VPN Main Mode Lancom zu Fritzbox mit nur einseitigem Aufbau?

[ramses002]

Hallo,
ich würde gerne ein Netz hinter einer Fritzbox von allen Rechnern hinter meinem Lancom erreichen. Für LAN-LAN-Kopplung ist ja anscheinend VPN im Main Mode die erste Wahl. Habe ich nach etlichen Versuchen inzwischen auch funktionsfähig hingekriegt, beide Seiten bauen sofort die Verbindung auf.

Allerdings wäre es für mich sehr wünschenswert, wenn der VPN-Aufbau ausschließlich vom Lancom aus ausgelöst werden könnte, also vom Fritzbox-Netz kein Zugriff auf mein Netz möglich ist. Lässt sich so was über die Fritzbox cfg oder die Lancom Einstellungen einrichten? Am besten als Konfiguration und nicht als Firewall-Regel.

Ich nehme mal an, in der Fritzbox cfg müsste in dieser Sequenz was geändert werden

Code: Alles auswählen

phase2localid {
    ipnet {
        ipaddr = 10.0.2.0;
        mask = 255.255.255.0;
    }
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 10.0.1.0 255.255.255.0";

Leider baut aber mit einem Eintrag

Code: Alles auswählen

accesslist = "permit ip any 10.0.1.1 255.255.255.255“;

(m.E. sollte dann nur der Lancom selbst zu sehen sein) überhaupt keine Verbindung vom Lancom aus mehr auf.
Würde mich über Lösungsvorschläge sehr freuen.

[mme]

Hallo ramses002,

es scheint mir so, als wenn man hier zwischen dem Aufbau der VPN-Verbindung und der Übertragung von Daten dadurch unterscheiden sollte.

Nehmen wir mal an, nur der Lancom kann die VPN-Verbindung aufbauen. Es möge mich jemand korrigieren, wenn ich falsch liege. So wie ich das verstehe, verhindert das nicht, dass Datenpakete vom Netz hinter der FritzBox zum Netz hinter dem Lancom übertragen werden können. Sonst wären ja nur "Monologe" möglich. Ebenso erkenne ich auch nicht, wie die einseitige Aufbarkeit der VPN-Verbindung das Aufbauen von Sessions (z. B. TCP-Verbindungen) vom Netz hinter der FritzBox aus zum Netz hinter dem Lancom verhindern könnte. Die einzige Beschränkung der Datenübertragung über VPN erkenne ich in diesem Szenario darin, dass das Netz hinter der FritzBox keine Daten zum Netz hinter dem Lancom schicken kann, wenn noch keine VPN-Verbindung aufgebaut ist.

Wie ist jetzt die folgende Aussage gemeint?

Leider baut aber mit einem Eintrag ... überhaupt keine Verbindung vom Lancom aus mehr auf.

Ist damit die Übertragung von Daten über das VPN oder der Aufbau der VPN-Verbindung vermeint? Ist mit dem Lancom der Lancom-Router oder ein Rechner im Netz hinter dem Lancom-Router gemeint?

Ich vermute, dass die accesslist bei den FritzBoxen in Firewallregeln überführt wird und steuert, was über die VPN-Verbindung übertragen werden kann. Die Syntax von accesslists und internen Firewallregeln ist zumindest recht ähnlich. Unter http://blog.schmidt.ps/2007/05/30/die-i ... -firewall/ ist ein schöner Beitrag zu den Firewall-Regeln der FritzBox zu finden. Ich könnte mir vorstellen, dass mit connection incoming-related das gewünschte Verhalten ermöglicht werden könnte. Ausprobiert habe ich sowas zwar bisher nicht, aber einen Versuch könnte es wert sein. Die accesslist würde dann etwa so aussehen:

Code: Alles auswählen

permit ip any 10.0.1.0 255.255.255.0 connection incoming-related

Ebenso kann man natürlich auch auf der Lancom-Seite bei der Firewall ansetzen.

[cpuprofi]

Hallo ramses002,

mich würde das von Dir in der Fritz!Box verwendete Script interessieren. Ich bekomme nur "stabile" VPN-Verbindungen per agressive Mode hin. Main Mode funktioniert bei mir nicht "richtig" mit den Fritz!Boxen.

Bitte nenne auch zu welchem Fritz!Box (Modell und FW Version) die VPN-Verbindung aufgebaut wird.

Grüße
Cpuprofi

[mme]

Die Konfiguration für Main Mode zwischen FritzBox und Lancom würde mich auch interessieren (die Konfiguration der FritzBox ebenso wie die dazu passende auf Lancom-Seite).