Zugriff über VPN trotz Kindersicherung?

tily

Neuer User
Mitglied seit
3 Mai 2010
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich habe mein Qnap-NAS zur Sicherheit per Fritz!Box-7390-Kindersicherung vom Internet getrennt. Lokale IPs können aber auf das NAS zugreifen.

Wie kann ich per VPN mich als "lokaler Computer" tarnen, so dass die Kindersicherung mich von außerhalb zu meinem NAS durchlässt?

Gibt es auch andere Möglichkeiten?

Gruß
Tily
 
Nein, klappt nicht. Habs getestet. Traffic geht komplett über VPN.

Ich bekomme nur eine remote-lokale IP. Also nicht echt lokal.

Die lässt die Kindersicherung nicht durch.
 
Guude,
[.....]ich habe mein Qnap-NAS zur Sicherheit per Fritz!Box-7390-Kindersicherung vom Internet getrennt.[....]
..wieso denn das..??
Solange du keine speziellen Ports an deinem Router für genau diese lokale IP öffnest ist diese doch in deinem lokalen Netz genügend sicher :meinemei:
 
Zuletzt bearbeitet:
Aber das NAS kommt dann ohne Kindersicherung noch online und zieht sich Updates, Uhrzeit usw. und es läuft ein Intranetwebserver drauf auf dem man nicht von extern zugreifen soll.

Ich hatte keine Lust irgendetwas Sicherheitsrelevantes zu übersehen, zumal der Traffic mit VPN dann auch verschlüsselt ist und schon das ist ein Grund es zu benutzen.

Wenn man eine feste lokale IP bekommt ist vieles einfacher.

Also wie bringe ich die KiSi dazu mich per VPN durchzulassen?
 
Guude,

..also ich kenn jetzt dein NAS nicht genau.....aber:
Wenn du dein NAS ordentlich konfiguriert hast und keinerlei Ports in deinem Router auf das NAS weiterleitest kann eigentlich nichts von extern auf dein NAS zugreifen.
Was dieses selber tut (Updates/Timeserver...u.v.m.) könnte dir eigentlich egal sein, oder du versuchst ihm dieses "abzugewöhnen"
 
Ok. Das beantwortet aber alles nicht meine Frage, wie ich eine echte lokale IP bekomme über VPN, so dass die Kindersicherung mich durchlässt. Oder kann ich eine Ausnahme eintragen in der Kindersicherung?
 
Was ist eine remote-lokale IP? Habe ich da in der Schule nicht aufgepaßt?

VPN Traffic über den Tunnel kann man übrigens filtern. Ist nicht sooo schwer.
 
Zuletzt bearbeitet:
Moins


:confused:
Ich verstehe immer noch nicht, warum blockiert die Kindersicherung "incoming connections"; ich habe "nur" ausgehende blockiert...
Ganz einfach...
1. Sie blockiert nicht die "incoming connection", sondern...
2. ...das gesperrte Gerät kann, da geblockt, nicht antworten.
Deswegen sieht das nur so aus, als wenn eingehende Verbindungen blockiert werden.
...und irgendwie läuft es auch auf das Selbe hinaus.
:roll:

@grauGolz: Ist das so..
vpn_traffic.jpg
..richtig? Oder was zuviel?
 
Zuletzt bearbeitet:
Mein Deutsch ist nicht so gut, ich hoffe ihr versteht...
Es passiert auch wenn ich ein Profil setze mit "alles außer Surfen und Mailen"; http(s) sollte funktionieren, oder?
Wenn ihr mein English Beitrag liest, ich vermute die Kindersicherung blockiert die "Ephemeral" Ports von remote (client).
 
My screenshot shows a similar filter to your selected "alles außer Surfen und Mailen".
All you got to do is to create* this filter and use/select it in your profile.
...this filter allows only VPN connection through the internet to the remote machine.
When the VPN connection is established, the VPN IP is normally (new client) allowed to the Internet.

:gruebel: Also i guess the standard profile has to be allowed for connections to the internet to new (vpn) clients.

* "http://fritz.box/internet/trafficappl.lua"
 
Zuletzt bearbeitet:
I think you misunderstood (or I have)...
I use standard VPN connections (e.g. from my mobile) to Fritzbox, not directly to NAS (therefore there is no port mapping or similar). I don't see reason for VPN specific rules in the filter.
The filter is there just to block the NAS to go "by itself" into Internet ("call home"); I don't want to access the NAS from Internet, only from LAN (or via VPN).
I expected to be able to access my NAS as I were in the LAN.

I hope it's clearer now...

BTW. I can read German very well, but writing takes a lot of time and I often miss the right words.
 
I use standard VPN connections (e.g. from my mobile)
Da gibt es aber mehrere Möglichkeiten.

1. Über Mobileinternet (SIM Karte)
2. Über WLAN im Fremdnetz (Nicht aus einem 192.168.178.0er Netz)
3. Über das GastWLAN (Nicht aus einem 192.168.178.0er Netz)

Welche nutzt du nochmal?



Die Fritz!Box hat in der Standardeinstellung folgende IP Aufteilung...

192.168.178.1 (fritz.box)
192.168.178.2 bis 192.168.178.19 (z.B. für statische IPs)
192.168.178.20 bis 192.168.178.200 (LAN/WLAN Klienten, DHCP)
192.168.178.201 bis 192.168.178.254 (für VPN Klienten)
 
Zuletzt bearbeitet:
You completely misunderstood my problem.
Let's start from scratch.
I have a nas (e.g. 192.168.178.10), and I can access it from (w)lan, e.g. handy with ip 192.168.178.20.
I can also access via *incoming* vpn (mobile from Internet, work pc, etc via fritzbox, client ip 192.168.178.200 ).
When I block the access to the Internet for the nas, I can't access it from vpn client anymore (only from lan)!
It means, ip 192.168.178.200 (vpn client) CANNOT access ip 192.168.178.10 It works normally when the filter is deactivated.
Is it clear now? Is there any explanation for this?
Thanks,
Gabriel
 
All VPN traffic is/needs to be sent through the interface behind "dev dsl". It's the same interface, which all traffic to external targets has to pass to reach the next hop for direction "Internet". If the filtering suppresses the complete access to "dev dsl" for unwanted traffic, the result would be the present one. I don't know it for sure (nobody outside AVM (or its contractors) has the required source files to get this information) ... but it's a plausible explanation.

The FRITZ!OS doesn't have/use a dedicated interface for "VPN traffic" ... it's only filtered from the outgoing stream on the default interface and "redirected" to the encryption part - if your traffic is already blocked while entering on "dev lan" and on its way to "dev dsl", it will never reach the encryption process.
 
Is it clear now? Is there any explanation for this?
Yes i tested with smartfon with exactly the same issue.
...no connect to my ip-camera over vpn if my ip-camera use any upload blocking profile/filter. :(
Without filter on ip-camera i can connect in 1 second.

Sorry for missunderstanding.
...i have no a :D solution for this.
:mrgreen:

This filter works on my blocked ip-camera profile...
dns_ntp_filter.jpg
...try it too.
:rolleyes:

I guess DNS (TCP/UDP 53) is the solution.


My configuration for ip-camera...

1. Dont block with time
2. Using a whitelist
3. DyDNS address in whitelist
4. Add filter to allow Nameserver (TCP/UDP 53)
 
Zuletzt bearbeitet:
All VPN traffic is/needs to be sent through the interface behind "dev dsl". It's the same interface, which all traffic to external targets has to pass to reach the next hop for direction "Internet". If the filtering suppresses the complete access to "dev dsl" for unwanted traffic, the result would be the present one. I don't know it for sure (nobody outside AVM (or its contractors) has the required source files to get this information) ... but it's a plausible explanation.

The FRITZ!OS doesn't have/use a dedicated interface for "VPN traffic" ... it's only filtered from the outgoing stream on the default interface and "redirected" to the encryption part - if your traffic is already blocked while entering on "dev lan" and on its way to "dev dsl", it will never reach the encryption process.
This makes sense...
That's what I suspect, it blocks the connection to the ephemeral (source) port of the vpn client. This port range is not quite standard (os dependent), and it's exactly the kind of connection I want to block, but of course not for vpn...
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
244,695
Beiträge
2,216,692
Mitglieder
371,315
Neuestes Mitglied
jack-mack
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.