hannsgmaulwurf
Goto Top

Fritzbox VPN User einschränken

Hallo zusammen.

Ich habe hier schon einen alten Post gefunden, den ich aber nicht nochmal aufwärmen wollte face-smile

Ich habe ein kleine SoHo mit Fritzbox 7490, auf der eine handvoll VPN User eingerichtet sind.
Nun soll für einen expliziten VPN User der Zugriff so eingeschränkt werden, dass er nur auf einen konkreten Server im LAN zugreifen kann...

Im o.g. Post steht, dass man die Fritz-Fernzugang-Config anpassen soll/kann, um solch eine Einschränkung vorzunehmen...
Besteht auch die Möglichkeit, das einzig auf der Fritzbox einzuschränken, also dass man dem User nur Benutzername, Passwort und Shared Secret an die Hand gibt und egal wie und womit er sich mit VPN verbindet, immernur Zugriff auf eine(n), ggf. auch mehrere, konkrete IP(s)/Server hat?

Hintergrund ist der, dass der User nicht auf die Fritzfernzugang Software beschränkt werden soll/kann, sondern sich u.a. auch vom MAC oder Smartphone einwählen können soll.

Besten Dank und schöne Grüße

Content-ID: 1186358648

Url: https://administrator.de/contentid/1186358648

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

149062
149062 23.08.2021 aktualisiert um 13:15:00 Uhr
Goto Top
Phase2 AccessList in der Fritzbox-VPN-Config für den User anpassen.
Bsp. User mit IP 192.168.178.32 kann nur auf IP 192.168.178.76 zugreifen.
accesslist = 
"permit ip 192.168.178.76 255.255.255.255 192.168.178.32 255.255.255.255";
hannsgmaulwurf
hannsgmaulwurf 23.08.2021 um 13:14:46 Uhr
Goto Top
Zitat von @149062:

Phase2 AccessList in der Fritzbox-Config für den User anpassen.
Bsp. User mit IP "192.168.178.32" kann nur auf IP 192.168.178.76 zugreifen.
> accesslist = 
> "permit ip 192.168.178.76 255.255.255.255 192.168.178.32 255.255.255.255";
> 

Danke aber wie/wo in der FB Oberfläche soll das denn gehen?
149062
149062 23.08.2021 aktualisiert um 13:28:41 Uhr
Goto Top
Zitat von @hannsgmaulwurf:
Danke aber wie/wo in der FB Oberfläche soll das denn gehen?
Wie immer halt: VPN-Config exportieren (System > Sicherung), im File ganz nach unten scrollen, den Abschnitt vpncfg{} kopieren und in neues File schreiben, mit Editor das Profil anpassen und dann über das VPN Menü wieder in die Fritte importieren.

screenshot

screenshot

screenshot

screenshot
hannsgmaulwurf
hannsgmaulwurf 23.08.2021 um 13:34:05 Uhr
Goto Top
Alles klar, vielen Dank.

accesslist = 
"permit ip ZIEL-IP 255.255.255.255 QUELL-IP* 255.255.255.255";  


*Wie ist das mit der Quell-IP zu verstehen?

Also jetzt sieht die originale exportierte Config für den User so aus:

accesslist = 
"permit ip 0.0.0.0 0.0.0.0 192.168.178.200 255.255.255.255";  

Ich nehme an, die .200 hat die FB automatisch reserviert? Wie läuft das, wenn der User sich mit mehreren Geräten anmeldet?
149062
149062 23.08.2021 aktualisiert um 13:42:24 Uhr
Goto Top
Zitat von @hannsgmaulwurf:
*Wie ist das mit der Quell-IP zu verstehen?
Ich nehme an, die .200 hat die FB automatisch reserviert?
Korrekt! Siehe Beispiel oben, erst kommt die Ziel-IP und dann die Quell-IP welcher der User im VPN zugewiesen wird.
Die Fritzbox weist die VPN-IPs fest den einzelnen VPN-Configs zu, verwendet wird dafür immer der Bereich oberhalb des aktuellen DHCP-Bereichs.
Wie läuft das, wenn der User sich mit mehreren Geräten anmeldet?
Ein User kann sich immer nur einmal mit ein und dem selben Account anmelden. Für parallele Mehrfacheinwahl müssen mehrere User in der FB angelegt werden.
hannsgmaulwurf
hannsgmaulwurf 23.08.2021 um 13:44:15 Uhr
Goto Top
Zitat von @149062:
Ein User kann sich immer nur einmal mit ein und dem selben Account anmelden. Für parallele Mehrfacheinwahl müssen mehrere User in der FB angelegt werden.

Alles klar, vielen Dank für die schnelle Hilfe!!!
hannsgmaulwurf
hannsgmaulwurf 23.08.2021 um 13:50:30 Uhr
Goto Top
Eins noch: Die Accesslist kann dann beliebig erweitert werden, oder gibts da Beschränkungen? Also z.B.
accesslist = 
"permit ip 192.168.178.100 255.255.255.255 192.168.178.32 255.255.255.255";  
"permit ip 192.168.178.101 255.255.255.255 192.168.178.32 255.255.255.255";  
"permit ip 192.168.178.102 255.255.255.255 192.168.178.32 255.255.255.255";  
"permit ip 192.168.178.103 255.255.255.255 192.168.178.32 255.255.255.255";  
Könnte analog zu permit auch mit deny arbeiten? Also z.B.
accesslist = 
"permit ip 0.0.0.0 0.0.0.0 192.168.178.32 255.255.255.255";  
"deny ip 192.168.178.200 192.168.178.32 255.255.255.255";  
149062
149062 23.08.2021 aktualisiert um 13:59:53 Uhr
Goto Top
Zitat von @hannsgmaulwurf:

Eins noch: Die Accesslist kann dann beliebig erweitert werden, oder gibts da Beschränkungen? Also z.B.
> accesslist = 
> "permit ip 192.168.178.100 255.255.255.255 192.168.178.32 255.255.255.255";  
> "permit ip 192.168.178.101 255.255.255.255 192.168.178.32 255.255.255.255";  
> "permit ip 192.168.178.102 255.255.255.255 192.168.178.32 255.255.255.255";  
> "permit ip 192.168.178.103 255.255.255.255 192.168.178.32 255.255.255.255";  
> 
Ja aber getrennt wird mit Komma.
 accesslist = 
"permit ip 192.168.178.100 255.255.255.255 192.168.178.32 255.255.255.255",  
"permit ip 192.168.178.101 255.255.255.255 192.168.178.32 255.255.255.255",  
"permit ip 192.168.178.102 255.255.255.255 192.168.178.32 255.255.255.255";  
Könnte analog zu permit auch mit deny arbeiten? Also z.B.
> accesslist = 
> "permit ip 0.0.0.0 0.0.0.0 192.168.178.32 255.255.255.255";  
> "deny ip 192.168.178.200 192.168.178.32 255.255.255.255";  
> 

Reihenfolge zählt, so würde das nichts werden
Trennen wie gesagt mit Komma, und verbieten mit reject ip ......

accesslist = 
"reject ip 192.168.178.200 255.255.255.255 192.168.178.32 255.255.255.255",  
"permit ip 0.0.0.0 0.0.0.0 192.168.178.32 255.255.255.255";  


https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/229_Mit-FRITZ ...
hannsgmaulwurf
hannsgmaulwurf 23.08.2021 um 20:59:01 Uhr
Goto Top
Ich stehe irgendwie noch auf dem Schlauch...

Was bisher geschah:
1. Auf FB Weboberfläche User MUSTERMANN angelegt und Haken gesetzt bei VPN.
2. Fritzbox Einstellungen komplett exportiert mit Kennwort PSSWRD12345.
3. Aus exportierter Konfig den VPN Abschnitt von MUSTERMANN kopiert und in neue MUSTERMANN.cfg Datei eingefügt.
4. MUSTERMANN.cfg angepasst. Alles unverändert außer:
accesslist =
"permit ip 192.168.178.10 255.255.255.255 192.168.1.205 255.255.255.255",  
"permit ip 192.168.178.11 255.255.255.255 192.168.1.205 255.255.255.255";  
5. In FB Oberfläche Internet -> Freigaben -> VPN Verbindung hinzufügen -> Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren
-> MUSTERMANN.cfg ausgewählt
-> Haken gesetzt bei "Die VPN-Einstellungen sind verschlüsselt"
-> Kennwort PSSWRD12345 eingegeben und mit OK bestätigt.
6. FB meldet erfolgreichen Import

Wenn ich nun nochmals zur Prüfung die FB Sicherung exportiere, sehe ich, dass in der Config der VPN Abschnitt von MUSTERMANN immernoch der alte ist, also ohne die angepasste accesslist.

Die Config von MUSTERMANN scheint also nicht überschrieben zu werden?? Soll der User samt seiner VPN Konfig vor dem erneuten Import der angepassten MUSTERMANN.cfg erst gelöscht werden?
hannsgmaulwurf
Lösung hannsgmaulwurf 24.08.2021 um 17:31:56 Uhr
Goto Top
Update für alle Interessierten:

Ich habe es jetzt so gelöst, wie in der oben verlinkten alten Forumseintrag beschrieben war. Also...
...mit "Fritz Fernzugang einrichten" eine VPN Konfig erzeugen,
...diese anpassen und
...auf der FB importieren

So wird allerdings kein neuer User auf der FB angelegt, sondern lediglich eine neue VPN Verbindung. Heißt, man muss die Software Fritzfernzugang nutzen, um mit der erstellten Konfig eine Verbindung aufzubauen.

Möchte man eine Verbindung mit Shrew Soft herstellen (was mein Plan/Wunsch war), benötigt man einen Fritzbox User mit Passwort... Ich habe leider nicht rausgefunden bzw. es nicht hinbekommen, einen User anzulegen und dessen VPN Konfig im Nachgang bzgl. ACCESSLIST anzupassen. Falls jemand weiß, wie man dazu vorgeht, würde ich mich hier auf eine kurze Rückmeldung freuen.

Schöne Grüße und Danke an alle für die nützlichen Tipps face-smile
149062
149062 24.08.2021 aktualisiert um 17:50:38 Uhr
Goto Top
Zitat von @hannsgmaulwurf:
Möchte man eine Verbindung mit Shrew Soft herstellen (was mein Plan/Wunsch war), benötigt man einen Fritzbox User mit Passwort...
Nö braucht man nicht, man kann beliebige VPN Configs mit Phantasieusernamen und Presharedkeys und Kennwörter importieren und nutzen, man muss nur darauf achten das bei DialIn Verbindungen jeder User seine eigene IP zugewiesen bekommt und es keine Überschneidungen gibt. Ebenso sind dann die speziellen Attribute wie boxuser zu entfernen und man muss darauf achten das das editable Attribut auf no stehen muss da die Fritte sonst die Anpassungen entfernt.
hannsgmaulwurf
hannsgmaulwurf 24.08.2021 um 18:40:34 Uhr
Goto Top
Zitat von @149062:

Nö braucht man nicht, man kann beliebige VPN Configs mit Phantasieusernamen und Presharedkeys und Kennwörter importieren und nutzen
Klingt interessant, woher weißt du das, try and error? Oder gibt es irgendwo von AVM detaillierte Infos zu dem Thema z.B. zu den einzelnen Attributen in der Config Datei usw.?
149062
149062 25.08.2021 um 08:09:33 Uhr
Goto Top
Zitat von @hannsgmaulwurf:
Klingt interessant, woher weißt du das, try and error? Oder gibt es irgendwo von AVM detaillierte Infos zu dem Thema z.B. zu den einzelnen Attributen in der Config Datei usw.?
Erfahrung mit der Zeit... und Interna des Box-Codes schon mal studiert.
Manche Parameter sind aber auch selbsterklärend oder man hat sie bei ciscos oder anderen Systemen schon mal gesehen.
haro26
haro26 29.12.2021 um 09:26:24 Uhr
Goto Top
Hallo Zusammen,
ich muss mich hier einmal einschalten weil ich vor einem ACL Problem mit meiner Fritz 7590 steh. Die Box hängt über das WAN Interface an einem Kabelmodem.
Ich habe 2 VPN Benutzer eingerichtet was so auch gut funktioniert. Ich möchte diese allerdings nun einschränken, dass die nicht auf mein LAN zugreifen können sondern lediglich wieder über das WAN Interface raus ins Internet kommen.
Ich finde nirgends dokumentiert, wie man in der ACL der Fritz Box die WAN Schnittstelle definiert. Das Interface müsste "WAN" heißen, wie ich mittlerweile herausgefunden habe.

Im Export der VPN Config steht derzeit folgender Eintrag drinnen
"permit ip 0.0.0.0 0.0.0.0 192.168.100.100 255.255.255.255";

Es wäre schön, wenn mir jemand auf die Sprünge helfen kann.
Ich dank euch vorab schon für die Unterstützung.