Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

VPN zwischen 2 Fritzboxen

Gast BigChris
Gast BigChris
in Security

Empfohlene Antworten

Veröffentlicht

Hi,

ich habe folgendes Problem...

ich habe 2 Firtzboxen 7170 per DynDNS und VPN verbunden.

allerdings möchte ich jetzt von einem Subnetz hinter der Fritzbox und der dahinterliegenden Linux Firewall auf das jeweilig gegenüberliegende Subnetz zugreifen? Kann mir jemand sagen wie ich das mach? IP Tables ist auf dem SLES installiert...

post-49040-14430447966014_thumb.png

ist es denn sicher wenn ich das über ip tables auf der firewall löse... mache ich da kein loch in die firewall?

Bearbeitet von BigChris

Je nachdem welche Dienste erreichbar sein sollen, musst Du entsprechende Regeln setzen und damit auch Loecher in die iptables auf den SLES setzen.

Die FritzBoxen haben idR auch eine SPI-Firewall drauf.

D.h. wenn die FritzBoxen so konfiguriert sind, dass nur VPN-geschuetzter Traffic an die SLES weitergegeben werden, dann kannst Du fast bedenkenlos die iptables auf den SLES anpassen und statische Rueck-Routen fuer das gegenueberliegende Netz setzen.

Allerdings gilt auch hier:

Nur das auf iptables fuer das gegenueberliegende Netz freigeben, was auch zwingend benoetigt wird.

Z.B. wenn Du keine Windows-Dateifreigaben und kein RPC/DCOM auf das gegenueberliegende Netz brauchst, dann bitte auch nicht freischalten.

Denn das sind bei Windows einige der groessten Einfallstore fuer Schaedlinge.

kann ich denn iptables unter sles z.b. sagen... route alle anfragen vom lokalen netz an das andere subnetz mit der ip 192.168.178.20 an die fritz box raus und alle anderen anfragen von internen ips z.b. an google.de mit der ip 192.168.178.10 raus damit die fritzbox weis welche anfragen über vpn und welche ins internet sollen?

Nachtrag:

Soweit ich weiss, haben die derzeitigen offiziellen FritzBox Firmware-Versionen keinen VPN-Server drauf.

AVM hat die Labor-Versionen nur zum Testen freigegeben, nicht fuer den produktiven Betrieb.;)

Es wuerde auch mit einer offiziellen AVM-Firmware funktionieren:

- indem die VPN-Server auf die SLES verlagert werden

oder die sichere Variante

- indem zwischen FritzBox und SLES ein dedizierter VPN-Server installiert wird

kann ich denn iptables unter sles z.b. sagen...

Die Netze der FritzBox-LAN-Seiten duerfen auf beiden Seiten nicht gleich sein (default FritzBox: 192.168.178.0/24), dann klappt es auch.

wie sage ich iptables auf sles das anfragen von einem bestimmten subnetz (192.168.1.0) an die fritzbox über eine bestimmte virtuelle netzwerkkarte gemacht werde? somit könnte die fritzbox unterscheiden ob die anfragen für vpn oder das internet sind...!? gibt es da einen befehl oder kann ich das in yast machen?

Ja, bei SuSE in der Regel erst mal mit yast probieren.

Wenn es damit nicht geht, die iptables-Konfigdatei suchen (koennte in /etc/sysconfig/ liegen) und dort eintragen bzw. eine benutzerdefinierte iptables-Konfig einfuegen.

Virtuelle NIC?

Hast Du auf SLES keine 2 phys. NIC?

Oder ist der VPN-Server auf SLES?

Bearbeitet von hades

SLES linke Seite:

route add 192.168.0.0/24 gw 192.168.179.1 (Vermutung von mir, dass 192.168.179.1 die FB auf der linken Seite ist)

Das Ganze dann persistent machen (leider pro Distri unterschiedlich, SLES kenn ich nicht weiter), sonst ist nach dem Booten der Eintrag weg.

FB linke Seite:

Routing-Eintrag setzen

Ziel: 192.168.1.0/24 Gateway=IP-Adresse der SLES im Netz 192.168.179.0/24

---

SLES rechte Seite:

route add 192.168.1.0/24 gw 192.168.178.1 (Vermutung von mir, dass 192.168.178.1 die FB auf der rechten Seite ist)

Das Ganze dann persistent machen (leide pro Distri unterschiedlich, SLES kenn ich nicht weiter), sonst ist nach dem Booten der Eintrag weg.

FB rechte Seite:

Routing-Eintrag setzen

Ziel: 192.168.0.0/24 Gateway=IP-Adresse der SLES im Netz 192.168.178.0/24

---

Dann kannst in den iptables der SLES ICMP (ping) fuer Tests freischalten, spaeter dann die benoetigten Dienste und ggfl. ICMP wieder ausschalten.

Nachtrag:

Soweit ich weiss, haben die derzeitigen offiziellen FritzBox Firmware-Versionen keinen VPN-Server drauf.[...]

Die aktuelle Version 29.04.57 meine ich schon. Die Laborsachen sind in einer der letztern Versionen in die Stable-Version übergegangen.

[...]Neue Leistungsmerkmale:

Telefonie: Faxempfang ohne Faxgerät. Auf Wunsch mit Weiterleitung per E-Mail

Internet: VPN für sichere Verbindungen über das Internet. Professionell per IPSec

Internet: Sichere Fernwartung mit Hilfe von HTTPS. So helfen sich Freunde

System: Anzeige eines Sicherheitshinweises bei nicht gesetztem Kennwort

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.