Beschränkung Subnet S2S VPN USG<->FritzBox

Es gibt 5 Antworten in diesem Thema, welches 661 mal aufgerufen wurde. Der letzte Beitrag () ist von benni86.

    Hallo zusammen,

    ich bin leider relativ neu in der Materie also entschuldigt bitte die womöglich dummen Fragen.

    Ich habe es nun mithilfe einiger Lektüre (vorallem mit dieser Seite und diesem Thread) geschafft das VPN zwischen FritzBox und USG-PRO-4 aufzubauen.


    Das VPN steht und funktioniert. Nun möchte ich gerne, dass nur ein gewisses Subnet (z.B. 192.168.2.148/29) des Remote-FritzBox Netzes (192.168.2.0/24) auf mein Netzwerk zugreifen kann. Also dachte ich, das sollte mit einer einfachen Firewallregel zu machen sein. Da das leider nicht geklappt hat bin ich auf folgenden Thread gestoßen: was ich verstehe und durch iptables --list verifizieren kann ist, dass einfach alles aus dem Remotenetz durchgelassen wird:

    Code
    sudo iptables --list | grep -B2 192.168.2.0
Chain UBNT_VPN_IPSEC_FW_IN_HOOK (1 references)
target     prot opt source               destination
ACCEPT     all  --  192.168.2.0/24       192.168.1.0/24

    Was dort aber weiterhin im Thread empfohlen wurde ist für mich leider etwas zu schwammig. Ich dachte nun zum Test mal in der config.gateway.json "auto-firewall-nat-exclude": "disable" angeben zu können damit sich die Situation in den iptables irgendwie ändert, aber keine Veränderung.


    Hat jemand einen Tipp für mich wie ich das bewerkstelligen könnte um nur gewisse Clients aus dem Remotenetz in mein Netz zu lassen?


    Vielen Dank schonmal an alle die sich meiner Anfängerfrage annehmen :upside_down_face:

    Zitat von benni86

    z.B. 192.168.2.148/29

    Nur so als Rande und weil ich als Pingeliger Deutscher gelten willl.

    die richtige Bezeichnung währe 192.168.2.144/29



    Zitat von benni86

    Also dachte ich, das sollte mit einer einfachen Firewallregel zu machen sein. Da das leider nicht geklappt hat bin ich auf

    Aus mangel and alter USG kann ich nich schauen was warum wo wie passiert, bzw was Uniformierte da für ne Konfiguration sorgt.

    Bei der UDM sind aber auch solche ALLOW all regeln drinnen die aber ggf. garnicht benutzt werden weil schon vorher Entscheidungen getroffen werden. Deine regeln z.B ist einer „customer“ Chain „UBNT_VPN_IPSEC_FW_IN_HOOK“ Ohne den Gameten Regelsatz

    kann man nichtmal sagen von WO der angesteuert wird.

    FW sollten aber greifen evt. hast du sie „NACH“ den eingebauten regeln erstellt ? Denke sie sollten „VOR“ diesen kommen.

    Wollte zum Test mal den gesamten Traffic aus dem VPN blocken und habe das daher so angelegt, aber wie gesagt da passiert leider nichts.

    Zitat von gierig

    FW sollten aber greifen evt. hast du sie „NACH“ den eingebauten regeln erstellt ? Denke sie sollten „VOR“ diesen kommen.

    den Haken habe ich aber eigentlich gesetzt


    Die "H13" Gruppe wurde übrigens so erstellt:

    Mhhh da war was und da klingelt was...

    hat du es mal mit „do not match“ probiert ?

    Btw State Option wie NEW und Releatet mit einbezogen ?

    (Ich stochere wein wenig im Dunkeln, da war aber mal was mit den USG IPsec und der Option)

    evt war das auch was mit das es nicht Protokoll „ALL“ sein durfte.

    Weil grundlegend ist das ja richtig was du eingestellt hast...

    Ja da habe ich schon probiert mit "do not match" aber dann probiere ich mich halt noch ein wenig durch oder muss mir was ganz anderes überlegen.

    Also ich beantworte mir die Frage mal selbst, was geholfen hat war folgende Konfigurationseinstellung unter local.prefix:


    Das führt dann dazu, dass der Eintrag in iptables so aussieht:

    Code
    Chain UBNT_VPN_IPSEC_FW_IN_HOOK (1 references)
target     prot opt source               destination
ACCEPT     all  --  192.168.2.0/24       192.168.1.248/29

    Danke für eure Hilfe und die tollen Tipps!