Hallo,
mit viel Gefrickel habe ich mein Wunschszenario zum Laufen gebracht: Zugriff auf Lancom883+ per VPN mit FritzBox7490. (Die Fritte schafft dabei die Möglichkeit, mit der daran angeschlossenen Telefonie-Hardware die TK im Lancom-Netzwerk zu nützen, deshalb bevorzuge ich den Zugriff der ganzen Box gegenüber einem PC-Client).
Was mich etwas stört ist, dass damit sämtliche zugangsrelevanten Daten in der .cfg der FritzBox gespeichert sind. Falls jemand die Konfiguration auslesen könnte, hat er mit jeder beliebigen Fritz Zugriff aufs Lancom-Netz, oder? (Ok, ist vielleicht nicht allzu wahrscheinlich - vernünftiges Pw und zusätzliche Sicherheitsabfrage der FritzBox nutze ich, Zugriff über Web ist deaktiviert).
Ich stelle mir vor, dass es doch möglich sein müsste, den VPN-Tunnel seitens des Lancom auf diese ganz konkrete Box oder ihre Adresse zu beschränken (eine dyn-DNS-Adresse für die Box habe ich). Es ist mir aber nicht klar, wo/wie ich das einstellen könnte. Wäre sehr nett, wenn mir jemand die Tomaten von den Augen nimmt.
Die Box läuft mit OS 7.21, Lancom mit 10.40.
Die Verbindung wird von der FritzBox im aggressive Mode aufgebaut, (IKE SA: DH14/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA1/LT-3600)
Dankeschön
C.
FritzBox 7490 als VPN-Client - Zugriff nur dieser einen Box erlauben
Moderator: Lancom-Systems Moderatoren
Re: FritzBox 7490 als VPN-Client - Zugriff nur dieser einen Box erlauben
Hi johoLance,
du kannst im LANCOM natürlich den Dyn-DNS-Namen bei der VPN-Verbindung angeben - aber das hilft dir letztendlich auch nicht weiter, denn wenn jemand die Konfig aus der Fritzbox klaut, dann hat er auch die DynDNS-Daten der Fritzbox mitgeklaut...
Gruß
Backslash
du kannst im LANCOM natürlich den Dyn-DNS-Namen bei der VPN-Verbindung angeben - aber das hilft dir letztendlich auch nicht weiter, denn wenn jemand die Konfig aus der Fritzbox klaut, dann hat er auch die DynDNS-Daten der Fritzbox mitgeklaut...
Gruß
Backslash
Re: FritzBox 7490 als VPN-Client - Zugriff nur dieser einen Box erlauben
Hallo,
danke fürs Mitdenken. Die öffentliche IP der Box ließe sich aber, wennich richtig denke, woanders nur "nützen", wenn man auch noch das auf entsprechende Konto Zugriff hätte, oder? Insofern wäre das schon ein zusätzliches Element Sicherheit. An welcher Stelle muss ich die Adresse im Lancom eintragen?
Danke
C
danke fürs Mitdenken. Die öffentliche IP der Box ließe sich aber, wennich richtig denke, woanders nur "nützen", wenn man auch noch das auf entsprechende Konto Zugriff hätte, oder? Insofern wäre das schon ein zusätzliches Element Sicherheit. An welcher Stelle muss ich die Adresse im Lancom eintragen?
Danke
C
Re: FritzBox 7490 als VPN-Client - Zugriff nur dieser einen Box erlauben
Hi johoLance
BTW: Wenn der Angreifer es schon in deine Fritzbox geschafft hat, dann ist eigentlich schon alles zu spät...
Gruß
Backslash
Derjenige, der VPN-Zugangsdaten aus deiner Fritzbox klaut, klaut auch einfach die dyn-DNS-Zugangsdaten aus der Fritzbox mit. Wenn er dein VPN angreifen will, dann hat er damit alles, was er braucht, um die Pseudo-Sicherung mit dem dyn-DNS-Namen im VPN auszuhebeln: Er meldet sich mit den dyn-dns Zugangsdaten beim dyn-Dns-Dienst an und hat somit die Adresse, die du im VPN als vermeindliche Sicherung eingetragen hast...Die öffentliche IP der Box ließe sich aber, wennich richtig denke, woanders nur "nützen", wenn man auch noch das auf entsprechende Konto Zugriff hätte, oder?
BTW: Wenn der Angreifer es schon in deine Fritzbox geschafft hat, dann ist eigentlich schon alles zu spät...
eben nicht (s.o.)...Insofern wäre das schon ein zusätzliches Element Sicherheit
na da, wo die VPN-Gegenstelle definiert ist (VPN -> IKEv1 -> Verbindungliste -> <Verbindung> -> Gateway)An welcher Stelle muss ich die Adresse im Lancom eintragen?
Gruß
Backslash