Fritzbox VPN User einschränken
Hallo zusammen.
Ich habe hier schon einen alten Post gefunden, den ich aber nicht nochmal aufwärmen wollte
Ich habe ein kleine SoHo mit Fritzbox 7490, auf der eine handvoll VPN User eingerichtet sind.
Nun soll für einen expliziten VPN User der Zugriff so eingeschränkt werden, dass er nur auf einen konkreten Server im LAN zugreifen kann...
Im o.g. Post steht, dass man die Fritz-Fernzugang-Config anpassen soll/kann, um solch eine Einschränkung vorzunehmen...
Besteht auch die Möglichkeit, das einzig auf der Fritzbox einzuschränken, also dass man dem User nur Benutzername, Passwort und Shared Secret an die Hand gibt und egal wie und womit er sich mit VPN verbindet, immernur Zugriff auf eine(n), ggf. auch mehrere, konkrete IP(s)/Server hat?
Hintergrund ist der, dass der User nicht auf die Fritzfernzugang Software beschränkt werden soll/kann, sondern sich u.a. auch vom MAC oder Smartphone einwählen können soll.
Besten Dank und schöne Grüße
Ich habe hier schon einen alten Post gefunden, den ich aber nicht nochmal aufwärmen wollte
Ich habe ein kleine SoHo mit Fritzbox 7490, auf der eine handvoll VPN User eingerichtet sind.
Nun soll für einen expliziten VPN User der Zugriff so eingeschränkt werden, dass er nur auf einen konkreten Server im LAN zugreifen kann...
Im o.g. Post steht, dass man die Fritz-Fernzugang-Config anpassen soll/kann, um solch eine Einschränkung vorzunehmen...
Besteht auch die Möglichkeit, das einzig auf der Fritzbox einzuschränken, also dass man dem User nur Benutzername, Passwort und Shared Secret an die Hand gibt und egal wie und womit er sich mit VPN verbindet, immernur Zugriff auf eine(n), ggf. auch mehrere, konkrete IP(s)/Server hat?
Hintergrund ist der, dass der User nicht auf die Fritzfernzugang Software beschränkt werden soll/kann, sondern sich u.a. auch vom MAC oder Smartphone einwählen können soll.
Besten Dank und schöne Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1186358648
Url: https://administrator.de/contentid/1186358648
Ausgedruckt am: 24.11.2024 um 11:11 Uhr
14 Kommentare
Neuester Kommentar
Phase2 AccessList in der Fritzbox-VPN-Config für den User anpassen.
Bsp. User mit IP 192.168.178.32 kann nur auf IP 192.168.178.76 zugreifen.
Bsp. User mit IP 192.168.178.32 kann nur auf IP 192.168.178.76 zugreifen.
accesslist =
"permit ip 192.168.178.76 255.255.255.255 192.168.178.32 255.255.255.255";
Wie immer halt: VPN-Config exportieren (System > Sicherung), im File ganz nach unten scrollen, den Abschnitt vpncfg{} kopieren und in neues File schreiben, mit Editor das Profil anpassen und dann über das VPN Menü wieder in die Fritte importieren.
Zitat von @hannsgmaulwurf:
*Wie ist das mit der Quell-IP zu verstehen?
Ich nehme an, die .200 hat die FB automatisch reserviert?
Korrekt! Siehe Beispiel oben, erst kommt die Ziel-IP und dann die Quell-IP welcher der User im VPN zugewiesen wird.*Wie ist das mit der Quell-IP zu verstehen?
Ich nehme an, die .200 hat die FB automatisch reserviert?
Die Fritzbox weist die VPN-IPs fest den einzelnen VPN-Configs zu, verwendet wird dafür immer der Bereich oberhalb des aktuellen DHCP-Bereichs.
Wie läuft das, wenn der User sich mit mehreren Geräten anmeldet?
Ein User kann sich immer nur einmal mit ein und dem selben Account anmelden. Für parallele Mehrfacheinwahl müssen mehrere User in der FB angelegt werden.Zitat von @hannsgmaulwurf:
Eins noch: Die Accesslist kann dann beliebig erweitert werden, oder gibts da Beschränkungen? Also z.B.
Ja aber getrennt wird mit Komma.Eins noch: Die Accesslist kann dann beliebig erweitert werden, oder gibts da Beschränkungen? Also z.B.
> accesslist =
> "permit ip 192.168.178.100 255.255.255.255 192.168.178.32 255.255.255.255";
> "permit ip 192.168.178.101 255.255.255.255 192.168.178.32 255.255.255.255";
> "permit ip 192.168.178.102 255.255.255.255 192.168.178.32 255.255.255.255";
> "permit ip 192.168.178.103 255.255.255.255 192.168.178.32 255.255.255.255";
>
accesslist =
"permit ip 192.168.178.100 255.255.255.255 192.168.178.32 255.255.255.255",
"permit ip 192.168.178.101 255.255.255.255 192.168.178.32 255.255.255.255",
"permit ip 192.168.178.102 255.255.255.255 192.168.178.32 255.255.255.255";
Könnte analog zu permit auch mit deny arbeiten? Also z.B.
> accesslist =
> "permit ip 0.0.0.0 0.0.0.0 192.168.178.32 255.255.255.255";
> "deny ip 192.168.178.200 192.168.178.32 255.255.255.255";
>
Reihenfolge zählt, so würde das nichts werden
Trennen wie gesagt mit Komma, und verbieten mit reject ip ......
accesslist =
"reject ip 192.168.178.200 255.255.255.255 192.168.178.32 255.255.255.255",
"permit ip 0.0.0.0 0.0.0.0 192.168.178.32 255.255.255.255";
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/229_Mit-FRITZ ...
Zitat von @hannsgmaulwurf:
Möchte man eine Verbindung mit Shrew Soft herstellen (was mein Plan/Wunsch war), benötigt man einen Fritzbox User mit Passwort...
Nö braucht man nicht, man kann beliebige VPN Configs mit Phantasieusernamen und Presharedkeys und Kennwörter importieren und nutzen, man muss nur darauf achten das bei DialIn Verbindungen jeder User seine eigene IP zugewiesen bekommt und es keine Überschneidungen gibt. Ebenso sind dann die speziellen Attribute wie boxuser zu entfernen und man muss darauf achten das das editable Attribut auf no stehen muss da die Fritte sonst die Anpassungen entfernt.Möchte man eine Verbindung mit Shrew Soft herstellen (was mein Plan/Wunsch war), benötigt man einen Fritzbox User mit Passwort...
Zitat von @hannsgmaulwurf:
Klingt interessant, woher weißt du das, try and error? Oder gibt es irgendwo von AVM detaillierte Infos zu dem Thema z.B. zu den einzelnen Attributen in der Config Datei usw.?
Erfahrung mit der Zeit... und Interna des Box-Codes schon mal studiert.Klingt interessant, woher weißt du das, try and error? Oder gibt es irgendwo von AVM detaillierte Infos zu dem Thema z.B. zu den einzelnen Attributen in der Config Datei usw.?
Manche Parameter sind aber auch selbsterklärend oder man hat sie bei ciscos oder anderen Systemen schon mal gesehen.
Hallo Zusammen,
ich muss mich hier einmal einschalten weil ich vor einem ACL Problem mit meiner Fritz 7590 steh. Die Box hängt über das WAN Interface an einem Kabelmodem.
Ich habe 2 VPN Benutzer eingerichtet was so auch gut funktioniert. Ich möchte diese allerdings nun einschränken, dass die nicht auf mein LAN zugreifen können sondern lediglich wieder über das WAN Interface raus ins Internet kommen.
Ich finde nirgends dokumentiert, wie man in der ACL der Fritz Box die WAN Schnittstelle definiert. Das Interface müsste "WAN" heißen, wie ich mittlerweile herausgefunden habe.
Im Export der VPN Config steht derzeit folgender Eintrag drinnen
"permit ip 0.0.0.0 0.0.0.0 192.168.100.100 255.255.255.255";
Es wäre schön, wenn mir jemand auf die Sprünge helfen kann.
Ich dank euch vorab schon für die Unterstützung.
ich muss mich hier einmal einschalten weil ich vor einem ACL Problem mit meiner Fritz 7590 steh. Die Box hängt über das WAN Interface an einem Kabelmodem.
Ich habe 2 VPN Benutzer eingerichtet was so auch gut funktioniert. Ich möchte diese allerdings nun einschränken, dass die nicht auf mein LAN zugreifen können sondern lediglich wieder über das WAN Interface raus ins Internet kommen.
Ich finde nirgends dokumentiert, wie man in der ACL der Fritz Box die WAN Schnittstelle definiert. Das Interface müsste "WAN" heißen, wie ich mittlerweile herausgefunden habe.
Im Export der VPN Config steht derzeit folgender Eintrag drinnen
"permit ip 0.0.0.0 0.0.0.0 192.168.100.100 255.255.255.255";
Es wäre schön, wenn mir jemand auf die Sprünge helfen kann.
Ich dank euch vorab schon für die Unterstützung.