Zugriff über VPN trotz Kindersicherung?

tily

Neuer User
Mitglied seit
3 Mai 2010
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich habe mein Qnap-NAS zur Sicherheit per Fritz!Box-7390-Kindersicherung vom Internet getrennt. Lokale IPs können aber auf das NAS zugreifen.

Wie kann ich per VPN mich als "lokaler Computer" tarnen, so dass die Kindersicherung mich von außerhalb zu meinem NAS durchlässt?

Gibt es auch andere Möglichkeiten?

Gruß
Tily
 

tily

Neuer User
Mitglied seit
3 Mai 2010
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Nein, klappt nicht. Habs getestet. Traffic geht komplett über VPN.

Ich bekomme nur eine remote-lokale IP. Also nicht echt lokal.

Die lässt die Kindersicherung nicht durch.
 

effmue

IPPF-Promi
Mitglied seit
12 Dez 2006
Beiträge
5,300
Punkte für Reaktionen
0
Punkte
36
Guude,
[.....]ich habe mein Qnap-NAS zur Sicherheit per Fritz!Box-7390-Kindersicherung vom Internet getrennt.[....]
..wieso denn das..??
Solange du keine speziellen Ports an deinem Router für genau diese lokale IP öffnest ist diese doch in deinem lokalen Netz genügend sicher :meinemei:
 
Zuletzt bearbeitet:

tily

Neuer User
Mitglied seit
3 Mai 2010
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Aber das NAS kommt dann ohne Kindersicherung noch online und zieht sich Updates, Uhrzeit usw. und es läuft ein Intranetwebserver drauf auf dem man nicht von extern zugreifen soll.

Ich hatte keine Lust irgendetwas Sicherheitsrelevantes zu übersehen, zumal der Traffic mit VPN dann auch verschlüsselt ist und schon das ist ein Grund es zu benutzen.

Wenn man eine feste lokale IP bekommt ist vieles einfacher.

Also wie bringe ich die KiSi dazu mich per VPN durchzulassen?
 

effmue

IPPF-Promi
Mitglied seit
12 Dez 2006
Beiträge
5,300
Punkte für Reaktionen
0
Punkte
36
Guude,

..also ich kenn jetzt dein NAS nicht genau.....aber:
Wenn du dein NAS ordentlich konfiguriert hast und keinerlei Ports in deinem Router auf das NAS weiterleitest kann eigentlich nichts von extern auf dein NAS zugreifen.
Was dieses selber tut (Updates/Timeserver...u.v.m.) könnte dir eigentlich egal sein, oder du versuchst ihm dieses "abzugewöhnen"
 

tily

Neuer User
Mitglied seit
3 Mai 2010
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Ok. Das beantwortet aber alles nicht meine Frage, wie ich eine echte lokale IP bekomme über VPN, so dass die Kindersicherung mich durchlässt. Oder kann ich eine Ausnahme eintragen in der Kindersicherung?
 

cgabriel

Neuer User
Mitglied seit
2 Sep 2006
Beiträge
79
Punkte für Reaktionen
0
Punkte
6

grauGolz

Mitglied
Mitglied seit
27 Apr 2013
Beiträge
270
Punkte für Reaktionen
0
Punkte
0
Was ist eine remote-lokale IP? Habe ich da in der Schule nicht aufgepaßt?

VPN Traffic über den Tunnel kann man übrigens filtern. Ist nicht sooo schwer.
 
Zuletzt bearbeitet:

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,758
Punkte für Reaktionen
243
Punkte
63
Moins


:confused:
Ich verstehe immer noch nicht, warum blockiert die Kindersicherung "incoming connections"; ich habe "nur" ausgehende blockiert...
Ganz einfach...
1. Sie blockiert nicht die "incoming connection", sondern...
2. ...das gesperrte Gerät kann, da geblockt, nicht antworten.
Deswegen sieht das nur so aus, als wenn eingehende Verbindungen blockiert werden.
...und irgendwie läuft es auch auf das Selbe hinaus.
:roll:

@grauGolz: Ist das so..
vpn_traffic.jpg
..richtig? Oder was zuviel?
 
Zuletzt bearbeitet:

cgabriel

Neuer User
Mitglied seit
2 Sep 2006
Beiträge
79
Punkte für Reaktionen
0
Punkte
6
Mein Deutsch ist nicht so gut, ich hoffe ihr versteht...
Es passiert auch wenn ich ein Profil setze mit "alles außer Surfen und Mailen"; http(s) sollte funktionieren, oder?
Wenn ihr mein English Beitrag liest, ich vermute die Kindersicherung blockiert die "Ephemeral" Ports von remote (client).
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,758
Punkte für Reaktionen
243
Punkte
63
My screenshot shows a similar filter to your selected "alles außer Surfen und Mailen".
All you got to do is to create* this filter and use/select it in your profile.
...this filter allows only VPN connection through the internet to the remote machine.
When the VPN connection is established, the VPN IP is normally (new client) allowed to the Internet.

:gruebel: Also i guess the standard profile has to be allowed for connections to the internet to new (vpn) clients.

* "http://fritz.box/internet/trafficappl.lua"
 
Zuletzt bearbeitet:

cgabriel

Neuer User
Mitglied seit
2 Sep 2006
Beiträge
79
Punkte für Reaktionen
0
Punkte
6
I think you misunderstood (or I have)...
I use standard VPN connections (e.g. from my mobile) to Fritzbox, not directly to NAS (therefore there is no port mapping or similar). I don't see reason for VPN specific rules in the filter.
The filter is there just to block the NAS to go "by itself" into Internet ("call home"); I don't want to access the NAS from Internet, only from LAN (or via VPN).
I expected to be able to access my NAS as I were in the LAN.

I hope it's clearer now...

BTW. I can read German very well, but writing takes a lot of time and I often miss the right words.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,758
Punkte für Reaktionen
243
Punkte
63
I use standard VPN connections (e.g. from my mobile)
Da gibt es aber mehrere Möglichkeiten.

1. Über Mobileinternet (SIM Karte)
2. Über WLAN im Fremdnetz (Nicht aus einem 192.168.178.0er Netz)
3. Über das GastWLAN (Nicht aus einem 192.168.178.0er Netz)

Welche nutzt du nochmal?



Die Fritz!Box hat in der Standardeinstellung folgende IP Aufteilung...

192.168.178.1 (fritz.box)
192.168.178.2 bis 192.168.178.19 (z.B. für statische IPs)
192.168.178.20 bis 192.168.178.200 (LAN/WLAN Klienten, DHCP)
192.168.178.201 bis 192.168.178.254 (für VPN Klienten)
 
Zuletzt bearbeitet:

cgabriel

Neuer User
Mitglied seit
2 Sep 2006
Beiträge
79
Punkte für Reaktionen
0
Punkte
6
You completely misunderstood my problem.
Let's start from scratch.
I have a nas (e.g. 192.168.178.10), and I can access it from (w)lan, e.g. handy with ip 192.168.178.20.
I can also access via *incoming* vpn (mobile from Internet, work pc, etc via fritzbox, client ip 192.168.178.200 ).
When I block the access to the Internet for the nas, I can't access it from vpn client anymore (only from lan)!
It means, ip 192.168.178.200 (vpn client) CANNOT access ip 192.168.178.10 It works normally when the filter is deactivated.
Is it clear now? Is there any explanation for this?
Thanks,
Gabriel
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,333
Punkte für Reaktionen
808
Punkte
113
All VPN traffic is/needs to be sent through the interface behind "dev dsl". It's the same interface, which all traffic to external targets has to pass to reach the next hop for direction "Internet". If the filtering suppresses the complete access to "dev dsl" for unwanted traffic, the result would be the present one. I don't know it for sure (nobody outside AVM (or its contractors) has the required source files to get this information) ... but it's a plausible explanation.

The FRITZ!OS doesn't have/use a dedicated interface for "VPN traffic" ... it's only filtered from the outgoing stream on the default interface and "redirected" to the encryption part - if your traffic is already blocked while entering on "dev lan" and on its way to "dev dsl", it will never reach the encryption process.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,758
Punkte für Reaktionen
243
Punkte
63
Is it clear now? Is there any explanation for this?
Yes i tested with smartfon with exactly the same issue.
...no connect to my ip-camera over vpn if my ip-camera use any upload blocking profile/filter. :(
Without filter on ip-camera i can connect in 1 second.

Sorry for missunderstanding.
...i have no a :D solution for this.
:mrgreen:

This filter works on my blocked ip-camera profile...
dns_ntp_filter.jpg
...try it too.
:rolleyes:

I guess DNS (TCP/UDP 53) is the solution.


My configuration for ip-camera...

1. Dont block with time
2. Using a whitelist
3. DyDNS address in whitelist
4. Add filter to allow Nameserver (TCP/UDP 53)
 
Zuletzt bearbeitet:

cgabriel

Neuer User
Mitglied seit
2 Sep 2006
Beiträge
79
Punkte für Reaktionen
0
Punkte
6
All VPN traffic is/needs to be sent through the interface behind "dev dsl". It's the same interface, which all traffic to external targets has to pass to reach the next hop for direction "Internet". If the filtering suppresses the complete access to "dev dsl" for unwanted traffic, the result would be the present one. I don't know it for sure (nobody outside AVM (or its contractors) has the required source files to get this information) ... but it's a plausible explanation.

The FRITZ!OS doesn't have/use a dedicated interface for "VPN traffic" ... it's only filtered from the outgoing stream on the default interface and "redirected" to the encryption part - if your traffic is already blocked while entering on "dev lan" and on its way to "dev dsl", it will never reach the encryption process.
This makes sense...
That's what I suspect, it blocks the connection to the ephemeral (source) port of the vpn client. This port range is not quite standard (os dependent), and it's exactly the kind of connection I want to block, but of course not for vpn...
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
233,350
Beiträge
2,033,132
Mitglieder
351,932
Neuestes Mitglied
Retlaw