duffy6
Goto Top

Telnet-Session Port 1012 im Fritzbox VPN

Hallo zusammen,

ich habe eine remote-Fritzbox 7490 mit v7.57 (192.168.178.1), die per Fritzbox-LAN-CLIENT-IP_SEC-VPN (also NICHT LAN-LAN-Kopplung) an meine local-Fritzbox (192.168.133.1) angebunden bist:

https://avm.de/service/vpn/fritzbox-mit-einem-firmen-ipsec-vpn-verbinden ...

Ich möchte auf der Fritzbox per Telnetbefehl den Callmonitor beobachten:

telnet <fritzbox_**local_ip**> 1012


Das klappt auf meiner lokalen Fritzbox wunderbar, d.h. ich erhalte folgende Meldung bei eingehenden Anrufen:

01.12.23 11:19:35;RING;0;0621XXXXX;93XXXX;SIP3;
01.12.23 11:19:37;DISCONNECT;0;0;

Führe ich denselben Befehls für die remote-fritzbox auf:

telnet <fritzbox_**remote_ip**> 1012


erhalte ich nur manchmal die Meldung eingeganger Anrufe. Ich bin am verzweifeln. Wie kann das sein?


Viele Grüße
duffy6

Content-Key: 83459768512

Url: https://administrator.de/contentid/83459768512

Printed on: February 29, 2024 at 22:02 o'clock

Member: aqui
aqui Dec 08, 2023 updated at 12:01:16 (UTC)
Goto Top
Nur mal nebenbei OT gefragt:
Gibt es einen triftigen Grund warum du diesen eigentlich überflüssigen Frickelkram mit einer VPN Firmenanbindung für fremde Firewalls mit IPsec/Xauth machst und nicht beide Fritzboxen mit einer klassischen LAN-LAN Kopplung koppelst wie es ja in der Regel zw. 2 FBs üblich ist?? Damit wäre das o.a. Problem obsolet. Übrigens ist das IPsec/Xautch Verfahren ebenso eine LAN-LAN Kopplung.
https://avm.de/service/vpn/ipsec-vpn-zwischen-zwei-fritzbox-netzwerken-e ...
Site to Site Netzwerk mit Fritzboxen (gemeinsame Netzwerkumgebung)

Ggf. ist auch das hier eine Alternative statt Telnet:
Powershell: FritzBox über TR-064 im Netzwerk konfigurieren und auslesen
Member: duffy6
duffy6 Dec 08, 2023 at 12:35:08 (UTC)
Goto Top
Ich möchte nicht, dass die remote Fritzbox Zugriff auf mein lokales Netz hat - daher die etwas umständliche Lösung.

Mit Hausmitteln von AVM ist es nicht möglich, dass ich alles sperre außer eine bestimmte IP und einen bestimmten Port, oder?
Also in diesem Fall Port 1012.

TR-064 hatte ich auch schon überlegt, aber soweit ich rausgefunden hab, ist es nicht möglich in Realtime zu sehen, ob ein Anruf eingeht.
Member: aqui
aqui Dec 08, 2023 updated at 12:52:40 (UTC)
Goto Top
Ich möchte nicht, dass die remote Fritzbox Zugriff auf mein lokales Netz hat
Das stellt man bekanntlich immer in den Phase 2 Settings der FritzBox VPN Konfig Datei ein!!

phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.178.1 255.255.255.255";


Statt der Netzwerk Adresse die das gesamte Netz freigibt konfiguriert man dort dann schlicht und einfach eine Hostadresse (/32er Prefix) nämlich die der Fritzbox! Folglich geht dann nur Traffic zur FB in den VPN Tunnel und fertig ist der Lack. (Guckst du u.a. auch hier)
Gewusst wie!! 😉

Deine Theorie mit IPsec/Xauth wäre ja auch unsinnig, denn was sollte so ein Firmensetup bringen wenn man dann einzig nur auf die Firmen Firewall zugreifen könnte aber nicht auf das Netzwerk dahinter?! Damit wäre ein VPN absurd. Xauth ist lediglich ein anderes Authentisierungsverfahren ändert aber an der LAN-LAN VPN Kopplung nichts.
Mitglied: 8030021182
8030021182 Dec 08, 2023 updated at 15:24:02 (UTC)
Goto Top
Hi.
Ich tippe mal auf die Telnet-Anwendung selbst die verhält sich je nach Bedingung äußerst seltsam. Nimm dir deswegen als erstes Wireshark zur Hand und prüfe was tatsächlich auf der Leitung an Daten fließt, bevor du dich durch die Anwendung täuschen lässt.

Alternativ probier es mal mit einem TCP-Client oder Putty & Co statt dem steinalten telnet in Windows.

Gruß Katrin
Member: duffy6
duffy6 Dec 08, 2023 updated at 18:59:18 (UTC)
Goto Top
Das hört sich viel einfach an, als das was ich da treibe.

phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.178.1 255.255.255.255";

Ich habe allerdings das Problem, dass ich mich mit diesen Firewall-Regeln kaum auskenne.

Mit welchen Regeln würde ich denn erreichen, dass aus dem Remote-Netz (192.168.180.0) kein Zugriff auf mein lokales Netz möglich (192.168.133.0) ist, ABER ich aus dem lokalen Netz VOLLZUGRIFF habe auf das Remote-Netz??


Der Internet-Traffic aus dem Remote-Netz soll aber nicht durch mein lokales Netz laufen.

Das kriege ich leider nicht alleine hin.

Grüße
duffy6
Member: aqui
aqui Dec 11, 2023 updated at 17:05:00 (UTC)
Goto Top
Ich habe allerdings das Problem, dass ich mich mit diesen Firewall-Regeln kaum auskenne.
Das muss man auch gar nicht, denn sie erklären sich durch ihre eigene Syntax auch einem Laien ja von selber:
"permit ip any 192.168.178.1 255.255.255.255"

Erlaube (permit) ip (ip) Traffic von überallher (any) auf die Zieladresse 192.168.178.1 mit einer Netzwerkmaske von 255.255.255.255

Dafür reicht eigentlich nur einfaches Lesen... face-wink
Der Internet-Traffic aus dem Remote-Netz soll aber nicht durch mein lokales Netz laufen.
Das tut er ja bei einm VPN auch gar nicht! Zumal auch die Fritzbox sowieso nur Split Tunneling im VPN supportet. Gateway Redirect kann sie gar nicht.

Wenn es das denn nun war bitte nicht vergessen deinen Thread hier dann auch als erledigt zu markieren!