[Frage] VPN von Fritz!Box zu FritzBox, aber als Client-LAN?

[maf-soft]

Moin,

2 Fritzbochsen per LAN-LAN zu verbinden wird ja vom Programm "Fritz!Box Fernzugang einrichten" direkt unterstützt. Laut VPN-Portal kann die Fritzbogs aber auch als Client agieren, nämlich um sich zu diversen Fremd-VPN-Servern (z.B. CISCO) oder auch zum AVM Access Server zu verbinden:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_und_Tipps/box_zu_aas.php

Wie müssen die .cfg-Dateien aussehen, um eine Fritzbockz als Client zu dem LAN einer anderen Fridsbox zu verbinden? Eine Verbindung in die Gegenrichtung ist nämlich nicht erwünscht.

Hat jemand Tipps?

-Moritz

 

[maf-soft]

Na gut, andere Frage: wo sollte ich besser fragen? Wenn ich es raus habe, veröffentliche ich die Erkenntnisse natürlich gerne hier.

 

[eisbaerin]

Ich würde eine ganz normale LAN-LAN Verbindung erstellen und dann die accesslist deinen Wünschen anpassen.

 

[maf-soft]

Wir sind allerdings 2, die sich auf die Fritzbox verbinden wollen und das Einrichteprogramm sieht dann auch gleich Verbindungen zwischen uns 2 vor, womit dann insgesamt 6 Verbindungen eingerichtet wären, wo nur 2 gebraucht werden. Das gefällt mir nicht. Daher benutzen wir bisher den AVM-VPN-Client auf den jeweiligen Client-Rechnern, würden es aber mit der Fritzbox viel praktischer finden, zumal der Client auf meinem Hauptrechner nicht funktioniert und ich deshalb über Remotedesktop auf einen meiner anderen Rechner gehen muss...

 

[eisbaerin]

Bei einer LAN-LAN Verbindung ist das doch kein Problem, da können auch mehr als 2 sich verbinden, oder wo sitzen die 2?
Beschreibe mal genauer von wo nach wo du willst. Wieso "6 Verbindungen" zwischen 2 FB?
Poste mal ein paar Bilder von deiner Konfig oder schick sie mir per PM.

 

[maf-soft]

6 Verbindungen zwischen 3 FB.
Ich glaub', das ist noch nicht so kompliziert, dass man das aufmalen muss
2 Fritzboxen möchten als Clients auf das Netzwerk der 3. FB zugreifen. In die Gegenrichtung und auch untereinander soll kein Zugriff möglich sein. Ich finde es daher unschön, 6 Verbindungen einzurichten und davon 4 zu sperren.

 

[eisbaerin]

Ach, jetzt sind es auf einmal 3 FB, in #1 waren es noch 2 FB.
Selbst bei 3 FB sind es max. 3 Verbindungen und ohne "untereinander" nur 2,
da die immer bidirektional sind, du willst ja schließlich daß die Antwort auch zurück kommt.

Mal es doch mal auf, oder mach genaue Angaben über die IP's der FB, der PC's u.s.w u.s.f. ...
Sonst kann man dir nicht helfen.

 

[maf-soft]

Entschuldigung, in #1 habe ich meine Frage vereinfacht dargestellt. Ich wollte wissen, wie man eine Client-LAN-Verbindung aufbaut, und das ist auch immer noch die Frage.
Da du mir das ausreden willst, habe ich etwas weiter ausgeholt und die Gründe erklärt. Wenn du mir bei der ursprünglichen Frage hilfst, ist mir vermutlich geholfen.

Alle 3 Fritzboxen haben unterschiedliche IP-Netze, z.B. 192.168.10.1, 192.168.11.1, 192.168.12.1.
An allen 3 Fritzboxen hängen jeweils mindestens 2 Rechner.
Alle Rechner an allen Fritzboxen sollen ausschließlich Zugriff auf das 192.168.10.x Netz und ihr jeweils eigenes internes Netz haben.

Wenn ich "Fritz!Box Fernzugang einrichten" benutze und alle 3 FB eintrage, werden 3 cfg-Dateien erzeugt, die jeweils 2 ausgehende Routen zu den anderen FB enthalten. Das sind zusammen 6, ich brauche aber nur 2.

 

[eisbaerin]

3 cfg's sind OK, aber du brauchst keine Route zwischen dem 11er und dem 12er Netz, kannst du schon mal löschen,
da ja alle nur auf das 10er Netz zugreifen sollen.
In den cfg's müssen auch die Rückrouten für die Antwort enhalten sein, außerdem ist es eine VPN-Verbindung mit Schlüssel u.s.w., und der Schlüssel muß auf beiden Seiten vorhanden sein zur Überprüfung.
Deswegen brauchst du pro Verbindung auf beiden Seiten einen Eintrag in der .cfg !
Es ist aber nur eine Verbindung !

 

[maf-soft]

Im Konfigurationsprogramm kann man die nicht separat löschen, du meinst also von Hand in der .cfg-Datei?
Rückrouten: bei einem Client-LAN über die VPN-Software gibt es auch keine Rückrouten. Vom Client wird nicht verlangt, dass er irgendwie direkt erreichbar ist. Daher glaube ich das nicht.
Dass der Schlüssel auf beiden Seiten vorhanden sein muss, ist klar, ist ja auch bei der Client-Variante so.

 

[DeKi]

Hast du inzwischen eine Lösung erzielt? Ich möchte mit meiner Fritz!Box auch als Client auf eine andere Fritz!Box zugreifen, deren Konfiguration ich nicht im Zugriff habe. Eine LAN-LAN Kopplung kommt daher nicht in Betracht. Ich möchte bestimmte IP-Bereiche über die Client-Session routen lassen und den Rest wie bisher in meinem Netz...

 

[eisbaerin]

1. Wenn du keinen Zugriff hast, kannst du kein VPN machen
2. Was soll die FB als Client? Dann kann die FB auf das andere Netz zugreifen. Aber was nützt das dir?

 

[DeKi]

1. Wenn du keinen Zugriff hast, kannst du kein VPN machen

Verständlich. Ich wollte damit ausdrücken, dass ich die Konfiguration nicht für eine LAN-LAN Kopplung anpassen kann. Ich bin dort jedoch als User eingerichtet und kann am Client problemlos eine Verbindung aufbauen.

2. Was soll die FB als Client? Dann kann die FB auf das andere Netz zugreifen. Aber was nützt das dir?

Ich möchte bestimmte Adressbereiche über diese Verbindung routen lassen. Habe bereits dieses Beispiel (http://www.avm.de/de/Service/Servic...images/Redaktionelle_Grafiken/vpn/box_aas.pdf) getestet und hätte mir gedacht, dass ich dies mit der accesslist beeinflußen kann. Dem ist aber wohl nicht so?!

 

[KunterBunter]

Doch, mit passendem permit und deny kannst du dies mit der accesslist beeinflussen.

 

[DeKi]

So hatte ich es auch verstanden. Scheinbar funktioniert aber das Routing nicht automatisch?