Mein Ziel:
2 Fritzboxen verbunden über VPN LAN-LAN.
Nennen wir die eine Master (1), die andere Slave (2).
Alle Rechner hinter Master sollen auf alle Rechner hinter Slave zugreifen können.
Die Rechner hinter Slave sollen nicht auf das lokale Master Netzwerk zugreifen können.
Mein bisheriger Versuch über accesslist
in Master: accesslist = "permit ip any 192.168.1.0 255.255.255.0";
in Slave: accesslist = "permit ip any 192.168.2.99 255.255.255.255";
brachte nicht ganz den erhofften Erfolg.
Zwar ist der Zugriff der Slave-Rechner auf den einen Master-Rechner 192.168.2.99 begrenzt, allerdings haben andere Master-Rechner keinen Zugriff auf das Slave-Netzwerk. Es braucht wohl immer eine gültige Rückroute, um mit einem Slave-Rechner kommunizieren zu können. Ergo müsste ist wohl für jeden Master-Rechner, der auf das Slave-Netzwerk zugreifen will, einen eigenen accesslist Eintrag erzeugen.
Wenn jemand einen eleganteren Weg weiß, wäre ich für einen Tip dankbar.
Nächstes Problem: Die Slave-Rechner haben jetzt zwar nur noch Zugang zu den explizit freigegeben Master Rechnern, auf jedem von diesen Master Rechnern müssen jetzt aber alle Netzwerkdienste (Filesharing, VNC, SSH usw.) abgesichert werden. Liese sich dies zentral über eine der beiden Fritzboxen bewerkstelligen, z.B. durch Sperren der jeweiligen Ports in der Firewall? Oder umgeht der VPN Tunnel die Fritzbox Firewall? Von Master in Richtung Slave sollen die Dienste nat. weiter funktionieren.
Auch hier wäre ich für einen Tipp dankbar.
Pete
PS: Mir ist schon klar, dass für eine derartige Anforderung meist ein Client-LAN VPN eingesetzt wird, ich finde ein LAN-LAN VPN mit Zugriffsbeschränkung aber flexibler.
2 Fritzboxen verbunden über VPN LAN-LAN.
Nennen wir die eine Master (1), die andere Slave (2).
Alle Rechner hinter Master sollen auf alle Rechner hinter Slave zugreifen können.
Die Rechner hinter Slave sollen nicht auf das lokale Master Netzwerk zugreifen können.
Mein bisheriger Versuch über accesslist
in Master: accesslist = "permit ip any 192.168.1.0 255.255.255.0";
in Slave: accesslist = "permit ip any 192.168.2.99 255.255.255.255";
brachte nicht ganz den erhofften Erfolg.
Zwar ist der Zugriff der Slave-Rechner auf den einen Master-Rechner 192.168.2.99 begrenzt, allerdings haben andere Master-Rechner keinen Zugriff auf das Slave-Netzwerk. Es braucht wohl immer eine gültige Rückroute, um mit einem Slave-Rechner kommunizieren zu können. Ergo müsste ist wohl für jeden Master-Rechner, der auf das Slave-Netzwerk zugreifen will, einen eigenen accesslist Eintrag erzeugen.
Wenn jemand einen eleganteren Weg weiß, wäre ich für einen Tip dankbar.
Nächstes Problem: Die Slave-Rechner haben jetzt zwar nur noch Zugang zu den explizit freigegeben Master Rechnern, auf jedem von diesen Master Rechnern müssen jetzt aber alle Netzwerkdienste (Filesharing, VNC, SSH usw.) abgesichert werden. Liese sich dies zentral über eine der beiden Fritzboxen bewerkstelligen, z.B. durch Sperren der jeweiligen Ports in der Firewall? Oder umgeht der VPN Tunnel die Fritzbox Firewall? Von Master in Richtung Slave sollen die Dienste nat. weiter funktionieren.
Auch hier wäre ich für einen Tipp dankbar.
Pete
PS: Mir ist schon klar, dass für eine derartige Anforderung meist ein Client-LAN VPN eingesetzt wird, ich finde ein LAN-LAN VPN mit Zugriffsbeschränkung aber flexibler.
