Hallo, ich habe hier eine FritzBox 7360SL, die eine VPN-Verbindung mit einem Firmennetzwerk aufbaut. Ein Ziel ist es, ein an die Fritzbox angeschlossenes IP-Telefon als Endgerät für die lokalen Telefonnummern (Einwahl übernimmt die Fritzbox) und gleichzeitig mit der Telefonanlage im Büro zu verbinden. Alles funktioniert hervorragend, wenn das VPN aufbaue. Dann hängt aber mein gesamtes Heimnetz (192.168.10.0) mit dem Firmennetz (192.168.178.0) zusammen. Die Fritzbox bietet die Funktion, das VPN auf einen LAN-Port zu beschränken. Dann muss aber gleichzeitig ein neues IP-Netz vergeben werden. Tue ich das (192.168.11.0), ist das daran hängende Telefon NUR noch per VPN im Firmennetz. Die Fritzbox routet einfach nicht in das entsprechende Netz, und das Telefon kann sich auch nicht mehr in die lokale Telefonie einwählen. Die Fritzbox scheint einfach nicht zwischen 192.168.10.0 und 192.168.11.0 zu routen. Ist dieser LAN-Port dann komplett LAN abgeschirmt!? Das Telefon kann auch 192.168.10.1 nicht als Gateway nutzen, statische Route für das 11er-Netz kann ebenfalls nicht angelegt werden. Kennt jemand dieses Phänomen und hat eine Lösung dafür? Danke im Voraus.
:
Verschoben durch User
Das ist so gewollt: https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fritzbox-netzwerken-einrichten/article/show/1627_VPN-Verbindung-zwischen-zwei-FRITZ-Boxen-fuer-einzelne-LAN-Anschluesse-einrichten/ > Beim Einrichten einer VPN-Verbindung zwischen zwei FRITZ!Box-Netzwerken > können Sie den VPN-Tunnel auch auf einzelne LAN-Anschlüsse der FRITZ!Boxen > begrenzen. Über diese LAN-Anschlüsse ist dann nur noch der Zugriff auf das > entfernte FRITZ!Box-Netzwerk möglich, nicht jedoch der Zugriff auf Geräte > im lokalen FRITZ!Box-Netzwerk. Auch der Internetzugriff über die lokale > FRITZ!Box ist an den ausgewählten LAN-Anschlüssen nicht mehr möglich. Die Lösung ist wohl das Feature nicht zu nutzen.
fritzvpn schrieb: > Die Fritzbox scheint einfach nicht zwischen 192.168.10.0 und > 192.168.11.0 zu routen. Ist dieser LAN-Port dann komplett LAN > abgeschirmt!? > Das Telefon kann auch 192.168.10.1 nicht als Gateway nutzen, statische > Route für das 11er-Netz kann ebenfalls nicht angelegt werden. Sowas macht man bei VPNs das das Gerät welches sich mit dem Firmennetz verbindet nicht gleichzeitig in das lokale Netz bzw. Internet kommt um Angriffe von außen auf das Firmennetz zu erschweren.
Du könntest m.E.n. entweder das 10er Netz mit einem eigenen NAT-Router abtrennen oder einen Lancom verwenden. Der kann das. Grüße Michael
Splitt Tunnel, das ist default bei AVM und auch gut so.
Danke für die Antworten. Habe schon befürchtet, das das das so gewollt ist :-/ Ich werde es Mal mit einem zweiten Router probieren, da ich noch einen herumliegen habe.
Du kannst in den VPN-CFG-Dateien das VPN auf bestimmte IP-Nummern beschränken. Das löst Dein Problem evtl. auch.
1 | /* |
2 | * mooo local hier remote woanders |
3 | */ |
4 | |
5 | vpncfg { |
6 | connections { |
7 | enabled = yes; |
8 | conn_type = conntype_lan; |
9 | name = "mooo_HH-KI"; |
10 | always_renew = yes; |
11 | keepalive_ip = 192.168.7.1; |
12 | reject_not_encrypted = no; |
13 | dont_filter_netbios = yes; |
14 | localip = 0.0.0.0; |
15 | local_virtualip = 0.0.0.0; |
16 | remoteip = 0.0.0.0; |
17 | remote_virtualip = 0.0.0.0; |
18 | remotehostname = "foo.bar1.com"; |
19 | localid { |
20 | fqdn = "afoo.bar2.com"; |
21 | } |
22 | remoteid { |
23 | fqdn = "foo.bar1.com"; |
24 | } |
25 | mode = phase1_mode_idp; |
26 | phase1ss = "alt/aes-3des/sha"; |
27 | keytype = connkeytype_pre_shared; |
28 | key = "abcdefghijklmnopqrstuvwxyz"; |
29 | cert_do_server_auth = no; |
30 | use_nat_t = yes; |
31 | use_xauth = no; |
32 | use_cfgmode = no; |
33 | phase2localid { |
34 | ipnet { |
35 | ipaddr = 192.168.0.0; |
36 | /* ggf. nächste Zeile entspr. ändern */ |
37 | mask = 255.255.255.0; |
38 | } |
39 | } |
40 | phase2remoteid { |
41 | ipnet { |
42 | ipaddr = 192.168.7.0; |
43 | /* ggf. nächste Zeile entspr. ändern */ |
44 | mask = 255.255.255.0; |
45 | } |
46 | } |
47 | phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs"; |
48 | /* ggf. nächste Zeile entspr. ändern */ |
49 | accesslist = "permit ip any 192.168.7.0 255.255.255.0"; |
50 | } |
51 | ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", |
52 | "udp 0.0.0.0:4500 0.0.0.0:4500"; |
53 | } |
54 | |
55 | |
56 | // EOF |
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.