.titleBar { margin-bottom: 5px!important; }

Zugriff über VPN trotz Kindersicherung?

Dieses Thema im Forum "AVM" wurde erstellt von tily, 24 Nov. 2011.

  1. tily

    tily Neuer User

    Registriert seit:
    3 Mai 2010
    Beiträge:
    9
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    ich habe mein Qnap-NAS zur Sicherheit per Fritz!Box-7390-Kindersicherung vom Internet getrennt. Lokale IPs können aber auf das NAS zugreifen.

    Wie kann ich per VPN mich als "lokaler Computer" tarnen, so dass die Kindersicherung mich von außerhalb zu meinem NAS durchlässt?

    Gibt es auch andere Möglichkeiten?

    Gruß
    Tily
     
  2. 3949354

    3949354 Guest

  3. tily

    tily Neuer User

    Registriert seit:
    3 Mai 2010
    Beiträge:
    9
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Nein, klappt nicht. Habs getestet. Traffic geht komplett über VPN.

    Ich bekomme nur eine remote-lokale IP. Also nicht echt lokal.

    Die lässt die Kindersicherung nicht durch.
     
  4. effmue

    effmue IPPF-Promi

    Registriert seit:
    12 Dez. 2006
    Beiträge:
    5,300
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Hessen
    #4 effmue, 24 Nov. 2011
    Zuletzt bearbeitet: 24 Nov. 2011
    Guude,
    ..wieso denn das..??
    Solange du keine speziellen Ports an deinem Router für genau diese lokale IP öffnest ist diese doch in deinem lokalen Netz genügend sicher :meinemei:
     
  5. tily

    tily Neuer User

    Registriert seit:
    3 Mai 2010
    Beiträge:
    9
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Aber das NAS kommt dann ohne Kindersicherung noch online und zieht sich Updates, Uhrzeit usw. und es läuft ein Intranetwebserver drauf auf dem man nicht von extern zugreifen soll.

    Ich hatte keine Lust irgendetwas Sicherheitsrelevantes zu übersehen, zumal der Traffic mit VPN dann auch verschlüsselt ist und schon das ist ein Grund es zu benutzen.

    Wenn man eine feste lokale IP bekommt ist vieles einfacher.

    Also wie bringe ich die KiSi dazu mich per VPN durchzulassen?
     
  6. effmue

    effmue IPPF-Promi

    Registriert seit:
    12 Dez. 2006
    Beiträge:
    5,300
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Hessen
    Guude,

    ..also ich kenn jetzt dein NAS nicht genau.....aber:
    Wenn du dein NAS ordentlich konfiguriert hast und keinerlei Ports in deinem Router auf das NAS weiterleitest kann eigentlich nichts von extern auf dein NAS zugreifen.
    Was dieses selber tut (Updates/Timeserver...u.v.m.) könnte dir eigentlich egal sein, oder du versuchst ihm dieses "abzugewöhnen"
     
  7. tily

    tily Neuer User

    Registriert seit:
    3 Mai 2010
    Beiträge:
    9
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ok. Das beantwortet aber alles nicht meine Frage, wie ich eine echte lokale IP bekomme über VPN, so dass die Kindersicherung mich durchlässt. Oder kann ich eine Ausnahme eintragen in der Kindersicherung?
     
  8. cgabriel

    cgabriel Neuer User

    Registriert seit:
    2 Sep. 2006
    Beiträge:
    79
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
  9. grauGolz

    grauGolz Mitglied

    Registriert seit:
    27 Apr. 2013
    Beiträge:
    270
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #9 grauGolz, 6 Apr. 2016
    Zuletzt bearbeitet: 6 Apr. 2016
    Was ist eine remote-lokale IP? Habe ich da in der Schule nicht aufgepaßt?

    VPN Traffic über den Tunnel kann man übrigens filtern. Ist nicht sooo schwer.
     
  10. koyaanisqatsi

    koyaanisqatsi IPPF-Urgestein

    Registriert seit:
    24 Jan. 2013
    Beiträge:
    11,035
    Zustimmungen:
    167
    Punkte für Erfolge:
    63
    #10 koyaanisqatsi, 6 Apr. 2016
    Zuletzt bearbeitet: 6 Apr. 2016
    Moins


    :confused:
    Ganz einfach...
    1. Sie blockiert nicht die "incoming connection", sondern...
    2. ...das gesperrte Gerät kann, da geblockt, nicht antworten.
    Deswegen sieht das nur so aus, als wenn eingehende Verbindungen blockiert werden.
    ...und irgendwie läuft es auch auf das Selbe hinaus.
    :roll:

    @grauGolz: Ist das so..
    vpn_traffic.jpg
    ..richtig? Oder was zuviel?
     
  11. cgabriel

    cgabriel Neuer User

    Registriert seit:
    2 Sep. 2006
    Beiträge:
    79
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Mein Deutsch ist nicht so gut, ich hoffe ihr versteht...
    Es passiert auch wenn ich ein Profil setze mit "alles außer Surfen und Mailen"; http(s) sollte funktionieren, oder?
    Wenn ihr mein English Beitrag liest, ich vermute die Kindersicherung blockiert die "Ephemeral" Ports von remote (client).
     
  12. koyaanisqatsi

    koyaanisqatsi IPPF-Urgestein

    Registriert seit:
    24 Jan. 2013
    Beiträge:
    11,035
    Zustimmungen:
    167
    Punkte für Erfolge:
    63
    #12 koyaanisqatsi, 6 Apr. 2016
    Zuletzt bearbeitet: 6 Apr. 2016
    My screenshot shows a similar filter to your selected "alles außer Surfen und Mailen".
    All you got to do is to create* this filter and use/select it in your profile.
    ...this filter allows only VPN connection through the internet to the remote machine.
    When the VPN connection is established, the VPN IP is normally (new client) allowed to the Internet.

    :gruebel: Also i guess the standard profile has to be allowed for connections to the internet to new (vpn) clients.

    * "http://fritz.box/internet/trafficappl.lua"
     
  13. cgabriel

    cgabriel Neuer User

    Registriert seit:
    2 Sep. 2006
    Beiträge:
    79
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    I think you misunderstood (or I have)...
    I use standard VPN connections (e.g. from my mobile) to Fritzbox, not directly to NAS (therefore there is no port mapping or similar). I don't see reason for VPN specific rules in the filter.
    The filter is there just to block the NAS to go "by itself" into Internet ("call home"); I don't want to access the NAS from Internet, only from LAN (or via VPN).
    I expected to be able to access my NAS as I were in the LAN.

    I hope it's clearer now...

    BTW. I can read German very well, but writing takes a lot of time and I often miss the right words.
     
  14. koyaanisqatsi

    koyaanisqatsi IPPF-Urgestein

    Registriert seit:
    24 Jan. 2013
    Beiträge:
    11,035
    Zustimmungen:
    167
    Punkte für Erfolge:
    63
    #14 koyaanisqatsi, 6 Apr. 2016
    Zuletzt bearbeitet: 6 Apr. 2016
    Da gibt es aber mehrere Möglichkeiten.

    1. Über Mobileinternet (SIM Karte)
    2. Über WLAN im Fremdnetz (Nicht aus einem 192.168.178.0er Netz)
    3. Über das GastWLAN (Nicht aus einem 192.168.178.0er Netz)

    Welche nutzt du nochmal?



    Die Fritz!Box hat in der Standardeinstellung folgende IP Aufteilung...

    192.168.178.1 (fritz.box)
    192.168.178.2 bis 192.168.178.19 (z.B. für statische IPs)
    192.168.178.20 bis 192.168.178.200 (LAN/WLAN Klienten, DHCP)
    192.168.178.201 bis 192.168.178.254 (für VPN Klienten)
     
  15. cgabriel

    cgabriel Neuer User

    Registriert seit:
    2 Sep. 2006
    Beiträge:
    79
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    You completely misunderstood my problem.
    Let's start from scratch.
    I have a nas (e.g. 192.168.178.10), and I can access it from (w)lan, e.g. handy with ip 192.168.178.20.
    I can also access via *incoming* vpn (mobile from Internet, work pc, etc via fritzbox, client ip 192.168.178.200 ).
    When I block the access to the Internet for the nas, I can't access it from vpn client anymore (only from lan)!
    It means, ip 192.168.178.200 (vpn client) CANNOT access ip 192.168.178.10 It works normally when the filter is deactivated.
    Is it clear now? Is there any explanation for this?
    Thanks,
    Gabriel
     
  16. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,793
    Zustimmungen:
    666
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    All VPN traffic is/needs to be sent through the interface behind "dev dsl". It's the same interface, which all traffic to external targets has to pass to reach the next hop for direction "Internet". If the filtering suppresses the complete access to "dev dsl" for unwanted traffic, the result would be the present one. I don't know it for sure (nobody outside AVM (or its contractors) has the required source files to get this information) ... but it's a plausible explanation.

    The FRITZ!OS doesn't have/use a dedicated interface for "VPN traffic" ... it's only filtered from the outgoing stream on the default interface and "redirected" to the encryption part - if your traffic is already blocked while entering on "dev lan" and on its way to "dev dsl", it will never reach the encryption process.
     
  17. koyaanisqatsi

    koyaanisqatsi IPPF-Urgestein

    Registriert seit:
    24 Jan. 2013
    Beiträge:
    11,035
    Zustimmungen:
    167
    Punkte für Erfolge:
    63
    #17 koyaanisqatsi, 6 Apr. 2016
    Zuletzt bearbeitet: 6 Apr. 2016
    Yes i tested with smartfon with exactly the same issue.
    ...no connect to my ip-camera over vpn if my ip-camera use any upload blocking profile/filter. :(
    Without filter on ip-camera i can connect in 1 second.

    Sorry for missunderstanding.
    ...i have no a :D solution for this.
    :mrgreen:

    This filter works on my blocked ip-camera profile...
    dns_ntp_filter.jpg
    ...try it too.
    :rolleyes:

    I guess DNS (TCP/UDP 53) is the solution.


    My configuration for ip-camera...

    1. Dont block with time
    2. Using a whitelist
    3. DyDNS address in whitelist
    4. Add filter to allow Nameserver (TCP/UDP 53)
     
  18. cgabriel

    cgabriel Neuer User

    Registriert seit:
    2 Sep. 2006
    Beiträge:
    79
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    This makes sense...
    That's what I suspect, it blocks the connection to the ephemeral (source) port of the vpn client. This port range is not quite standard (os dependent), and it's exactly the kind of connection I want to block, but of course not for vpn...