FritzBox 7490 als VPN-Client - Zugriff nur dieser einen Box erlauben

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
johoLance
Beiträge: 7
Registriert: 26 Mai 2020, 19:16

FritzBox 7490 als VPN-Client - Zugriff nur dieser einen Box erlauben

Beitrag von johoLance »

Hallo,
mit viel Gefrickel habe ich mein Wunschszenario zum Laufen gebracht: Zugriff auf Lancom883+ per VPN mit FritzBox7490. (Die Fritte schafft dabei die Möglichkeit, mit der daran angeschlossenen Telefonie-Hardware die TK im Lancom-Netzwerk zu nützen, deshalb bevorzuge ich den Zugriff der ganzen Box gegenüber einem PC-Client).

Was mich etwas stört ist, dass damit sämtliche zugangsrelevanten Daten in der .cfg der FritzBox gespeichert sind. Falls jemand die Konfiguration auslesen könnte, hat er mit jeder beliebigen Fritz Zugriff aufs Lancom-Netz, oder? (Ok, ist vielleicht nicht allzu wahrscheinlich - vernünftiges Pw und zusätzliche Sicherheitsabfrage der FritzBox nutze ich, Zugriff über Web ist deaktiviert).

Ich stelle mir vor, dass es doch möglich sein müsste, den VPN-Tunnel seitens des Lancom auf diese ganz konkrete Box oder ihre Adresse zu beschränken (eine dyn-DNS-Adresse für die Box habe ich). Es ist mir aber nicht klar, wo/wie ich das einstellen könnte. Wäre sehr nett, wenn mir jemand die Tomaten von den Augen nimmt.

Die Box läuft mit OS 7.21, Lancom mit 10.40.
Die Verbindung wird von der FritzBox im aggressive Mode aufgebaut, (IKE SA: DH14/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA1/LT-3600)

Dankeschön

C.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: FritzBox 7490 als VPN-Client - Zugriff nur dieser einen Box erlauben

Beitrag von backslash »

Hi johoLance,

du kannst im LANCOM natürlich den Dyn-DNS-Namen bei der VPN-Verbindung angeben - aber das hilft dir letztendlich auch nicht weiter, denn wenn jemand die Konfig aus der Fritzbox klaut, dann hat er auch die DynDNS-Daten der Fritzbox mitgeklaut...

Gruß
Backslash
johoLance
Beiträge: 7
Registriert: 26 Mai 2020, 19:16

Re: FritzBox 7490 als VPN-Client - Zugriff nur dieser einen Box erlauben

Beitrag von johoLance »

Hallo,
danke fürs Mitdenken. Die öffentliche IP der Box ließe sich aber, wennich richtig denke, woanders nur "nützen", wenn man auch noch das auf entsprechende Konto Zugriff hätte, oder? Insofern wäre das schon ein zusätzliches Element Sicherheit. An welcher Stelle muss ich die Adresse im Lancom eintragen?

Danke
C
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: FritzBox 7490 als VPN-Client - Zugriff nur dieser einen Box erlauben

Beitrag von backslash »

Hi johoLance
Die öffentliche IP der Box ließe sich aber, wennich richtig denke, woanders nur "nützen", wenn man auch noch das auf entsprechende Konto Zugriff hätte, oder?
Derjenige, der VPN-Zugangsdaten aus deiner Fritzbox klaut, klaut auch einfach die dyn-DNS-Zugangsdaten aus der Fritzbox mit. Wenn er dein VPN angreifen will, dann hat er damit alles, was er braucht, um die Pseudo-Sicherung mit dem dyn-DNS-Namen im VPN auszuhebeln: Er meldet sich mit den dyn-dns Zugangsdaten beim dyn-Dns-Dienst an und hat somit die Adresse, die du im VPN als vermeindliche Sicherung eingetragen hast...
BTW: Wenn der Angreifer es schon in deine Fritzbox geschafft hat, dann ist eigentlich schon alles zu spät...
Insofern wäre das schon ein zusätzliches Element Sicherheit
eben nicht (s.o.)...
An welcher Stelle muss ich die Adresse im Lancom eintragen?
na da, wo die VPN-Gegenstelle definiert ist (VPN -> IKEv1 -> Verbindungliste -> <Verbindung> -> Gateway)

Gruß
Backslash
Antworten