Größere Zahl VPN-Verbindungen mit Fritz-Box einrichten
Hallo Zusammen,
ich supporte verschiedene Kunden mit bestehenden LAN-LAN-Kopplungen via FritzBox (7490, FritzOS 7.01) .
Anwendungen sind z.B. Kaspersky-KSC Fernverwaltung.
Ich muss also von meinem lokalen Netzwerk auf verschiedene Netzwerke von Kunden kommen.
Und zwar ohne vorherige manuelle Verbindungsherstellung, VPN eben.
Die Gegenstellen (Kunden) sind alle durchgehend FritzBoxen.
Das klappt soweit auch prima, ich habe das momentan mit 9 (neun) Einträgen in der FritzBox hinbekommen.
Jetzt wollte ich zwei weitere VPN-Verbindungen hinzufügen. Die FritzOberfläche sagt nach dem Importieren der cfg-Datei "..korrekt.."
Via Pushservice bekomme ich von der Box auch die Meldung, das eine neue VPN-Verbindung hinzugefügt wurde.
ABER : Auf der entsprechenden Fritzoberfläche sehe ich keine weitere hinzugefügte Verbindung.
Kollisionen bei den DynDNS-Adressen sowie bei den fremden IP-Bereichen können ausgeschlossen werden.
Bei AVM auf den Support-Seiten steht, dass bis zu zwölf gleichzeitige Verbindungen laufen, dann wird es wegen Überlast evtl. zu Problemen führen.
Ich will aber deutlich weniger gleichzeitig nutzen, dafür aber mehr eintragen können.
Ich habe schon daran gedacht, einen VPN-Server (z.B. auf einer Synology) einzurichten, jedoch kann der ja nur "hören" also von draußen angesprochen werden.
Ich muss aber eben "anrufen" können und zwar vollautomatisch durch das Kaspersky Security Center.
Hat jemand eine Idee, wie man das einfach hinbekommt ?
Vielen Dank für Vorschläge.
miscmike
ich supporte verschiedene Kunden mit bestehenden LAN-LAN-Kopplungen via FritzBox (7490, FritzOS 7.01) .
Anwendungen sind z.B. Kaspersky-KSC Fernverwaltung.
Ich muss also von meinem lokalen Netzwerk auf verschiedene Netzwerke von Kunden kommen.
Und zwar ohne vorherige manuelle Verbindungsherstellung, VPN eben.
Die Gegenstellen (Kunden) sind alle durchgehend FritzBoxen.
Das klappt soweit auch prima, ich habe das momentan mit 9 (neun) Einträgen in der FritzBox hinbekommen.
Jetzt wollte ich zwei weitere VPN-Verbindungen hinzufügen. Die FritzOberfläche sagt nach dem Importieren der cfg-Datei "..korrekt.."
Via Pushservice bekomme ich von der Box auch die Meldung, das eine neue VPN-Verbindung hinzugefügt wurde.
ABER : Auf der entsprechenden Fritzoberfläche sehe ich keine weitere hinzugefügte Verbindung.
Kollisionen bei den DynDNS-Adressen sowie bei den fremden IP-Bereichen können ausgeschlossen werden.
Bei AVM auf den Support-Seiten steht, dass bis zu zwölf gleichzeitige Verbindungen laufen, dann wird es wegen Überlast evtl. zu Problemen führen.
Ich will aber deutlich weniger gleichzeitig nutzen, dafür aber mehr eintragen können.
Ich habe schon daran gedacht, einen VPN-Server (z.B. auf einer Synology) einzurichten, jedoch kann der ja nur "hören" also von draußen angesprochen werden.
Ich muss aber eben "anrufen" können und zwar vollautomatisch durch das Kaspersky Security Center.
Hat jemand eine Idee, wie man das einfach hinbekommt ?
Vielen Dank für Vorschläge.
miscmike
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 386843
Url: https://administrator.de/contentid/386843
Ausgedruckt am: 21.11.2024 um 10:11 Uhr
15 Kommentare
Neuester Kommentar
Ich les hier immer nur Fritz.
Wie heißt das gleich noch: Fischer Fritz fischt frische Fische ... .
Schnapp dir einen Mikrotik oder auch einen Raspi, und richte da die VPN-Endpunkte ein da hast du solche tollen Beschränkungen wie bei dem Fritten-Gemüse nicht. Für die VPN Subnetze dann statische Routen auf das Fritten-Gemüse mit GW (Raspi oder Mikrotik) gepackt und alle VPNs auf der Fritte rausschmeißen. Das mit Fritten zu realisieren ist Sicherheitstechnische Obergau, da verbreitet sich alles was bei dir im Netz so fleucht und kreucht bei all deinen Kunden ...
Wie heißt das gleich noch: Fischer Fritz fischt frische Fische ... .
Schnapp dir einen Mikrotik oder auch einen Raspi, und richte da die VPN-Endpunkte ein da hast du solche tollen Beschränkungen wie bei dem Fritten-Gemüse nicht. Für die VPN Subnetze dann statische Routen auf das Fritten-Gemüse mit GW (Raspi oder Mikrotik) gepackt und alle VPNs auf der Fritte rausschmeißen. Das mit Fritten zu realisieren ist Sicherheitstechnische Obergau, da verbreitet sich alles was bei dir im Netz so fleucht und kreucht bei all deinen Kunden ...
Ich habe schon daran gedacht, einen VPN-Server (z.B. auf einer Synology) einzurichten, jedoch kann der ja nur "hören" also von draußen angesprochen werden.
Im Hintergrund ist das auch nur ein Linux und damit lässt so ziemlich alles realisieren (z.B. mit Strongswan) wenn man kann und will.Ich muss also von meinem lokalen Netzwerk auf verschiedene Netzwerke von Kunden kommen.
Und zwar ohne vorherige manuelle Verbindungsherstellung,
Und zwar ohne vorherige manuelle Verbindungsherstellung,
Du bist permanent mit allen Kunden verbunden? Wie verhinderst Du dann den Zugriff von den Kunden untereinander?
Sehr gewagtes Spiel mit Fritzbox.
Ausserdem unprofessionell.
Gruß
Looser
Wie verhinderst Du dann den Zugriff von den Kunden untereinander?
Man kann ACLs setzen. Zumindest direkt in der .cfg Datei.
Ansonsten habt ihr beide aber Recht. Für solche Sachen ist die Fritzbox nicht geeignet.
ernsthaft jetzt? Sag mal - ich würde mal an deinem Konzept arbeiten, das was du da machst ist mit grosser Sicherheit das dümmste was du tun kannst.
a) wenn du permanent verbunden bist - dann brauche ich also nur deinen Rechner übernehmen und hey, mein Wurm, Virus, whatever hat gleich das grosse Gruppenfutter?
b) wenn du was testen willst und das geht schief reisst du im dümmsten Fall gleich Kundensysteme mit? (und sag jetzt nich das passiert nich, hat Android ja grad mal wieder vorgemacht mit Energiespar-Modi-Tests...)
Generell hat ein Dienstleister NUR dann eine Verbindung zum Kundensystem aufzunehmen wenn er den Kunden informiert hat UND dieser es genehmigt. Wir könnten uns jetzt noch unterhalten wie es bei nem "Notfall" (wie auch immer der aussehen mag) ist - ob sich ein Dienstleister dann ohne Informationen anmelden kann, aber permanent geht schon mal nicht. Und das ganze dient auch DEINER Absicherung: Wenn der Kunde deine Anmeldung freischalten und morgen irgendein Virus bei denen alles zerlegt kannst du dich zurücklehnen und nachweisen: Ihr habt mich nich freigeschaltet, ich kann den also nich ins Netz gebracht haben....
Und wenn du schon sowas machst - dann bitte nich mit ner Box die für Heimbetrieb gedacht is aber nicht für professionellen Einsatz... Dann setzte wenigstens nen richtiges VPN auf UND blocke mit einer richtigen Firewall alle Ports ausser z.B. den Web-Management-Port für deine Virenlösung... Wobei du bei mir als Dienstleister jetzt bereits geflogen wärst wenn du ne permanente Verbindung zu deinem Heimnetzwerk aufbaust und ich auch noch hören würde das du das mit anderen Kunden machst... Mit Datenschutz und Datensicherheit nimmst du es ja dann scheinbar nich so genau...
a) wenn du permanent verbunden bist - dann brauche ich also nur deinen Rechner übernehmen und hey, mein Wurm, Virus, whatever hat gleich das grosse Gruppenfutter?
b) wenn du was testen willst und das geht schief reisst du im dümmsten Fall gleich Kundensysteme mit? (und sag jetzt nich das passiert nich, hat Android ja grad mal wieder vorgemacht mit Energiespar-Modi-Tests...)
Generell hat ein Dienstleister NUR dann eine Verbindung zum Kundensystem aufzunehmen wenn er den Kunden informiert hat UND dieser es genehmigt. Wir könnten uns jetzt noch unterhalten wie es bei nem "Notfall" (wie auch immer der aussehen mag) ist - ob sich ein Dienstleister dann ohne Informationen anmelden kann, aber permanent geht schon mal nicht. Und das ganze dient auch DEINER Absicherung: Wenn der Kunde deine Anmeldung freischalten und morgen irgendein Virus bei denen alles zerlegt kannst du dich zurücklehnen und nachweisen: Ihr habt mich nich freigeschaltet, ich kann den also nich ins Netz gebracht haben....
Und wenn du schon sowas machst - dann bitte nich mit ner Box die für Heimbetrieb gedacht is aber nicht für professionellen Einsatz... Dann setzte wenigstens nen richtiges VPN auf UND blocke mit einer richtigen Firewall alle Ports ausser z.B. den Web-Management-Port für deine Virenlösung... Wobei du bei mir als Dienstleister jetzt bereits geflogen wärst wenn du ne permanente Verbindung zu deinem Heimnetzwerk aufbaust und ich auch noch hören würde das du das mit anderen Kunden machst... Mit Datenschutz und Datensicherheit nimmst du es ja dann scheinbar nich so genau...
So redet jeder der diese Marke eben noch nicht kennt. Die Jungs sind fitter als AVM jemals sein wird.
Jemand der sich mit der Schwachstelle, die übrigens schon seit Anfang des Jahres behoben ist, auseinandersetzt wird sehen, das die Lücke nur ausgenutzt werden kann wenn der Anwender nicht die richtigen Firewallregeln setzt und er primär dafür primär verantwortlich ist!! Hier wird wieder nur durch die Presse heiße Luft verbreitet die keine ist. Diese Geräte sollte man halt nur einsetzen wenn man auch wirklich weiß was man tut, denn damit kannst du in jeglichen Prozess genauestens eingreifen. Bei einer Fritte wird alles hinter einer Klicki Bunti GUI verborgen, meinst du das das mehr Vertrauen erweckt? Ich nicht!
Jemand der sich mit der Schwachstelle, die übrigens schon seit Anfang des Jahres behoben ist, auseinandersetzt wird sehen, das die Lücke nur ausgenutzt werden kann wenn der Anwender nicht die richtigen Firewallregeln setzt und er primär dafür primär verantwortlich ist!! Hier wird wieder nur durch die Presse heiße Luft verbreitet die keine ist. Diese Geräte sollte man halt nur einsetzen wenn man auch wirklich weiß was man tut, denn damit kannst du in jeglichen Prozess genauestens eingreifen. Bei einer Fritte wird alles hinter einer Klicki Bunti GUI verborgen, meinst du das das mehr Vertrauen erweckt? Ich nicht!
weiß nicht, ob das nun wirklich gegenüber der FritzBox so viel sicherer ist.
Der Anwender ist an dieser Lücke primär die Schwachstelle! Wenn er die Türe offen stehen lässt muss er sich nicht wundern wenn er Besuch bekommt.Kannst Du genauere Infos dazu geben ? ggf. per PN ?
Gerne. "..Für die VPN Subnetze dann statische Routen auf das Fritten-Gemüse mit GW (Raspi oder Mikrotik) gepackt und alle VPNs auf der Fritte rausschmeißen..."
Kriegst Du das auch in verständlicher Sprache hin ?
Nun, der Mikrotik hinge dann in deinem Netzwerk, damit nun die Pakete den Weg zum Kunden finden muss die Fritzbox ja wissen wohin sie die Pakete des jeweiligen Subnetzes schicken soll und da springen dann die statischen Routen ein wenn du den Mikrotik nicht als Default GW nutzen willst. Das sind eigentlich Routing-Grundlagen die wir hier eigentlich nicht nochmal durchkauen müssen.Kriegst Du das auch in verständlicher Sprache hin ?
@137084, ich weiss nicht, ob Mikrotik das richtige ist, aber ich habe das Gefühl, dass so oder so Hopfen und Malz verloren ist.
@maretz: Je nach dem, wie die Kundenverträge aufgebaut sind. Pauschal ist, wie meist, das dümmste.
@maretz: Je nach dem, wie die Kundenverträge aufgebaut sind. Pauschal ist, wie meist, das dümmste.
Zitat von @certifiedit.net:
@137084, ich weiss nicht, ob Mikrotik das richtige ist, aber ich habe das Gefühl, dass so oder so Hopfen und Malz verloren ist.
Offensichtlich, wenn man schon "Fritzbox" und "Kaspersky" liest drängt sich das einem förmlich auf.@137084, ich weiss nicht, ob Mikrotik das richtige ist, aber ich habe das Gefühl, dass so oder so Hopfen und Malz verloren ist.
Zitat von @miscmike:
Also bitte, ohne die nötigen Hintergrundinformationen hier so einen Bullshit zu vermuten - das sagt vieles über die Qualität solcher Foren aus. Ich bereue schon jetzt, dass ich hier gefragt und konstruktive Antworten erhofft habe.
Also bitte, ohne die nötigen Hintergrundinformationen hier so einen Bullshit zu vermuten - das sagt vieles über die Qualität solcher Foren aus. Ich bereue schon jetzt, dass ich hier gefragt und konstruktive Antworten erhofft habe.
Nein,
das sagt nur, daß den Leuten hier zu wenig Kontext gegeben wurde und da wir hier öfter "Freizeitadmins", die mit infos, die sie hier "abgreifen", Geld zu machen versuchen haben, schrillen bei den Leuten halt die Alarmglocken. Und "Fritzbox" triggert halt recht schnell die Einordung in "freizeitadmin".
Und Du solltest nicht jedes Wort auf die Goldwaage legen, wenn Du sachlich und höflich bleibst findet sich sicher einer der Dir hilft.
zu Deinem Problem:
ich würde an Deienr stelle einfach mal den AVM-.Support fragen, wenn Du es wirklich mi der Fritzbox lösen willst. Ansonsten würde ich Dein Problem mit einem extra VPN-Server lösen, z.B. ein Alix-Board mit passender Software. Auch wenn ich selber oft Fritzboxen zu Kunden reinstelle, würde ich für Deien Anwendungsfall nicht das VPN Deiner Fritzbox nutzen.
lks
Hi
Also wir verwenden für alle Kunden Fortinet (Fortigate) die gibt es in entsprechenden grössen und sind recht einfach und übersichtlich einzurichten. Du brauchst hier auch keine VPN Lizenzen oder ähnliches. Was die Box Leistungstechnisch hinbekommt das kannst du auch einrichten.
Wir haben hier kunden mit 110 VPN Verbindungen davon 30 - 50 gleichzeitig und haben keine Probleme.
https://www.fortinet.com/products/next-generation-firewall/chassis.html
Als beispiel hier eine 80E
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGa ...
Sie kann 200 SSL VPN Verbindungen.
Natürlich hat sie auch entsprechnede Security features. Mit Forti APs kann sie auch als WFI Controller verwendet werden.
PS: Selbst eine kleine 50E kann schon 200 IPsec VPNs
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGa ...
Wichtig ist aber je mehr Security Features du verwenden möchtest desto höher solltest du die Leistung auslegen.
LG Andy
Also wir verwenden für alle Kunden Fortinet (Fortigate) die gibt es in entsprechenden grössen und sind recht einfach und übersichtlich einzurichten. Du brauchst hier auch keine VPN Lizenzen oder ähnliches. Was die Box Leistungstechnisch hinbekommt das kannst du auch einrichten.
Wir haben hier kunden mit 110 VPN Verbindungen davon 30 - 50 gleichzeitig und haben keine Probleme.
https://www.fortinet.com/products/next-generation-firewall/chassis.html
Als beispiel hier eine 80E
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGa ...
Sie kann 200 SSL VPN Verbindungen.
Natürlich hat sie auch entsprechnede Security features. Mit Forti APs kann sie auch als WFI Controller verwendet werden.
PS: Selbst eine kleine 50E kann schon 200 IPsec VPNs
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGa ...
Wichtig ist aber je mehr Security Features du verwenden möchtest desto höher solltest du die Leistung auslegen.
LG Andy