Ankündigung

Einklappen
Keine Ankündigung bisher.

VPN Zugriff auf einzelne IPs begrenzen hinter Fritzbox?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    [Netzwerk] VPN Zugriff auf einzelne IPs begrenzen hinter Fritzbox?

    Hallo,

    ausgehend von aktuell bekannt gewordenen Sicherheitslücken bei der Nutzung von Portforwarding in Routern bei einem Zugriff von extern auf Geräte im "Intranet" bin ich nun beim Thema VPN gelandet.

    Hintergrund sind mehrere Geräte im heimischen LAN (IP-Cams, Beregnungsanlage etc.), auf die ich mobil von unterwegs per Android-Handy gerne zugreifen möchte.

    Einen VPN-Tunnel vom Handy zur Fritzbox 7490 ist eingerichtet (über den Myfritz-Dienst), ein unmanaged Switch ist im Netzwerk, funktioniert auch alles wunderbar...nur:

    Wie begrenze ich denn den Zugriff auf einzelne Geräte? Per VPN kann ich ja alle Geräte (bzw. IP-Adressen) ansprechen, wie wenn ich im heimischen Netz wäre...das möchte ich eigentlich nicht.
    Beispiel: mein NAS soll von außen oder per VPN überhaupt nicht sichtbar sein und ich möchte einzelnen Nutzern auch nur bestimmte Geräte "anbieten". Beim alten, unsicheren Portforwarding konnte ich ja einfach die Ports auf bestimmte IP-Adressen umleiten...

    Hat da jemand einen Tipp?
    Viele Grüße,
    Stefan

    DIY-Bastelprojekte: || >> Smelly One << || >> BURLI << ||

    #2
    VLAN über den Switch?
    Gruß Matthias
    EIB übersetzt meine Frau mit "Ehepaar Ist Beschäftigt"
    - PN nur für PERSÖNLICHES!

    Kommentar


      #3
      Hallo Matthias,

      was müsste ich denn da tun? Neuen Switch kaufen?

      Ich bin dahingehend leider DAU, ich kann besser mit dem Lötkolben umgehen als mit der Maus :-)
      Viele Grüße,
      Stefan

      DIY-Bastelprojekte: || >> Smelly One << || >> BURLI << ||

      Kommentar


        #4
        Hey Stefan!

        Das geht, wenn man die Konfigurationsdatei für die Fritzbox manuell ändert und dann hochlädt.
        Hiermit sollte das eingewählte Gerät die Adresse 192.168.1.3 erhalten und nur auf 192.168.1.2 zugreifen können (Konfiguration für ein iPhone):
        vpncfg {
        connections {
        enabled = yes;
        conn_type = conntype_user;
        name = "VPN1";
        always_renew = no;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;
        remote_virtualip = 192.168.1.3;
        remoteid {
        key_id = "KeyID";
        }
        mode = phase1_mode_aggressive;
        phase1ss = "all/all/all";
        keytype = connkeytype_pre_shared;
        key = "KeyPreShared";
        cert_do_server_auth = no;
        use_nat_t = yes;
        use_xauth = yes;
        xauth {
        valid = yes;
        username = "User";
        passwd = "Passwort";
        }
        use_cfgmode = yes;
        phase2localid {
        ipnet {
        ipaddr = 0.0.0.0;
        mask = 0.0.0.0;
        }
        }
        phase2remoteid {
        ipaddr = 192.168.1.3;
        }
        phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
        accesslist = "permit ip 192.168.1.2 255.255.255.255 192.168.1.3 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
        "udp 0.0.0.0:4500 0.0.0.0:4500";
        }
        Gruß, Marc

        Kommentar


          #5
          Hallo Marc,

          vielen Dank für den Tipp!

          Da muss ich mich wohl erstmal einlesen...grundsätzlich verstanden habe ich das wohl. Ich nutze aber aktuell den MyFritz-Dienst, da musste ich zum Thema VPN bisher keine .cfg importieren und ich weiß nicht, ob dazu überhaupt eine automatisch erstellt wurde....liegt die irgendwo in der Fritzbox ab?
          Viele Grüße,
          Stefan

          DIY-Bastelprojekte: || >> Smelly One << || >> BURLI << ||

          Kommentar


            #6
            Hey Stefan!

            Für das einfache Erstellen gibt es ein Tool auf der AVM Site (http://avm.de/service/vpn/uebersicht/).
            Hier das Tool "Fernzugang einrichten" verwenden und nicht direkt in der Fritzbox-Oberfläche einrichten.

            Ansonsten kannst du das Beispiel in eine Datei schreiben, die IPs, IDs und Kennwörter anpassen und in der Fritzbox und VPN hochladen.
            Dann solltest du dich mit einem iGerät per IPsec verbinden können.
            Gruß, Marc

            Kommentar


              #7
              Hallo Marc,

              danke für die Info!

              Ich muss zugeben, dass das schon ein riesen Aufwand ist...und ich fürchte, ich habe in einem halben Jahr wieder vergessen wie das funktioniert und fange wieder bei Null an .-(

              Ich hole als letzten Hoffnungsschimmer doch nochmal das Thema Port Forwarding hoch, vielleicht kann mir ein IT-Profi ein paar Fragen beantworten:

              - Wäre es ein merklicher Sicherheitsgewinn, wenn ich von extern nicht den Port 80 des betroffenen Gerätes zur Einwahl verwende, sondern z.B. den Port 63465 und diesen in der Fritzbox intern auf Port 80 umleite? Ich denke da an Standard-Portscans von außen auf bekannte offenen Türen etc., außerdem wechselt die Fritzbox ja alle 24h die IP-Adresse und das ergibt einen "Zeitgewinn"?

              - Kann ein Angreifer tatsächlich im internen LAN rumpfuschen, auch wenn nur ein einzelnes Gerät z.B. über Port 80 "gehackt" ist? Oder doch nur am Gerät selbst Schaden anrichten?

              - ein "starkes" Passwort, hat das Einfluss auf eine Attacke oder läuft das daran "vorbei"?

              Vielen Dank für Eure Hilfe!
              Viele Grüße,
              Stefan

              DIY-Bastelprojekte: || >> Smelly One << || >> BURLI << ||

              Kommentar


                #8
                Securuity by obscurity ist niemals zu empfehlen. Weist Du ob nicht irgendwelche Scriptkiddis gerade nach Port 63465 scannen? Die Angreifer nutzen meist nicht dein Passwort, sondern Sicherheitslücken in den Geräten selbst. So wie es letztens bei Synology vorgekommen ist. Dein Passwort ist an der Stelle denen völlig egal. Ist das Gerät erstmal infiziert kann es evtl nach Hause telefonieren, und der Angreifer hat immer deine aktuelle IP. Je nach Sicherheit in deinem LAN (VLAN etc) kann er sich dann auch in deinem Netzwerk austoben. Ich hoffe Du siehst das es nicht unbedingt eine gute Idee ist. (Masochisten vielleicht mal ausgenommen). Beschäftige Dich lieber mit dem VPN.

                Kommentar


                  #9
                  Danke Micha für die Einschätzung und Erklärung!

                  Ich habs befürchtet...so ein Mist. Gibt es für einen Normal-EDV-Anwender wie mich weitere Möglichkeiten (von der manuellen VPN-Parameteränderung an der Fritzbox mal abgesehen), einfach und unkompliziert da Sicherheit reinzubringen und gleichzeitig den Zugriff auf einzelne IPs zu verwalten? Ein "spezieller", zwischen Fritzbox und Endgeräten installierter Switch vielleicht? Gibts da eine Empfehlung?
                  Viele Grüße,
                  Stefan

                  DIY-Bastelprojekte: || >> Smelly One << || >> BURLI << ||

                  Kommentar


                    #10
                    Zitat von dreamy1 Beitrag anzeigen
                    Ein "spezieller", zwischen Fritzbox und Endgeräten installierter Switch vielleicht?
                    Du benötigst einen vernünftigen Router/Firewall mit Port-Filter. Dann kannst die Fritzbox prinzipiell aber gleich in die Tonne treten bzw. zum Modem oder Telefonie-Gateway degradieren.

                    Kommentar


                      #11
                      Ok ok...danke. Werde ich mal mit den Konfig-Dateien auseinandersetzen und schauen, dass mein MeinFritz-Zugang dabei erhalten bleibt :-)
                      Viele Grüße,
                      Stefan

                      DIY-Bastelprojekte: || >> Smelly One << || >> BURLI << ||

                      Kommentar


                        #12
                        Zitat von dreamy1 Beitrag anzeigen
                        Ok ok...danke. Werde ich mal mit den Konfig-Dateien auseinandersetzen und schauen, dass mein MeinFritz-Zugang dabei erhalten bleibt :-)
                        Hi,
                        ich würde den (älteren) Beitrag gerne noch mal ausgraben - stehe vor dem gleichen Problem, hast Du ggf. eine Lösung gefunden?

                        In meiner aktuellen Konfiguration kann der VPN-User (mit 192.168.178.31) nach erfolgter VPN-Verbindung auf jede IP zugreifen ("permit ip any..."):
                        accesslist =
                        "permit ip 192.168.178.0 255.255.255.0 192.168.178.31 255.255.255.255",
                        "permit ip any 192.168.178.31 255.255.255.255";


                        Ändere ich die Einträge unter accesslist nun wie folgt, würde ich erwarten, dass der VPN-Client mit der 192.168.178.31 nur auf die IP 192.168.178.76 zugreifen kann - leider kommt aber keine Verbindung zustande, wenn ich den Eintrag wie folgt wähle:
                        accesslist =
                        "permit ip 192.168.178.76 255.255.255.0 192.168.178.31 255.255.255.255";


                        Der AVM-Support kann hier nach eigener Aussage nicht weiterhelfen (was ich eher verwunderlich finde), deswegen hier nochmal der Versuch.
                        Danke vorab!

                        Kommentar


                          #13
                          Mir kommt die Subnetz-Maske merkwürdig vor. Sollte das nicht
                          accesslist =
                          "permit ip 192.168.178.76 255.255.255.0 192.168.178.31 255.255.255.0";
                          sein?

                          Kommentar


                            #14
                            Ich kann leider nicht helfen, für mich ist das Thema leider weiterhin ungelöst.
                            Viele Grüße,
                            Stefan

                            DIY-Bastelprojekte: || >> Smelly One << || >> BURLI << ||

                            Kommentar


                              #15
                              Einfache Lösung: Stichwort "DMZ"
                              Hinter dem 1'ten Router ( Fritzbox ) muß ein 2'ter Router kommen. ( der zweite Router hat dann ein eigenen IP-Bereich )

                              Wer am 2'ten Router angeschlossen ist erreicht auch alles im IP-Bereich des 1'ten Router.
                              Wer am 1'ten Router angeschlossen ist kommt - ohne Port-Weiterleitung - nicht in das Netz vom 2'ten Router.

                              Wurde schon öfter in der CT beschrieben.

                              Muß ich bei mir auch noch umsetzen.
                              Gruß, JG

                              Kommentar

                              Lädt...
                              X