VLAN über den Switch?

Hallo Matthias,

was müsste ich denn da tun? Neuen Switch kaufen?

Ich bin dahingehend leider DAU, ich kann besser mit dem Lötkolben umgehen als mit der Maus :-)

Hey Stefan!

Das geht, wenn man die Konfigurationsdatei für die Fritzbox manuell ändert und dann hochlädt.
Hiermit sollte das eingewählte Gerät die Adresse 192.168.1.3 erhalten und nur auf 192.168.1.2 zugreifen können (Konfiguration für ein iPhone):
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "VPN1";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.1.3;
remoteid {
key_id = "KeyID";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "KeyPreShared";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
xauth {
valid = yes;
username = "User";
passwd = "Passwort";
}
use_cfgmode = yes;
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.1.3;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist = "permit ip 192.168.1.2 255.255.255.255 192.168.1.3 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

Hallo Marc,

vielen Dank für den Tipp!

Da muss ich mich wohl erstmal einlesen...grundsätzlich verstanden habe ich das wohl. Ich nutze aber aktuell den MyFritz-Dienst, da musste ich zum Thema VPN bisher keine .cfg importieren und ich weiß nicht, ob dazu überhaupt eine automatisch erstellt wurde....liegt die irgendwo in der Fritzbox ab?

Hey Stefan!

Für das einfache Erstellen gibt es ein Tool auf der AVM Site (http://avm.de/service/vpn/uebersicht/).
Hier das Tool "Fernzugang einrichten" verwenden und nicht direkt in der Fritzbox-Oberfläche einrichten.

Ansonsten kannst du das Beispiel in eine Datei schreiben, die IPs, IDs und Kennwörter anpassen und in der Fritzbox und VPN hochladen.
Dann solltest du dich mit einem iGerät per IPsec verbinden können.

Hallo Marc,

danke für die Info!

Ich muss zugeben, dass das schon ein riesen Aufwand ist...und ich fürchte, ich habe in einem halben Jahr wieder vergessen wie das funktioniert und fange wieder bei Null an .-(

Ich hole als letzten Hoffnungsschimmer doch nochmal das Thema Port Forwarding hoch, vielleicht kann mir ein IT-Profi ein paar Fragen beantworten:

- Wäre es ein merklicher Sicherheitsgewinn, wenn ich von extern nicht den Port 80 des betroffenen Gerätes zur Einwahl verwende, sondern z.B. den Port 63465 und diesen in der Fritzbox intern auf Port 80 umleite? Ich denke da an Standard-Portscans von außen auf bekannte offenen Türen etc., außerdem wechselt die Fritzbox ja alle 24h die IP-Adresse und das ergibt einen "Zeitgewinn"?

- Kann ein Angreifer tatsächlich im internen LAN rumpfuschen, auch wenn nur ein einzelnes Gerät z.B. über Port 80 "gehackt" ist? Oder doch nur am Gerät selbst Schaden anrichten?

- ein "starkes" Passwort, hat das Einfluss auf eine Attacke oder läuft das daran "vorbei"?

Vielen Dank für Eure Hilfe!

Securuity by obscurity ist niemals zu empfehlen. Weist Du ob nicht irgendwelche Scriptkiddis gerade nach Port 63465 scannen? Die Angreifer nutzen meist nicht dein Passwort, sondern Sicherheitslücken in den Geräten selbst. So wie es letztens bei Synology vorgekommen ist. Dein Passwort ist an der Stelle denen völlig egal. Ist das Gerät erstmal infiziert kann es evtl nach Hause telefonieren, und der Angreifer hat immer deine aktuelle IP. Je nach Sicherheit in deinem LAN (VLAN etc) kann er sich dann auch in deinem Netzwerk austoben. Ich hoffe Du siehst das es nicht unbedingt eine gute Idee ist. (Masochisten vielleicht mal ausgenommen). Beschäftige Dich lieber mit dem VPN.

Danke Micha für die Einschätzung und Erklärung!

Ich habs befürchtet...so ein Mist. Gibt es für einen Normal-EDV-Anwender wie mich weitere Möglichkeiten (von der manuellen VPN-Parameteränderung an der Fritzbox mal abgesehen), einfach und unkompliziert da Sicherheit reinzubringen und gleichzeitig den Zugriff auf einzelne IPs zu verwalten? Ein "spezieller", zwischen Fritzbox und Endgeräten installierter Switch vielleicht? Gibts da eine Empfehlung?

Du benötigst einen vernünftigen Router/Firewall mit Port-Filter. Dann kannst die Fritzbox prinzipiell aber gleich in die Tonne treten bzw. zum Modem oder Telefonie-Gateway degradieren.

Ok ok...danke. Werde ich mal mit den Konfig-Dateien auseinandersetzen und schauen, dass mein MeinFritz-Zugang dabei erhalten bleibt :-)

Hi,
ich würde den (älteren) Beitrag gerne noch mal ausgraben - stehe vor dem gleichen Problem, hast Du ggf. eine Lösung gefunden?

In meiner aktuellen Konfiguration kann der VPN-User (mit 192.168.178.31) nach erfolgter VPN-Verbindung auf jede IP zugreifen ("permit ip any..."):
accesslist =
"permit ip 192.168.178.0 255.255.255.0 192.168.178.31 255.255.255.255",
"permit ip any 192.168.178.31 255.255.255.255";


Ändere ich die Einträge unter accesslist nun wie folgt, würde ich erwarten, dass der VPN-Client mit der 192.168.178.31 nur auf die IP 192.168.178.76 zugreifen kann - leider kommt aber keine Verbindung zustande, wenn ich den Eintrag wie folgt wähle:
accesslist =
"permit ip 192.168.178.76 255.255.255.0 192.168.178.31 255.255.255.255";


Der AVM-Support kann hier nach eigener Aussage nicht weiterhelfen (was ich eher verwunderlich finde), deswegen hier nochmal der Versuch.
Danke vorab!

Mir kommt die Subnetz-Maske merkwürdig vor. Sollte das nicht
sein?

Ich kann leider nicht helfen, für mich ist das Thema leider weiterhin ungelöst.

Einfache Lösung: Stichwort "DMZ"
Hinter dem 1'ten Router ( Fritzbox ) muß ein 2'ter Router kommen. ( der zweite Router hat dann ein eigenen IP-Bereich )

Wer am 2'ten Router angeschlossen ist erreicht auch alles im IP-Bereich des 1'ten Router.
Wer am 1'ten Router angeschlossen ist kommt - ohne Port-Weiterleitung - nicht in das Netz vom 2'ten Router.

Wurde schon öfter in der CT beschrieben.

Muß ich bei mir auch noch umsetzen.