14
Fritzbox VPN User einschränken
Hallo zusammen.
Ich habe hier schon einen alten Post gefunden, den ich aber nicht nochmal aufwärmen wollte
Ich habe ein kleine SoHo mit Fritzbox 7490, auf der eine handvoll VPN User eingerichtet sind.
Nun soll für einen expliziten VPN User der Zugriff so eingeschränkt werden, dass er nur auf einen konkreten Server im LAN zugreifen kann...
Im o.g. Post steht, dass man die Fritz-Fernzugang-Config anpassen soll/kann, um solch eine Einschränkung vorzunehmen...
Besteht auch die Möglichkeit, das einzig auf der Fritzbox einzuschränken, also dass man dem User nur Benutzername, Passwort und Shared Secret an die Hand gibt und egal wie und womit er sich mit VPN verbindet, immernur Zugriff auf eine(n), ggf. auch mehrere, konkrete IP(s)/Server hat?
Hintergrund ist der, dass der User nicht auf die Fritzfernzugang Software beschränkt werden soll/kann, sondern sich u.a. auch vom MAC oder Smartphone einwählen können soll.
Besten Dank und schöne Grüße
Ich habe hier schon einen alten Post gefunden, den ich aber nicht nochmal aufwärmen wollte
Ich habe ein kleine SoHo mit Fritzbox 7490, auf der eine handvoll VPN User eingerichtet sind.
Nun soll für einen expliziten VPN User der Zugriff so eingeschränkt werden, dass er nur auf einen konkreten Server im LAN zugreifen kann...
Im o.g. Post steht, dass man die Fritz-Fernzugang-Config anpassen soll/kann, um solch eine Einschränkung vorzunehmen...
Besteht auch die Möglichkeit, das einzig auf der Fritzbox einzuschränken, also dass man dem User nur Benutzername, Passwort und Shared Secret an die Hand gibt und egal wie und womit er sich mit VPN verbindet, immernur Zugriff auf eine(n), ggf. auch mehrere, konkrete IP(s)/Server hat?
Hintergrund ist der, dass der User nicht auf die Fritzfernzugang Software beschränkt werden soll/kann, sondern sich u.a. auch vom MAC oder Smartphone einwählen können soll.
Besten Dank und schöne Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1186358648
Url: https://administrator.de/contentid/1186358648
Printed on: April 26, 2024 at 20:04 o'clock
14 Comments
Latest comment
Phase2 AccessList in der Fritzbox-VPN-Config für den User anpassen.
Bsp. User mit IP 192.168.178.32 kann nur auf IP 192.168.178.76 zugreifen.
Bsp. User mit IP 192.168.178.32 kann nur auf IP 192.168.178.76 zugreifen.
accesslist =
"permit ip 192.168.178.76 255.255.255.255 192.168.178.32 255.255.255.255";
Zitat von @149062:
Phase2 AccessList in der Fritzbox-Config für den User anpassen.
Bsp. User mit IP "192.168.178.32" kann nur auf IP 192.168.178.76 zugreifen.
Phase2 AccessList in der Fritzbox-Config für den User anpassen.
Bsp. User mit IP "192.168.178.32" kann nur auf IP 192.168.178.76 zugreifen.
> accesslist =
> "permit ip 192.168.178.76 255.255.255.255 192.168.178.32 255.255.255.255";
> Danke aber wie/wo in der FB Oberfläche soll das denn gehen?
Wie immer halt: VPN-Config exportieren (System > Sicherung), im File ganz nach unten scrollen, den Abschnitt vpncfg{} kopieren und in neues File schreiben, mit Editor das Profil anpassen und dann über das VPN Menü wieder in die Fritte importieren.
1
Alles klar, vielen Dank.
*Wie ist das mit der Quell-IP zu verstehen?
Also jetzt sieht die originale exportierte Config für den User so aus:
Ich nehme an, die .200 hat die FB automatisch reserviert? Wie läuft das, wenn der User sich mit mehreren Geräten anmeldet?
accesslist =
"permit ip ZIEL-IP 255.255.255.255 QUELL-IP* 255.255.255.255"; *Wie ist das mit der Quell-IP zu verstehen?
Also jetzt sieht die originale exportierte Config für den User so aus:
accesslist =
"permit ip 0.0.0.0 0.0.0.0 192.168.178.200 255.255.255.255"; Ich nehme an, die .200 hat die FB automatisch reserviert? Wie läuft das, wenn der User sich mit mehreren Geräten anmeldet?
Zitat von @hannsgmaulwurf:
*Wie ist das mit der Quell-IP zu verstehen?
Ich nehme an, die .200 hat die FB automatisch reserviert?
Korrekt! Siehe Beispiel oben, erst kommt die Ziel-IP und dann die Quell-IP welcher der User im VPN zugewiesen wird.*Wie ist das mit der Quell-IP zu verstehen?
Ich nehme an, die .200 hat die FB automatisch reserviert?
Die Fritzbox weist die VPN-IPs fest den einzelnen VPN-Configs zu, verwendet wird dafür immer der Bereich oberhalb des aktuellen DHCP-Bereichs.
Wie läuft das, wenn der User sich mit mehreren Geräten anmeldet?
Ein User kann sich immer nur einmal mit ein und dem selben Account anmelden. Für parallele Mehrfacheinwahl müssen mehrere User in der FB angelegt werden.Zitat von @149062:
Ein User kann sich immer nur einmal mit ein und dem selben Account anmelden. Für parallele Mehrfacheinwahl müssen mehrere User in der FB angelegt werden.
Ein User kann sich immer nur einmal mit ein und dem selben Account anmelden. Für parallele Mehrfacheinwahl müssen mehrere User in der FB angelegt werden.
Alles klar, vielen Dank für die schnelle Hilfe!!!
Eins noch: Die Accesslist kann dann beliebig erweitert werden, oder gibts da Beschränkungen? Also z.B.
Könnte analog zu permit auch mit deny arbeiten? Also z.B.
accesslist =
"permit ip 192.168.178.100 255.255.255.255 192.168.178.32 255.255.255.255";
"permit ip 192.168.178.101 255.255.255.255 192.168.178.32 255.255.255.255";
"permit ip 192.168.178.102 255.255.255.255 192.168.178.32 255.255.255.255";
"permit ip 192.168.178.103 255.255.255.255 192.168.178.32 255.255.255.255"; accesslist =
"permit ip 0.0.0.0 0.0.0.0 192.168.178.32 255.255.255.255";
"deny ip 192.168.178.200 192.168.178.32 255.255.255.255"; Zitat von @hannsgmaulwurf:
Eins noch: Die Accesslist kann dann beliebig erweitert werden, oder gibts da Beschränkungen? Also z.B.
Ja aber getrennt wird mit Komma.Eins noch: Die Accesslist kann dann beliebig erweitert werden, oder gibts da Beschränkungen? Also z.B.
> accesslist =
> "permit ip 192.168.178.100 255.255.255.255 192.168.178.32 255.255.255.255";
> "permit ip 192.168.178.101 255.255.255.255 192.168.178.32 255.255.255.255";
> "permit ip 192.168.178.102 255.255.255.255 192.168.178.32 255.255.255.255";
> "permit ip 192.168.178.103 255.255.255.255 192.168.178.32 255.255.255.255";
> accesslist =
"permit ip 192.168.178.100 255.255.255.255 192.168.178.32 255.255.255.255",
"permit ip 192.168.178.101 255.255.255.255 192.168.178.32 255.255.255.255",
"permit ip 192.168.178.102 255.255.255.255 192.168.178.32 255.255.255.255"; Könnte analog zu permit auch mit deny arbeiten? Also z.B.
> accesslist =
> "permit ip 0.0.0.0 0.0.0.0 192.168.178.32 255.255.255.255";
> "deny ip 192.168.178.200 192.168.178.32 255.255.255.255";
> Reihenfolge zählt, so würde das nichts werden
Trennen wie gesagt mit Komma, und verbieten mit reject ip ......
accesslist =
"reject ip 192.168.178.200 255.255.255.255 192.168.178.32 255.255.255.255",
"permit ip 0.0.0.0 0.0.0.0 192.168.178.32 255.255.255.255"; https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/229_Mit-FRITZ ...
Ich stehe irgendwie noch auf dem Schlauch...
Was bisher geschah:
1. Auf FB Weboberfläche User MUSTERMANN angelegt und Haken gesetzt bei VPN.
2. Fritzbox Einstellungen komplett exportiert mit Kennwort PSSWRD12345.
3. Aus exportierter Konfig den VPN Abschnitt von MUSTERMANN kopiert und in neue MUSTERMANN.cfg Datei eingefügt.
4. MUSTERMANN.cfg angepasst. Alles unverändert außer:
5. In FB Oberfläche Internet -> Freigaben -> VPN Verbindung hinzufügen -> Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren
-> MUSTERMANN.cfg ausgewählt
-> Haken gesetzt bei "Die VPN-Einstellungen sind verschlüsselt"
-> Kennwort PSSWRD12345 eingegeben und mit OK bestätigt.
6. FB meldet erfolgreichen Import
Wenn ich nun nochmals zur Prüfung die FB Sicherung exportiere, sehe ich, dass in der Config der VPN Abschnitt von MUSTERMANN immernoch der alte ist, also ohne die angepasste accesslist.
Die Config von MUSTERMANN scheint also nicht überschrieben zu werden?? Soll der User samt seiner VPN Konfig vor dem erneuten Import der angepassten MUSTERMANN.cfg erst gelöscht werden?
Was bisher geschah:
1. Auf FB Weboberfläche User MUSTERMANN angelegt und Haken gesetzt bei VPN.
2. Fritzbox Einstellungen komplett exportiert mit Kennwort PSSWRD12345.
3. Aus exportierter Konfig den VPN Abschnitt von MUSTERMANN kopiert und in neue MUSTERMANN.cfg Datei eingefügt.
4. MUSTERMANN.cfg angepasst. Alles unverändert außer:
accesslist =
"permit ip 192.168.178.10 255.255.255.255 192.168.1.205 255.255.255.255",
"permit ip 192.168.178.11 255.255.255.255 192.168.1.205 255.255.255.255"; -> MUSTERMANN.cfg ausgewählt
-> Haken gesetzt bei "Die VPN-Einstellungen sind verschlüsselt"
-> Kennwort PSSWRD12345 eingegeben und mit OK bestätigt.
6. FB meldet erfolgreichen Import
Wenn ich nun nochmals zur Prüfung die FB Sicherung exportiere, sehe ich, dass in der Config der VPN Abschnitt von MUSTERMANN immernoch der alte ist, also ohne die angepasste accesslist.
Die Config von MUSTERMANN scheint also nicht überschrieben zu werden?? Soll der User samt seiner VPN Konfig vor dem erneuten Import der angepassten MUSTERMANN.cfg erst gelöscht werden?
Update für alle Interessierten:
Ich habe es jetzt so gelöst, wie in der oben verlinkten alten Forumseintrag beschrieben war. Also...
...mit "Fritz Fernzugang einrichten" eine VPN Konfig erzeugen,
...diese anpassen und
...auf der FB importieren
So wird allerdings kein neuer User auf der FB angelegt, sondern lediglich eine neue VPN Verbindung. Heißt, man muss die Software Fritzfernzugang nutzen, um mit der erstellten Konfig eine Verbindung aufzubauen.
Möchte man eine Verbindung mit Shrew Soft herstellen (was mein Plan/Wunsch war), benötigt man einen Fritzbox User mit Passwort... Ich habe leider nicht rausgefunden bzw. es nicht hinbekommen, einen User anzulegen und dessen VPN Konfig im Nachgang bzgl. ACCESSLIST anzupassen. Falls jemand weiß, wie man dazu vorgeht, würde ich mich hier auf eine kurze Rückmeldung freuen.
Schöne Grüße und Danke an alle für die nützlichen Tipps
Ich habe es jetzt so gelöst, wie in der oben verlinkten alten Forumseintrag beschrieben war. Also...
...mit "Fritz Fernzugang einrichten" eine VPN Konfig erzeugen,
...diese anpassen und
...auf der FB importieren
So wird allerdings kein neuer User auf der FB angelegt, sondern lediglich eine neue VPN Verbindung. Heißt, man muss die Software Fritzfernzugang nutzen, um mit der erstellten Konfig eine Verbindung aufzubauen.
Möchte man eine Verbindung mit Shrew Soft herstellen (was mein Plan/Wunsch war), benötigt man einen Fritzbox User mit Passwort... Ich habe leider nicht rausgefunden bzw. es nicht hinbekommen, einen User anzulegen und dessen VPN Konfig im Nachgang bzgl. ACCESSLIST anzupassen. Falls jemand weiß, wie man dazu vorgeht, würde ich mich hier auf eine kurze Rückmeldung freuen.
Schöne Grüße und Danke an alle für die nützlichen Tipps
Zitat von @hannsgmaulwurf:
Möchte man eine Verbindung mit Shrew Soft herstellen (was mein Plan/Wunsch war), benötigt man einen Fritzbox User mit Passwort...
Nö braucht man nicht, man kann beliebige VPN Configs mit Phantasieusernamen und Presharedkeys und Kennwörter importieren und nutzen, man muss nur darauf achten das bei DialIn Verbindungen jeder User seine eigene IP zugewiesen bekommt und es keine Überschneidungen gibt. Ebenso sind dann die speziellen Attribute wie boxuser zu entfernen und man muss darauf achten das das editable Attribut auf no stehen muss da die Fritte sonst die Anpassungen entfernt.Möchte man eine Verbindung mit Shrew Soft herstellen (was mein Plan/Wunsch war), benötigt man einen Fritzbox User mit Passwort...
Zitat von @149062:
Nö braucht man nicht, man kann beliebige VPN Configs mit Phantasieusernamen und Presharedkeys und Kennwörter importieren und nutzen
Klingt interessant, woher weißt du das, try and error? Oder gibt es irgendwo von AVM detaillierte Infos zu dem Thema z.B. zu den einzelnen Attributen in der Config Datei usw.?Nö braucht man nicht, man kann beliebige VPN Configs mit Phantasieusernamen und Presharedkeys und Kennwörter importieren und nutzen
Zitat von @hannsgmaulwurf:
Klingt interessant, woher weißt du das, try and error? Oder gibt es irgendwo von AVM detaillierte Infos zu dem Thema z.B. zu den einzelnen Attributen in der Config Datei usw.?
Erfahrung mit der Zeit... und Interna des Box-Codes schon mal studiert.Klingt interessant, woher weißt du das, try and error? Oder gibt es irgendwo von AVM detaillierte Infos zu dem Thema z.B. zu den einzelnen Attributen in der Config Datei usw.?
Manche Parameter sind aber auch selbsterklärend oder man hat sie bei ciscos oder anderen Systemen schon mal gesehen.
Hallo Zusammen,
ich muss mich hier einmal einschalten weil ich vor einem ACL Problem mit meiner Fritz 7590 steh. Die Box hängt über das WAN Interface an einem Kabelmodem.
Ich habe 2 VPN Benutzer eingerichtet was so auch gut funktioniert. Ich möchte diese allerdings nun einschränken, dass die nicht auf mein LAN zugreifen können sondern lediglich wieder über das WAN Interface raus ins Internet kommen.
Ich finde nirgends dokumentiert, wie man in der ACL der Fritz Box die WAN Schnittstelle definiert. Das Interface müsste "WAN" heißen, wie ich mittlerweile herausgefunden habe.
Im Export der VPN Config steht derzeit folgender Eintrag drinnen
"permit ip 0.0.0.0 0.0.0.0 192.168.100.100 255.255.255.255";
Es wäre schön, wenn mir jemand auf die Sprünge helfen kann.
Ich dank euch vorab schon für die Unterstützung.
ich muss mich hier einmal einschalten weil ich vor einem ACL Problem mit meiner Fritz 7590 steh. Die Box hängt über das WAN Interface an einem Kabelmodem.
Ich habe 2 VPN Benutzer eingerichtet was so auch gut funktioniert. Ich möchte diese allerdings nun einschränken, dass die nicht auf mein LAN zugreifen können sondern lediglich wieder über das WAN Interface raus ins Internet kommen.
Ich finde nirgends dokumentiert, wie man in der ACL der Fritz Box die WAN Schnittstelle definiert. Das Interface müsste "WAN" heißen, wie ich mittlerweile herausgefunden habe.
Im Export der VPN Config steht derzeit folgender Eintrag drinnen
"permit ip 0.0.0.0 0.0.0.0 192.168.100.100 255.255.255.255";
Es wäre schön, wenn mir jemand auf die Sprünge helfen kann.
Ich dank euch vorab schon für die Unterstützung.