardwarediebstahl schon mal die Daten eines Vierteljahres abhanden gekommen waren. Unschöne Situation das.

Gruß Telefonmännchen

 

[dwhhde]

Hallo Telefonmännchen,

danke für deine Antwort. Inzwischen habe ich das selbst bereits hinbekommen. Ich habe den Eintrag wie folgt geändert:

accesslist = "permit ip any 192.168.1.0 255.255.255.0" nach

accesslist = "permit ip 192.168.2.x 255.255.255.255 192.168.1.0 255.255.255.0"

Hierdurch ist der Zugriff von FB1 auf FB2 auf die IP-Adresse 192.168.2.x beschränkt, weiterhin kann nur die IP-Adresse 192.168.2.x auf das Netz der FB2 zugreifen. Warum dies so ist, bleibt allerdings unklar. Insbesondere, da ich die accesslist nur auf einer FB geändert habe (und nicht auch auf der anderen) und meine Recherchen bisher eigentlich ergeben hatten, dass hierdurch nur der Zugriff von FB2 auf FB1 reglementiert wird, und nicht auch umgekehrt. Aber Hauptsache es funktioniert
Viele Grüße
Daniel

 

[Zündapp]

Hallo,

ich hab grad diesen Tread hier gefunden und bin sehr interessiert daran.
Nehmts mir nicht krumm, dass ich diesen alten Beitrag wieder hernehme. Ich hab ein ähnliches Problem.
Ich hab einen VPN Tunnel mit meinem Cousin am laufen (Meine FB: 192.168.1.0 Netz) (Mein Cousin: 192.168.2.0 Netz).
Der Tunnel läuft wunderbar, und ich hab ihn so eingestellt, dass er ohne einen Ping auf das entfernte Netz abzusetzten, sich connected.
Nun aber zu meinem Problem. Ich möchte nicht, dass mein Cousin Zugriff auf mein komplettes Netz hat. Er soll nur Zugriff auf eine bestimmt IP-Adresse haben und einen bestimmten TCP Port. Ich wiederrum darf auf sein komplettes Netz zugreifen. Wie würdet ihr da die .cfg umschreiben und muss ich da beide .cfg's abändern oder nur meine bzw. seine.

Hier der Ausschnitt aus meiner bisherigen Config:

}
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.171.0 255.255.255.0";
        }

Danke


MfG

Zündapp

 

[PsychoMantis]

Ich möchte nicht, dass mein Cousin Zugriff auf mein komplettes Netz hat. Er soll nur Zugriff auf eine bestimmt IP-Adresse haben und einen bestimmten TCP Port. Ich wiederrum darf auf sein komplettes Netz zugreifen.

Genau diese Konstellation interessiert mich auch. Hat das schon jemand gelöst?