13
VPN zwischen zwei FritzBoxen mit Zugriff auf ein einzelnes Gerät
Hallo zusammen,
ich habe ein VPN zwischen zwei Privathäusern über zwei Fritzboxen am Laufen. Das funktioniert sehr stabil und problemlos. In beiden Häusern steht ein NAS und die Geräte können sich gegenseitig für Backups nutzen.
Auch wenn alles im Rahmen der Familie stattfindet, habe ich mit der Lösung Bauchschmerzen, weil so ja ein Zugriff von der anderen Seite auf mein gesamtes Netzwerk möglich ist. Sollte auf der anderen Seite also jemand ins Netz kommen ist er auch automatisch in meinem Netz.
Jetzt habe ich mir gedacht, dass ich das NAS irgendwie in einen separaten IP-Bereich packe und somit den Zugriff auf den Rest meines Netzwerks verhindern kann. Den Zugriff zum NAS kann ich ja über die Benutzerverwaltung relativ gut absichern. Das geht wahrscheinlich über einen zweiten Router, den ich vor oder hinter der FritzBox anschließe.
Irgendwie stehe ich aber auf dem Schlauch wie ich das anstellen soll. Wahrscheinlich denke ich auch viel zu kompliziert. Ist es bei dem FritzBox VPN auch möglich Zugriff nur auf eine IP-Adresse des Netzwerks zu erlauben?
Danke schonmal für eure Hilfe.
ich habe ein VPN zwischen zwei Privathäusern über zwei Fritzboxen am Laufen. Das funktioniert sehr stabil und problemlos. In beiden Häusern steht ein NAS und die Geräte können sich gegenseitig für Backups nutzen.
Auch wenn alles im Rahmen der Familie stattfindet, habe ich mit der Lösung Bauchschmerzen, weil so ja ein Zugriff von der anderen Seite auf mein gesamtes Netzwerk möglich ist. Sollte auf der anderen Seite also jemand ins Netz kommen ist er auch automatisch in meinem Netz.
Jetzt habe ich mir gedacht, dass ich das NAS irgendwie in einen separaten IP-Bereich packe und somit den Zugriff auf den Rest meines Netzwerks verhindern kann. Den Zugriff zum NAS kann ich ja über die Benutzerverwaltung relativ gut absichern. Das geht wahrscheinlich über einen zweiten Router, den ich vor oder hinter der FritzBox anschließe.
Irgendwie stehe ich aber auf dem Schlauch wie ich das anstellen soll. Wahrscheinlich denke ich auch viel zu kompliziert. Ist es bei dem FritzBox VPN auch möglich Zugriff nur auf eine IP-Adresse des Netzwerks zu erlauben?
Danke schonmal für eure Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2301149535
Url: https://administrator.de/contentid/2301149535
Printed on: April 28, 2024 at 05:04 o'clock
13 Comments
Latest comment
Also dein Ziel ist, die Netzwerkzugriffe auf bestimmte Ziele zu begrenzen...
.. das kann die Fritz!Bix ALLEINE nicht!
Hierfür bietet es sich an, auf der notwendigen Seite eine konfigurierbare Lösung aufzubauen..
Als erster Tipp meinerseits wäre "pfsense"/"OpnSense" zu nennen.
Die sollte bestenfalls dann auch auf beiden Seiten das VPN aufbauen statt der Fritz!Box ..
.
.. das kann die Fritz!Bix ALLEINE nicht!
Hierfür bietet es sich an, auf der notwendigen Seite eine konfigurierbare Lösung aufzubauen..
Als erster Tipp meinerseits wäre "pfsense"/"OpnSense" zu nennen.
Die sollte bestenfalls dann auch auf beiden Seiten das VPN aufbauen statt der Fritz!Box ..
.
Im FritzBox VPN Setup kannst du einstellen für welche LAN Ports das VPN aktiv sein soll. Das legst du dann auf den LAN Port wo dein NAS angeschlossen ist. So kommen remote User nur aufs NAS nicht aber das ganze lokale LAN.
Einfacher gehts nun nicht...
Einfacher gehts nun nicht...
Zitat von @148523:
Im FritzBox VPN Setup kannst du einstellen für welche LAN Ports das VPN aktiv sein soll. Das legst du dann auf den LAN Port wo dein NAS angeschlossen ist. So kommen remote User nur aufs NAS nicht aber das ganze lokale LAN.
Einfacher gehts nun nicht...
Im FritzBox VPN Setup kannst du einstellen für welche LAN Ports das VPN aktiv sein soll. Das legst du dann auf den LAN Port wo dein NAS angeschlossen ist. So kommen remote User nur aufs NAS nicht aber das ganze lokale LAN.
Einfacher gehts nun nicht...
Hast Recht. Siehe https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fri ...
lks
Zitat von @MirkoKR:
Also dein Ziel ist, die Netzwerkzugriffe auf bestimmte Ziele zu begrenzen...
.. das kann die Fritz!Bix ALLEINE nicht!
Also dein Ziel ist, die Netzwerkzugriffe auf bestimmte Ziele zu begrenzen...
.. das kann die Fritz!Bix ALLEINE nicht!
OK - wieder was gelernt, das es wohl relativ einfach möglich ist - also mittels Config-Datei... (Y)
.
Zitat von @148523:
Im FritzBox VPN Setup kannst du einstellen für welche LAN Ports das VPN aktiv sein soll. Das legst du dann auf den LAN Port wo dein NAS angeschlossen ist. So kommen remote User nur aufs NAS nicht aber das ganze lokale LAN.
Einfacher gehts nun nicht...
Im FritzBox VPN Setup kannst du einstellen für welche LAN Ports das VPN aktiv sein soll. Das legst du dann auf den LAN Port wo dein NAS angeschlossen ist. So kommen remote User nur aufs NAS nicht aber das ganze lokale LAN.
Einfacher gehts nun nicht...
Das sieht auch für mich wirklich nach der einfachsten Lösung aus.
Ich überlege gerade, wie ich da am unkompliziertesten auf den NAS komme. Wahrscheinlich entweder per Routing Tabelle oder ich nutze beide Netzwerkkarten des NAS (DS 718+) und bin in beiden IP-Bereichen gleichzeitig. Das ist wahrscheinlich die einfachere Variante, oder?
Zitat von @ValdoAddams:
Ich überlege gerade, wie ich da am unkompliziertesten auf den NAS komme. Wahrscheinlich entweder per Routing Tabelle oder ich nutze beide Netzwerkkarten des NAS (DS 718+) und bin in beiden IP-Bereichen gleichzeitig. Das ist wahrscheinlich die einfachere Variante, oder?
Ich überlege gerade, wie ich da am unkompliziertesten auf den NAS komme. Wahrscheinlich entweder per Routing Tabelle oder ich nutze beide Netzwerkkarten des NAS (DS 718+) und bin in beiden IP-Bereichen gleichzeitig. Das ist wahrscheinlich die einfachere Variante, oder?
Ich habs per Routing Tabelle gelöst. Fand ich besser, falls in Zukunft irgendwann Link Aggregation zum Einsatz kommen soll.
Hallo
Man kann manuell in der Konfig ganz einfach eintragen, welcher IP Bereich in den jeweiligen Netzen auf das andere Netz zugreifen kann. Anleitungen gibt es zuhauf. So sieht das dann in der config etwa aus.
--- Schnippel ----
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.111.70 255.255.255.255",
"permit ip any 192.168.111.71 255.255.255.255",
"permit ip any 192.168.111.72 255.255.255.255",
"permit ip any 192.168.111.73 255.255.255.255",
"permit ip any 192.168.111.74 255.255.255.255",
"permit ip any 192.168.111.75 255.255.255.255",
"permit ip any 192.168.111.76 255.255.255.255",
"permit ip any 192.168.111.77 255.255.255.255",
"permit ip any 192.168.111.78 255.255.255.255",
"permit ip any 192.168.111.79 255.255.255.255",
"permit ip any 192.168.111.80 255.255.255.255";
} {
---Schnapp---
MfG,
MacLeod
Man kann manuell in der Konfig ganz einfach eintragen, welcher IP Bereich in den jeweiligen Netzen auf das andere Netz zugreifen kann. Anleitungen gibt es zuhauf. So sieht das dann in der config etwa aus.
--- Schnippel ----
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.111.70 255.255.255.255",
"permit ip any 192.168.111.71 255.255.255.255",
"permit ip any 192.168.111.72 255.255.255.255",
"permit ip any 192.168.111.73 255.255.255.255",
"permit ip any 192.168.111.74 255.255.255.255",
"permit ip any 192.168.111.75 255.255.255.255",
"permit ip any 192.168.111.76 255.255.255.255",
"permit ip any 192.168.111.77 255.255.255.255",
"permit ip any 192.168.111.78 255.255.255.255",
"permit ip any 192.168.111.79 255.255.255.255",
"permit ip any 192.168.111.80 255.255.255.255";
} {
---Schnapp---
MfG,
MacLeod
Statt "schnippel...schnapp" Frickelei hätten saubere Code Tags es deutlich übersichtlicher und damit hilfreicher für den TO gestaltet... 
Formatting instructions in the posts
Man sollte doch hie und da einmal die FAQs lesen !!
Formatting instructions in the posts
Man sollte doch hie und da einmal die FAQs lesen !!
Ist schwierig vom Handy aus. Die künstlerische Freiheit genehmige ich mir einfach. Du kannst es ja nochmal in Schönschrift abtippen, da Du hier offenbar ohnehin den ganzen Tag als Aufpasser unterwegs bist...
Zitat von @MacLeod:
Ist schwierig vom Handy aus. Die künstlerische Freiheit genehmige ich mir einfach. Du kannst es ja nochmal in Schönschrift abtippen, da Du hier offenbar ohnehin den ganzen Tag als Aufpasser unterwegs bist...
Ist schwierig vom Handy aus. Die künstlerische Freiheit genehmige ich mir einfach. Du kannst es ja nochmal in Schönschrift abtippen, da Du hier offenbar ohnehin den ganzen Tag als Aufpasser unterwegs bist...
Auch auf dem Handy ist es einfach, auf das Symbol für die code-Tags zu tippen, selbst mit dir dicken Fingern wie meinen. Dann werden die automatisch eingefügt und Mann muß nur noch seinen Code Pasten.
lks
Ich danke euch.
Hab es jetzt erstmal mit dem separaten LAN-Anschluss gelöst. Die Fritzbox erkennt das einwandfrei und teilt dem NAS auch eine IP im richtigen Bereich zu.
Hab es jetzt erstmal mit dem separaten LAN-Anschluss gelöst. Die Fritzbox erkennt das einwandfrei und teilt dem NAS auch eine IP im richtigen Bereich zu.
Bitte dann auch nicht vergessen deinen Thread hier als erledigt zu markieren !
How can I mark a post as solved?
How can I mark a post as solved?
