VPN zwischen 7390 und 7270 läuft, wie schränkt man den Zugriff ein?

[Jeepersfinest]

Hallo,
ich habe eine VPN-Verbindung zwischen 2 FritzBoxen konfiguriert und soweit läuft alles.
Allerdings möchte ich gerne die Kommunikation einschränke, d.h. ich möchte nur und ausschliesslich 2 bestimmte IPs miteinanderen "sprechen" lassen. Meine Versuche mit der Accesslist in der Konfig waren bisher ohne Erfolg, aber darin bin ich auch nicht wirklich fit.
Netz 1: Fritz 7390, Router 192.168.100.1
Netz 2: Fritz 7270, Router 192.168.2.1
Sehen sollen sich nur die 192.168.100.3 und die 192.168.2.100 über den Tunnel.

Kann mir da jemand weiterhelfen?

Vielen Dank im vorraus!

Gruß
Christian

 

[sf3978]

...
Allerdings möchte ich gerne die Kommunikation einschränke, d.h. ich möchte nur und ausschliesslich 2 bestimmte IPs miteinanderen "sprechen" lassen.

Warum hast Du dann per VPN, eine LAN-LAN- und nicht ein Client-LAN-Verbindung eingerichtet?

 

[Jeepersfinest]

Hallo,

wo wäre der Unterschied? Auch bei der Client-Lösung sehen doch erst einmal alle alles.
Und die beiden IPs sind keine Clients im herkömmlichen Sinne.

Gruß
Christian

 

[key106]

Hallo Jeepersfinest,

du hast Recht, auch der VPN-Client hätte vollen Zugriff auf das Subnetz in der jeweiligen FritzBox. Du kannst das nur sinnvoll einschränken wenn Du die VPN-Konfig nachträglich von Hand bearbeitest.
Also machen wir das mal langsam:
Du erwähntest ja schon, die Lösung mit der LAN-LAN Koppelung ist die bessere Lösung, dann schiebt man die VPN-Arbeit auf die Fritte und die Clients haben eben nicht die VPN-Arbeit zu leisten. Mal ganz davon abgesehen das dann jeder Netz-Teilnehmer, ob das nun ne Konsole oder TV ist, in das VPN-Netz "quasi gratis" integriert wird. Die Entscheidung bzw. Festlegung wer dann was darf oder nicht liegt bei der Fritte ganz allein.

Das Geheimnis ist der Eintrag

accesslist = "permit ip any 192.168.100.0 255.255.255.0";

in der jeweiligen VPN-Konfig.

Wenn Du jetzt in diese VPN-Konfig für deine Verhältnisse konfigurieren möchtest dann nutze doch die Möglichkeit das Du der Fritte genau dort sagst.

Für die 7270 wäre das die Info das nur für 192.168.100.3 der VPN-Tunnel zur 7390 zu nutzen ist:

accesslist = "permit ip any 192.168.100.[COLOR="#ff0000"]3[/COLOR] 255.255.255.[COLOR="#ff0000"]255[/COLOR]";

und umgedreht genauso (also 7390 zur 7270):

accesslist = "permit ip any 192.168.2.[COLOR="#ff0000"]100[/COLOR] 255.255.255.[COLOR="#ff0000"]255[/COLOR]";

Das Routen zu der jeweilgen IP übernimmt die jeweils andere Box.
Das heist das die 7390 (192.168.100.1) entscheidet wohin die Pakete mit der Ziel-Addr 192.168.2.100 (liegt ja im Subnet der 7270) gehen. Denn damit steht fest das das Ziel am anderen Ende des VPN-Tunnels liegt.

Und genau diese Angabe ist damit erfolg.
Diese Angaben in der VPN-Konfig, konkret "assesslist = ..." sagen der jeweilen Box das
die Pakete mit der IP xxx dann ja über den Tunnel geroutet werden sollen.
Mit Hilfe dieser Tricks kannst Du sogar - und das klappt definitiv - bestimmte Addr im Internet über die jeweils andere öffentliche IP der Box erreichen.

MfG Thomas

 

[sf3978]

...
du hast Recht, auch der VPN-Client hätte vollen Zugriff auf das Subnetz in der jeweiligen FritzBox. Du kannst das nur sinnvoll einschränken wenn Du die VPN-Konfig nachträglich von Hand bearbeitest.
Also machen wir das mal langsam:
...

Diese Einschränkung, nachträglich von Hand, kann man bei einer LAN-Client-Konstellation genau so machen, analog der LAN-LAN-Verbindung. Der Rest ist deine persönliche Meinung.

 

[Jeepersfinest]

Edit Novize: Unsinniges Mörderfullquote gelöscht. Wir wissen schon selbst, was wir eben noch selbst gelesen haben, das brauchst Du nicht noch einmal vorlesen. Siehe auch noch einmal in die Forumsregeln

Hallo Thomas,

viel Dank für deine wirklich ausführliche Antwort! Respekt!

Genau so hatte ich das mit der Accesslist-Option auch verstanden und auch versucht. Leider funktionierte danach der Zugriff
überhaupt nicht mehr. Aber ich werde das nochmals probieren, damals habe ich damit ziemlich viel rumgespielt.

2 Fragen noch:
Was mich an dieser Lösung stört ist, dass die Box auf der jeweiligen Seite die Zugangsrechte für die andere Seite steuert.
Ich würde dies gerne genau umgekehrt machen, sprich nicht die ausgehenden Kommunikation regelmentieren, sondern die eingehenden. Dazu fehlt mir allerdings jegliche Idee.

Zusätzlich habe ich von der AVM-Hotline noch eine anderen Hinweis bekommen:
In der Konfiguration der beiden Konfigs über das AVM-Tools als Ip-Adresse einfach die beiden sich sehenden IPs und als SubNet jeweils 4x 255 angeben. Hier bin ich leider noch nicht zum Testen gekommen.

Die Vorteile dieser Konfiguration sind mir allerdings noch nicht ganz klar.
Hier würden mich eure Meinungen interessiren.

Gruß
Christian

 

[sf3978]

...
Zusätzlich habe ich von der AVM-Hotline noch eine anderen Hinweis bekommen:
In der Konfiguration der beiden Konfigs über das AVM-Tools als Ip-Adresse einfach die beiden sich sehenden IPs und als SubNet jeweils 4x 255 angeben. Hier bin ich leider noch nicht zum Testen gekommen. ...

Siehe dein Vollzitat (... solange es noch steht ) und dort Code-block 2 und 3.

 

[Jeepersfinest]

Hallo,

okay, ich hab es begriffen - keine Vollzitate.

Ist den Code-Block 2&3 (= Accesslist) das Gleiche wie die direkte Konfig der Ips über das AVM-Tool?

Bei dem Weg über das FrontEnd wird ja auch dies noch angepasst:

phase2localid {
                        ipnet {
                                ipaddr = 192.168.100.3;
                                mask = 255.255.255.255;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.100;
                                mask = 255.255.255.255;

Wo genau liegt der Unterschied?

Gruß
Christian

 

[key106]

hallo Christian,

Eins nach dem Anderen

Was mich an dieser Lösung stört ist, dass die Box auf der jeweiligen Seite die Zugangsrechte für die andere Seite steuert.

Ich glaube Du bist hier Opfer einer kleinen Verwechslung geworden, macht nichts.
Das was in der VPN-Konfig drin steht dient nur der richtigen Routing-Steuerung - nicht mehr. Das hat gar nichts mit irgendwelchen Firewall-Regeln zu tun.
Das ist wie Pantoffel und Kartoffel - hört sich ähnlich an, ist aber ein himmelweiter Unterschied.
Du kannst von jedem Client im LAN z.B. auf die Oberfläche der Fritte zugreifen.
Ist auch so gewollt seitens AVM.

Dein Code-Fragment

phase2localid {

dient der Box, genauer AVMIKE, zum initieren der Verbindung und richtigen setzen der Routen der VPN-Verbindung. Und das war's auch schon.

Wenn diese dann "stehen" läuft der VPN-Teil im Hintergrund der Box.
Es dient - mal ganz salopp forumliert - dem Setzen der Routen.
Genau das ist es aber was Du möchtest, 192.168.100.3 soll durch den Tunnel auf 192.168.2.100 zugreifen und umgedreht. Auf welchem Zielport der Eine dem Anderen was senden will ist völlig ungeklärt - genau das macht aber ein Paketfilter (Marketingname: Firewall).

Viel wichtiger ist aber zu verstehen wie man das nun richtig einsetzt.
Das was AVM meint mit den 4 * 255 ist schlicht die Netzmaske der Addr.
Also mal ganz kurz: 192.168.20.2 als Addr mit Netzmaske 255.255.255.0 heist das dieser Host alle Rechner von 192.168.20.1 bis 192.168.20.254 direkt erreicht - ohne Gateway. Erst wenn was anderes als 192.168.20.xx als Ziel feststeht dann wird der Gateway (hier Fritte) benutzt.
Jetzt zurück zur VPN-Konfig. Wenn dort angegeben steht:

accesslist = "permit ip any 192.168.100.0 255.255.255.0";

dann sagt das der Box das alle Rechner (egal welches Netz !!) mit Ziel-IP von 192.168.100.1 bis xx.254 durch den Tunnel geroutet werden.
Wenn du aber

accesslist = "permit ip any 192.168.100.3 255.255.255.255";

angibst dann "versteht" die Box: Alle Rechner mit der Ziel-IP 192.168.100.3 werden durch den Tunnel geroutet.
Der Aufbau der Zeile lautet "Erlaube (permit) Protokoll (ip) Quelle (any) Ziel (192.168.100.3)."

Das war die Vorarbeit, jetzt kommt's
Wenn Du eigibst:

accesslist = "permit ip 192.168.2.100 255.255.255.255 192.168.100.3 255.255.255.255";

dann sagst Du der Box: Der Rechner mit der Ziel-IP 192.168.100.3 UND der Quell-IP 192.168.2.100 werden durch den Tunnel geroutet.
Hat jetzt z.B. ein Host die Quell-IP 192.168.2.51 dann greift ja die Regel nicht mehr und wird nicht geroutet - zumindest nicht durch diesen Tunnel... du verstehst ?

All diese Angaben eben setzen nur das Routing im Endeffekt - KEINE Paketfilter-Regeln.
Zum Schluß: In dieser Konfig kannst du ganz "gepflegt" einen Portscan machen (192.168.100.3 <-> 192.168.2.100) ohne das hier eine von beiden Boxen irgendelche Zicken macht.

Ich hoffe das war jetzt nicht zu viel Theorie

MfG Thomas

 

[Jeepersfinest]

Hallo Thomas,

jetzt bin ich ein wirklich gutes Stück schlauer geworden.

D.h. der beste Weg um möglichst nur ein Routing (!) zwischen den beiden IPs zuzulassen wäre demnach eine Mischung aus beiden Ansätzen. Entweder wird die Verbindung erst gar nicht aufgebaut oder dann nicht geroutet - richtig?

Was mach aber immer noch stört: Wenn man nun in einer der beiden Boxen die Konfig-Datei manuell nachbearbeitet (also die Aceesslist zurücksetzte), dann wäre aus diesem Subnetz ein vollständiges Routing und damit Zugriff auf das andere Subnetz möglich - richtig? Kann ich das irgendwie unterbinden?

Wenn Thomas so weitermacht fange ich morgen noch den CCNA an.

Danke!

Gruß
Christian

 

[key106]

Hallo Christian,

D.h. der beste Weg um möglichst nur ein Routing (!) zwischen den beiden IPs zuzulassen wäre demnach eine Mischung aus beiden Ansätzen. Entweder wird die Verbindung erst gar nicht aufgebaut oder dann nicht geroutet - richtig?

Ich glaube Du must mal kurz inne halten und dir die Box in einer Art "Explosionsskizze" vorstellen. Kling kompliziert, ist es aber gar nicht.

Der Teil der Fritte welcher das VPN initialisiert nennt sich softwaretechnisch "AVMIKE".
Dieser hat deine Konfig welche Du ihm per VPN-Import "implantierst".
Dieser AVMIKE ist immer aktiv und nimmt sich deine Konfig vor.
Er startet eine VPN-Verbindung (!) wenn eine Ziel-Addr sich in "seiner" Konfig befindet.
Da diese aber nun modifiziert ist gelten eben diese Regeln.
Du erinnerst Dich daran (Der Rechner mit der Ziel-IP 192.168.100.3 UND der Quell-IP 192.168.2.100 werden durch den Tunnel geroutet.) ?

Also, Box wird eingeschaltet und bootet. Dann wird das DSL-Interface syncronisiert.
Steht dieses wird die Internetverbindung (und evtl. eine Internetverbindung für Telefonie) drüber aufgebaut. Steht jetzt diese dann werden die VoIP-Accounts angemeldet, aktuelle Zeit per NTP "eingeholt", DynDNS angemeldet, die evtl Portfreigaben gesetzt. So, und nun kommt der AVMIKE in's Spiel.
Er "greift" sich die DynDNS-Addr der Gegenstelle und nimmt Kontakt auf.
Da er derjenige auch ist der nicht nur Kontakt aufnimmt sondern sich auch um die Verschlüsselung der Verbindung kümmert wird er natürlich "prüfen" ob die Routing-Regeln es erlauben.
Ist ein relativ schwieriger Vorgang der noch schwieriger zu erklären ist.

Lange Rede, kurzer Sinn:
Er baut nur die VPN-Verbindung auf wenn die Regeln passen.
Erst dann wird der ganze Prozeß mit dem IKE (Internet Key Exchange), PSK (Pre Shared Keying) usw. angestossen.

...nachbearbeitet (also die Aceesslist zurücksetzte), dann wäre aus diesem Subnetz ein vollständiges Routing und damit Zugriff auf das andere Subnetz möglich - richtig? ...

Also prinzipiell schon, du meinst sicherlich die Konfig auslesen, editieren und wieder importieren. Kurzum: die Regeln wieder ändern.
Ja, dann ist wieder das gesamte Subnetz erreichbar.
Einen wirklichen Schutz hast Du aber nicht, man könnte Firewall-Regeln in der ar7.cfg setzen.
Beachte: wer die VPN-Konfigs nachträglich ändern kann, der kann auch die Firewall-Regeln ändern. Weil eben das geistige "know how" vorhanden ist. Und gegen Dieses gibt's kein Schutz.



MfG Thomas

 

[Jeepersfinest]

Hallo Thomas,

vielen Dank für den Nachhilfeunterricht!

Dann bin ich jetzt dank Dir auf dem richtigen Weg!

Ich werde das im Laufe der Woche mit den neuen Konfigs mal testen ...
Mit der offenen Hintertüre muss ich dann wohl leben.

Gruß
Christian

 

[key106]

Hallo Christian,

wie gesagt, es müssen beide Konfig's bearbeitet werden.
Zwar kann man es nur an einer testen, sinnvoll für dein Vorhaben ist aber das parallel durchzuführen.
Du kannst ja mal berichten wie das so lief

MfG Thomas

 

[voip-spain]

Ich will eine VPN Clientverbindung (keine Lan-Lan) an einer 7390 (IP 192.168.10.0) eingerichten.
Der Zugriff per VPN darauf soll von einem räumlich getrennten Netzwerk und Internetzugang über eine weitere Fritzbox (7270) erfolgen.
Die hat die Standard IP 192.168.178.0.

Frage: Darf bei einer VPN Client Verbindung eines der beiden Fritzboxnetzwerke die Standard IP-Adressen 192.168.178.0 behalten?

 

[sf3978]

...
Frage: Darf bei einer VPN Client Verbindung eines der beiden Fritzboxnetzwerke die Standard IP-Adressen 192.168.178.0 behalten?

Im "Step-by-Step-Guide von AVM für einen Benutzer" kann man u. a. Folgendes lesen:

...
Aktivieren Sie die Option "Werkseinstellung der FRITZ!Box für das IP-Netzwerk übernehmen", [COLOR="red"]wenn die IP-Adresse der FRITZ!Box den Werkseinstellungen entspricht (192.168.178.1[/COLOR]).
Falls die IP-Adresse geändert wurde:
    * Aktivieren Sie die Option "Anderes IP-Netzwerk verwenden".
    * Geben Sie das IP-Netzwerk und die Subnetzmaske der FRITZ!Box an.
...

 

[voip-spain]

Das habe ich auch gelesen.
Ich habe aber auch gelesen, daß:
"ACHTUNG:
Für VPN-Verbindungen zwischen zwei FRITZ!Box-Netzwerken darf keine FRITZ!Box eine IP-Adresse aus dem IP-Netzwerk 192.168.178.0 verwenden (z.B. 192.168.178.1).
"
http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/14254.php3

Und da ich auf der einen seite die 7390 als server (IP 192.168.10.0) habe und auf der anderen Seite will sich ein client über eine Internetverbindung einloggen, die über eine 7270 läuft, bin ich jetzt nicht sicher, ob die 7270 die IP Einstellungen 192.168.178.0. haben darf.

 

[sf3978]

Das habe ich auch gelesen.
Ich habe aber auch gelesen, daß:
"ACHTUNG:
Für VPN-Verbindungen zwischen zwei FRITZ!Box-Netzwerken darf keine FRITZ!Box eine IP-Adresse aus dem IP-Netzwerk 192.168.178.0 verwenden (z.B. 192.168.178.1).
"
...

Wenn Du das auch gelesen hast, warum hast Du das dann nicht in deinem Beitrag, mitgeteilt? Weißt Du was eine LAN-LAN-Verbindung (d. h. zwischen zwei FRITZ!Box-Netzwerken) ist und was eine LAN-Client-Verbindung ist?

 

[voip-spain]

Ja. Bei Lan-Lan kommunizieren die beiden Fritzen.
Bei Lan Client loggt sich ein client in das Netzt der Serverfritze ein.

 

[sf3978]

Ja, so in etwa. Dann ist doch das was Du auch gelesen hast ("Für VPN-Verbindungen zwischen zwei FRITZ!Box-Netzwerken darf keine FRITZ!Box eine IP-Adresse aus dem IP-Netzwerk 192.168.178.0 verwenden (z.B. 192.168.178.1)."), für deinen Fall nicht relevant, oder?

 

[voip-spain]

Ich wollte mich genau bzgl. dieses Punktes vergewissern.
Also kann ich dann bei einer La-Client VPN Verbindung auch auf beiden Fritzen die IP Einstellungen 192.168.178.0 beibehalten?
Das wäre ja noch einfacher.