Forum: PC Hard- und Software Fritzbox routet nicht zwischen LAN und VPN


von fritzvpn (Gast)


Lesenswert?

Hallo,

ich habe hier eine FritzBox 7360SL, die eine VPN-Verbindung mit einem 
Firmennetzwerk aufbaut.

Ein Ziel ist es, ein an die Fritzbox angeschlossenes IP-Telefon als 
Endgerät für die lokalen Telefonnummern (Einwahl übernimmt die Fritzbox) 
und gleichzeitig mit der Telefonanlage im Büro zu verbinden.

Alles funktioniert hervorragend, wenn das VPN aufbaue. Dann hängt aber 
mein gesamtes Heimnetz (192.168.10.0) mit dem Firmennetz (192.168.178.0) 
zusammen.
Die Fritzbox bietet die Funktion, das VPN auf einen LAN-Port zu 
beschränken. Dann muss aber gleichzeitig ein neues IP-Netz vergeben 
werden. Tue ich das (192.168.11.0), ist das daran hängende Telefon NUR 
noch per VPN im Firmennetz. Die Fritzbox routet einfach nicht in das 
entsprechende Netz, und das Telefon kann sich auch nicht mehr in die 
lokale Telefonie einwählen.
Die Fritzbox scheint einfach nicht zwischen 192.168.10.0 und 
192.168.11.0 zu routen. Ist dieser LAN-Port dann komplett LAN 
abgeschirmt!?
Das Telefon kann auch 192.168.10.1 nicht als Gateway nutzen, statische 
Route für das 11er-Netz kann ebenfalls nicht angelegt werden.

Kennt jemand dieses Phänomen und hat eine Lösung dafür?
Danke im Voraus.

: Verschoben durch User
von Hannes J. (Firma: _⌨_) (pnuebergang)


Lesenswert?

Das ist so gewollt:

https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fritzbox-netzwerken-einrichten/article/show/1627_VPN-Verbindung-zwischen-zwei-FRITZ-Boxen-fuer-einzelne-LAN-Anschluesse-einrichten/
> Beim Einrichten einer VPN-Verbindung zwischen zwei FRITZ!Box-Netzwerken
> können Sie den VPN-Tunnel auch auf einzelne LAN-Anschlüsse der FRITZ!Boxen
> begrenzen. Über diese LAN-Anschlüsse ist dann nur noch der Zugriff auf das
> entfernte FRITZ!Box-Netzwerk möglich, nicht jedoch der Zugriff auf Geräte
> im lokalen FRITZ!Box-Netzwerk. Auch der Internetzugriff über die lokale
> FRITZ!Box ist an den ausgewählten LAN-Anschlüssen nicht mehr möglich.

Die Lösung ist wohl das Feature nicht zu nutzen.

von Sven L. (sven_rvbg)


Lesenswert?

fritzvpn schrieb:
> Die Fritzbox scheint einfach nicht zwischen 192.168.10.0 und
> 192.168.11.0 zu routen. Ist dieser LAN-Port dann komplett LAN
> abgeschirmt!?
> Das Telefon kann auch 192.168.10.1 nicht als Gateway nutzen, statische
> Route für das 11er-Netz kann ebenfalls nicht angelegt werden.

Sowas macht man bei VPNs das das Gerät welches sich mit dem Firmennetz 
verbindet nicht gleichzeitig in das lokale Netz bzw. Internet kommt um 
Angriffe von außen auf das Firmennetz zu erschweren.

von Michael W. (dbru61)


Lesenswert?

Du könntest m.E.n. entweder das 10er Netz mit einem eigenen NAT-Router 
abtrennen oder einen Lancom verwenden. Der kann das.

Grüße

Michael

von VPN (Gast)


Lesenswert?

Splitt Tunnel, das ist default bei AVM und auch gut so.

von fritzvpn (Gast)


Lesenswert?

Danke für die Antworten. Habe schon befürchtet, das das das so gewollt 
ist :-/

Ich werde es Mal mit einem zweiten Router probieren, da ich noch einen 
herumliegen habe.

von bingo (Gast)


Lesenswert?

Du kannst in den VPN-CFG-Dateien das VPN auf bestimmte IP-Nummern 
beschränken. Das löst Dein Problem evtl. auch.
1
/*
2
 * mooo   local hier   remote woanders
3
 */
4
5
vpncfg {
6
        connections {
7
                enabled = yes;
8
                conn_type = conntype_lan;
9
                name = "mooo_HH-KI";
10
                always_renew = yes;
11
                keepalive_ip = 192.168.7.1;                
12
                reject_not_encrypted = no;
13
                dont_filter_netbios = yes;
14
                localip = 0.0.0.0;
15
                local_virtualip = 0.0.0.0;
16
                remoteip = 0.0.0.0;
17
                remote_virtualip = 0.0.0.0;
18
                remotehostname = "foo.bar1.com";
19
                localid {
20
                        fqdn = "afoo.bar2.com";
21
                }
22
                remoteid {
23
                        fqdn = "foo.bar1.com";
24
                }
25
                mode = phase1_mode_idp;
26
                phase1ss = "alt/aes-3des/sha";
27
                keytype = connkeytype_pre_shared;
28
                key = "abcdefghijklmnopqrstuvwxyz";
29
                cert_do_server_auth = no;
30
                use_nat_t = yes;
31
                use_xauth = no;
32
                use_cfgmode = no;
33
                phase2localid {
34
                        ipnet {
35
                                ipaddr = 192.168.0.0;
36
/*  ggf. nächste Zeile entspr. ändern */
37
                                mask = 255.255.255.0; 
38
                        }
39
                }
40
                phase2remoteid {
41
                        ipnet {
42
                                ipaddr = 192.168.7.0;
43
/*  ggf. nächste Zeile entspr. ändern */
44
                                mask = 255.255.255.0;
45
                        }
46
                }
47
                phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
48
/*  ggf. nächste Zeile entspr. ändern */
49
                accesslist = "permit ip any 192.168.7.0 255.255.255.0";
50
        }
51
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
52
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
53
}
54
55
56
// EOF

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.