miscmike
Goto Top

Größere Zahl VPN-Verbindungen mit Fritz-Box einrichten

Hallo Zusammen,

ich supporte verschiedene Kunden mit bestehenden LAN-LAN-Kopplungen via FritzBox (7490, FritzOS 7.01) .
Anwendungen sind z.B. Kaspersky-KSC Fernverwaltung.
Ich muss also von meinem lokalen Netzwerk auf verschiedene Netzwerke von Kunden kommen.
Und zwar ohne vorherige manuelle Verbindungsherstellung, VPN eben.
Die Gegenstellen (Kunden) sind alle durchgehend FritzBoxen.

Das klappt soweit auch prima, ich habe das momentan mit 9 (neun) Einträgen in der FritzBox hinbekommen.

Jetzt wollte ich zwei weitere VPN-Verbindungen hinzufügen. Die FritzOberfläche sagt nach dem Importieren der cfg-Datei "..korrekt.."
Via Pushservice bekomme ich von der Box auch die Meldung, das eine neue VPN-Verbindung hinzugefügt wurde.

ABER : Auf der entsprechenden Fritzoberfläche sehe ich keine weitere hinzugefügte Verbindung.

Kollisionen bei den DynDNS-Adressen sowie bei den fremden IP-Bereichen können ausgeschlossen werden.

Bei AVM auf den Support-Seiten steht, dass bis zu zwölf gleichzeitige Verbindungen laufen, dann wird es wegen Überlast evtl. zu Problemen führen.
Ich will aber deutlich weniger gleichzeitig nutzen, dafür aber mehr eintragen können.

Ich habe schon daran gedacht, einen VPN-Server (z.B. auf einer Synology) einzurichten, jedoch kann der ja nur "hören" also von draußen angesprochen werden.
Ich muss aber eben "anrufen" können und zwar vollautomatisch durch das Kaspersky Security Center.

Hat jemand eine Idee, wie man das einfach hinbekommt ?

Vielen Dank für Vorschläge.

miscmike

Content-ID: 386843

Url: https://administrator.de/contentid/386843

Ausgedruckt am: 08.11.2024 um 21:11 Uhr

137084
137084 18.09.2018 aktualisiert um 17:46:41 Uhr
Goto Top
Ich les hier immer nur Fritz.
Wie heißt das gleich noch: Fischer Fritz fischt frische Fische ... face-big-smile.

Schnapp dir einen Mikrotik oder auch einen Raspi, und richte da die VPN-Endpunkte ein da hast du solche tollen Beschränkungen wie bei dem Fritten-Gemüse nicht. Für die VPN Subnetze dann statische Routen auf das Fritten-Gemüse mit GW (Raspi oder Mikrotik) gepackt und alle VPNs auf der Fritte rausschmeißen. Das mit Fritten zu realisieren ist Sicherheitstechnische Obergau, da verbreitet sich alles was bei dir im Netz so fleucht und kreucht bei all deinen Kunden ...
Ich habe schon daran gedacht, einen VPN-Server (z.B. auf einer Synology) einzurichten, jedoch kann der ja nur "hören" also von draußen angesprochen werden.
Im Hintergrund ist das auch nur ein Linux und damit lässt so ziemlich alles realisieren (z.B. mit Strongswan) wenn man kann und will.
Looser27
Looser27 18.09.2018 aktualisiert um 17:43:05 Uhr
Goto Top
Ich muss also von meinem lokalen Netzwerk auf verschiedene Netzwerke von Kunden kommen.
Und zwar ohne vorherige manuelle Verbindungsherstellung,

Du bist permanent mit allen Kunden verbunden? Wie verhinderst Du dann den Zugriff von den Kunden untereinander?
Sehr gewagtes Spiel mit Fritzbox.
Ausserdem unprofessionell.

Gruß

Looser
129580
129580 18.09.2018 um 17:46:19 Uhr
Goto Top
Wie verhinderst Du dann den Zugriff von den Kunden untereinander?

Man kann ACLs setzen. Zumindest direkt in der .cfg Datei.
Ansonsten habt ihr beide aber Recht. Für solche Sachen ist die Fritzbox nicht geeignet.
miscmike
miscmike 18.09.2018 um 18:01:48 Uhr
Goto Top
Hmm, bisher hat das aber recht gut funktioniert.

Kunden untereinander können nicht zugreifen. Die Box routet nicht von einem VPN-Punkt zum anderen.
Von Kunden zu mir ist auch nicht unkontrolliert möglich . Ich hätte vielleicht sagen sollen, dass der Server mit Kaspersky Security Center exclusiv auf die VPN-Verbindungen kommt.

@137084 :

mikrotik aus Lettland ?
siehe mal hier : Mikrotik Schwachstelle

weiß nicht, ob das nun wirklich gegenüber der FritzBox so viel sicherer ist.
Trotzdem würde mich das mal genauer interessieren.
Kannst Du genauere Infos dazu geben ? ggf. per PN ?
Ich bin auf dem Gebiet eher unerfahren - es sei denn eben VPNs via FritzBox face-smile

"..Für die VPN Subnetze dann statische Routen auf das Fritten-Gemüse mit GW (Raspi oder Mikrotik) gepackt und alle VPNs auf der Fritte rausschmeißen..."

Kriegst Du das auch in verständlicher Sprache hin ?

Danke.
Looser27
Looser27 18.09.2018 um 18:08:03 Uhr
Goto Top
Als erstes solltest Du Deine Kunden nicht mit Fritzbox ausrüsten.
Wenn explizit gewünscht, immer Client to site Verbindung aufbauen.
So ist man immer exklusiv bei einem Kunden.

Gruß Looser
miscmike
miscmike 18.09.2018 um 18:18:10 Uhr
Goto Top
Naja, die Verbindung ist eher von mir in Richtung Kunden aufzubauen.
Das Kaspersky-Security-Center (Verwaltungsserver für Kaspersky Business), soll vollautomatisch, zeitgesteuert die jeweiligen Clients bei den Kunden "bearbeiten" also für Scan- und Update Jobs etc. sorgen.

Naja- und die Kunden haben nun mal Fritzboxen (meistens jedenfalls), mit Dyndns.
Größtenteils betrifft dies kleine Kunden mit zwei bis max. 10 Endgeräten.

VG
miscmike
maretz
maretz 18.09.2018 um 19:56:21 Uhr
Goto Top
ernsthaft jetzt? Sag mal - ich würde mal an deinem Konzept arbeiten, das was du da machst ist mit grosser Sicherheit das dümmste was du tun kannst.

a) wenn du permanent verbunden bist - dann brauche ich also nur deinen Rechner übernehmen und hey, mein Wurm, Virus, whatever hat gleich das grosse Gruppenfutter?

b) wenn du was testen willst und das geht schief reisst du im dümmsten Fall gleich Kundensysteme mit? (und sag jetzt nich das passiert nich, hat Android ja grad mal wieder vorgemacht mit Energiespar-Modi-Tests...)

Generell hat ein Dienstleister NUR dann eine Verbindung zum Kundensystem aufzunehmen wenn er den Kunden informiert hat UND dieser es genehmigt. Wir könnten uns jetzt noch unterhalten wie es bei nem "Notfall" (wie auch immer der aussehen mag) ist - ob sich ein Dienstleister dann ohne Informationen anmelden kann, aber permanent geht schon mal nicht. Und das ganze dient auch DEINER Absicherung: Wenn der Kunde deine Anmeldung freischalten und morgen irgendein Virus bei denen alles zerlegt kannst du dich zurücklehnen und nachweisen: Ihr habt mich nich freigeschaltet, ich kann den also nich ins Netz gebracht haben....

Und wenn du schon sowas machst - dann bitte nich mit ner Box die für Heimbetrieb gedacht is aber nicht für professionellen Einsatz... Dann setzte wenigstens nen richtiges VPN auf UND blocke mit einer richtigen Firewall alle Ports ausser z.B. den Web-Management-Port für deine Virenlösung... Wobei du bei mir als Dienstleister jetzt bereits geflogen wärst wenn du ne permanente Verbindung zu deinem Heimnetzwerk aufbaust und ich auch noch hören würde das du das mit anderen Kunden machst... Mit Datenschutz und Datensicherheit nimmst du es ja dann scheinbar nich so genau...
137084
137084 18.09.2018 aktualisiert um 21:50:19 Uhr
Goto Top
Zitat von @miscmike:
@137084 :

mikrotik aus Lettland ?
siehe mal hier : Mikrotik Schwachstelle
So redet jeder der diese Marke eben noch nicht kennt. Die Jungs sind fitter als AVM jemals sein wird.
Jemand der sich mit der Schwachstelle, die übrigens schon seit Anfang des Jahres behoben ist, auseinandersetzt wird sehen, das die Lücke nur ausgenutzt werden kann wenn der Anwender nicht die richtigen Firewallregeln setzt und er primär dafür primär verantwortlich ist!! Hier wird wieder nur durch die Presse heiße Luft verbreitet die keine ist. Diese Geräte sollte man halt nur einsetzen wenn man auch wirklich weiß was man tut, denn damit kannst du in jeglichen Prozess genauestens eingreifen. Bei einer Fritte wird alles hinter einer Klicki Bunti GUI verborgen, meinst du das das mehr Vertrauen erweckt? Ich nicht!
weiß nicht, ob das nun wirklich gegenüber der FritzBox so viel sicherer ist.
Der Anwender ist an dieser Lücke primär die Schwachstelle! Wenn er die Türe offen stehen lässt muss er sich nicht wundern wenn er Besuch bekommt.
Kannst Du genauere Infos dazu geben ? ggf. per PN ?
Gerne.
"..Für die VPN Subnetze dann statische Routen auf das Fritten-Gemüse mit GW (Raspi oder Mikrotik) gepackt und alle VPNs auf der Fritte rausschmeißen..."

Kriegst Du das auch in verständlicher Sprache hin ?
Nun, der Mikrotik hinge dann in deinem Netzwerk, damit nun die Pakete den Weg zum Kunden finden muss die Fritzbox ja wissen wohin sie die Pakete des jeweiligen Subnetzes schicken soll und da springen dann die statischen Routen ein wenn du den Mikrotik nicht als Default GW nutzen willst. Das sind eigentlich Routing-Grundlagen die wir hier eigentlich nicht nochmal durchkauen müssen.
certifiedit.net
certifiedit.net 18.09.2018 um 21:56:34 Uhr
Goto Top
@137084, ich weiss nicht, ob Mikrotik das richtige ist, aber ich habe das Gefühl, dass so oder so Hopfen und Malz verloren ist.

@maretz: Je nach dem, wie die Kundenverträge aufgebaut sind. Pauschal ist, wie meist, das dümmste.
137084
137084 19.09.2018 aktualisiert um 09:32:47 Uhr
Goto Top
Zitat von @certifiedit.net:

@137084, ich weiss nicht, ob Mikrotik das richtige ist, aber ich habe das Gefühl, dass so oder so Hopfen und Malz verloren ist.
Offensichtlich, wenn man schon "Fritzbox" und "Kaspersky" liest drängt sich das einem förmlich auf.
miscmike
miscmike 19.09.2018 um 09:51:48 Uhr
Goto Top
@maretz

Also ohne dass Du die weitere Konfiguration und Absicherung bei mir kennst, nimmst Du den Mund ganz schön voll!
Ganz ehrlich ? Ich bin nicht suizidgefährdet und nehme es mit der Sicherheit wohl durchaus ernst.

Wer sagt etwas von "Heimnetz" ?
Wer sagt etwas von "permanent verbunden " ? - Ich (bzw. der Management-Server) baue die Verbindung bei Bedarf auf. Wie soll sonst MSP funktionieren, wenn ich jedesmal den Kunden um Verbindung bitten soll ?
Wer sagt etwas von irgendwelchen Tests ?
Kundengenehmigung ? Liegt via Vertrag vor !

Wer sagt, dass ich keine "richtige Firewall" (was immer Du damit meinst) einsetze ?

Also bitte, ohne die nötigen Hintergrundinformationen hier so einen Bullshit zu vermuten - das sagt vieles über die Qualität solcher Foren aus. Ich bereue schon jetzt, dass ich hier gefragt und konstruktive Antworten erhofft habe.

Ich werde wohl doch anderweitige Lösungen suchen.
miscmike
miscmike 19.09.2018 um 09:57:29 Uhr
Goto Top
Zitat von @137084:

Offensichtlich, wenn man schon "Fritzbox" und "Kaspersky" liest drängt sich das einem förmlich auf.


OK, bei so viel Halbwissen über Kaspersky (Fritzbox kann man sich ja streiten), gebe ich auf, hier auf konstruktive Lösungen zu hoffen.

Ich entschuldige mich bei allen, dass ich gewagt habe zu fragen.

Würde schon gern wissen, bei den vielen Bedenken gegenüber FritzBoxen, ob es mal ernsthafte Zwischenfälle gegeben hat.
Vor allem welche, die bei anderen Lösungen nicht stattfinden können.

Also sorry nochmal, dass ich hier auf Lösungsvorschläge gesetzt habe face-sad
Lochkartenstanzer
Lochkartenstanzer 19.09.2018 um 10:00:56 Uhr
Goto Top
Zitat von @miscmike:

Also bitte, ohne die nötigen Hintergrundinformationen hier so einen Bullshit zu vermuten - das sagt vieles über die Qualität solcher Foren aus. Ich bereue schon jetzt, dass ich hier gefragt und konstruktive Antworten erhofft habe.

Nein,

das sagt nur, daß den Leuten hier zu wenig Kontext gegeben wurde und da wir hier öfter "Freizeitadmins", die mit infos, die sie hier "abgreifen", Geld zu machen versuchen haben, schrillen bei den Leuten halt die Alarmglocken. Und "Fritzbox" triggert halt recht schnell die Einordung in "freizeitadmin".

Und Du solltest nicht jedes Wort auf die Goldwaage legen, wenn Du sachlich und höflich bleibst findet sich sicher einer der Dir hilft.

zu Deinem Problem:

ich würde an Deienr stelle einfach mal den AVM-.Support fragen, wenn Du es wirklich mi der Fritzbox lösen willst. Ansonsten würde ich Dein Problem mit einem extra VPN-Server lösen, z.B. ein Alix-Board mit passender Software. Auch wenn ich selber oft Fritzboxen zu Kunden reinstelle, würde ich für Deien Anwendungsfall nicht das VPN Deiner Fritzbox nutzen.

lks
Ausserwoeger
Ausserwoeger 19.09.2018 aktualisiert um 13:24:34 Uhr
Goto Top
Hi

Also wir verwenden für alle Kunden Fortinet (Fortigate) die gibt es in entsprechenden grössen und sind recht einfach und übersichtlich einzurichten. Du brauchst hier auch keine VPN Lizenzen oder ähnliches. Was die Box Leistungstechnisch hinbekommt das kannst du auch einrichten.

Wir haben hier kunden mit 110 VPN Verbindungen davon 30 - 50 gleichzeitig und haben keine Probleme.
https://www.fortinet.com/products/next-generation-firewall/chassis.html

Als beispiel hier eine 80E
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGa ...

Sie kann 200 SSL VPN Verbindungen.

Natürlich hat sie auch entsprechnede Security features. Mit Forti APs kann sie auch als WFI Controller verwendet werden.

PS: Selbst eine kleine 50E kann schon 200 IPsec VPNs
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGa ...
Wichtig ist aber je mehr Security Features du verwenden möchtest desto höher solltest du die Leistung auslegen.


LG Andy
miscmike
miscmike 19.09.2018 um 15:42:27 Uhr
Goto Top
Hallo Andy,

na das ist doch mal eine vernünftige und brauchbare Aussage.
Vielen Dank dafür.

Ich werde dahingehend mal genauer recherchieren.

LG
miscmike