Fritz 7390 Wie IoT Zugänge sperren, im LAN aber erlauben?

[xamoel]

Hallo zusammen!

Im Rahmen der aktuellen Botnetz-Attacken wollte ich meine IoT-Geräte, wie Gemanagte Switche, IP-Cams etc vom Internet aussperren, den Zugang im LAN aber natürlich erlauben.

Dazu bin ich in der 7390 (6.51) auf "Details" des jeweiligen Gerätes gegangen, und habe das Profil von "Standard" zu "Gesperrt" geändert. Die Geräte sind weiterhin erreichbar von meiner Synology, dort werden die Streams der IP-Cams weiterhin tadellos übertragen.

Wenn ich nun aber via Browser auf die Geräte zugreifen will via 192.168.0.X, dann geht nichts. Wenn ich das Profil auf Standard umstelle, geht es wieder tadellos.

Dazu muss ich sagen, dass ich das bis jetzt nur via Fritz-VPN testen konnte, also von einem andren Standort aus.

Hat jemand eine Idee, wie ich die Geräte weiterhin im VPN bzw LAN erreichen kann, aber den Zugang nach außen sperre?

Danke!

 

[chrigu]

bei geräten die über port 80,443 usw. von aussen erreichbar sein müssen, wird es schwierig... bei den anderen, den port schliessen.

 

[HominiLupus]

Für so was reicht eine Fritzbox nicht. Da muss schon ein Router mit echtem netfilter oder ähnlichem Paketfilter ran.

 

[xamoel]

Danke schonmal für die Infos. Was mich wundert ist aber die Tatsache, dass die Syno weiterhin die Cams über die 80er Ports erreicht, im lokalen Netzwerk natürlich, ich aber über VPN nicht drauf komme. Kann die FB hier unterscheiden zwischen VPN und LAN? Oder hab ich was übersehen?

 

[ldasta]

Um es mal salopp zu sagen ist die IP-Camera dann ja trotzdem mit dem Internet verbunden und das ist ja gesperrt für sie. Deine VPN Verbindung ist sozusagen keine lokale Verbindung.
Einen workaround zu deinem Problem kannst du hier nachlesen.

 

[xamoel]

Danke, daran hatte ich auch gerade gedacht. Fragt sich, ob man das ganze andre Subnetz freischalten lassen kann, also z.B. 192.168.1.1-192.168.1.40 oder so ähnlich, oder ob man jede in Frage kommende IP einzeln listen muss.

Edit: Mit den einzelnen IPs geht es auf jeden Fall, gerade getestet.

 

[ldasta]

du weist jedem Gerät das du "sperren" möchtest diese Whitelist zu

 

[xamoel]

Jup das ist klar, ich meinte die Beschaffenheit der Whitelist. Hab dort einzelne IPs eingetragen, das klappt auch. Aber ob sich der Einfachheit halber auch IP-Bereiche eintragen lassen steht leider nicht in der Hilfe.

 

[ldasta]

Ist mir nicht bekannt. Da kommen aber wie beschrieben die "externen" IP-Adressen rein von denen du aus zugreifen möchtest (DYNDns, Smartphone, etc) nicht die Lokalen. Von daher ist der workaround leider etwas hakelig .

 

[xamoel]

Ok, dann lass ich es erstmal so. Stimme dir zu, aber ich hab natürlich die lokalen aus dem andren Subnetz genommen, das via VPN aufgebaut ist, sonst komme ich nämlich von meinem Rechner nicht auf die Cams. Von Mobil etc möchte ich erstmal garnicht zugreifen.

 

[error]

Ab in die Kindersicherung und onlinezeit komplett sperren. So klappt es.

 

[xamoel]

Äh Moment, wie meinen?

Ich hab jetzt ein Profil "IoT" gemacht ohne Zeitbeschränkung, mit "Filter für Internetseiten" auf "HTTPS erlauben", und "nur Whitelist erlauben" mit meinen IPs aus dem andren Subnetz vom VPN.

Meinst du ich soll die Zeit auf "nie" setzen? Zusätzlich?

 

[ldasta]

Das wäre das gleiche wie gesperrt, geht dann über VPN auch nicht.
Wenn die Fritzbox als Gateway bei den Geräten aus dem anderen subnetz angegeben ist , dann müsstest du auch von da aus zugreifen können (VPN natürlich wieder ausgenommen).

 

[error]

Moin,

ich habe es so gelöst:
-Das Profil auf "gesperrt" bei dem jeweiligen Gerät gesetzt. Schon war kein Internetzugriff für das Gerät mehr möglich. Vom LAN aus ging es ohne Probleme.

Und es geht auch wenn du ein extra Profil erstellst und dort die Onlinezeit auf nie stelltst. Oder eben Zeitraum auf "eingeschränkt" und immer den Zugang sperren/verweigern.

Ansonsten brauchst du bei dem Profil nichts einstellen. Inmternetseiten filtern macht keinen Sinn, da die Geräte nicht ins Internet kommen

Gruß

 

[xamoel]

Danke, hab ich probiert, dann geht der Zugang via VPN aus andrem Subnetz aber auch nicht, daher hab ich ein extra Profil erstellt mit Whitelist für die entsprechenden IPs.

 

[error]

Moin,

wie soll der Zugriff aus einem anderen Subnetz klappen?
Hast du im VPN die Route angegeben? Wenn nicht, kannst du auch nicht via VPN aus einem anderen Subnetz zugreifen.

Warum nutzt du ein VPN mit anderem Subnetz? So viele Clienst hast du noch bestimmt nicht, dass du ein zweites Subnetz brauchst?

Ich vermute, dass es weniger ein Problem mit den Filtern ist sondern mehr mit den Routen zum Ziel...

Gruß

 

[xamoel]

Zu meiner Ausgangssituation: Ich habe 3 Internetanschlüsse an 3 verschiedenen Locations, jeweils mit einer Fritzbox dahinter.
Damit das mit FritzVPN klappt, muss man zwingend verschiedene Netze haben, bei mir 192.168.0.x, 192.168.1.x und 192.168.2.x.
Wenn ich nun das Profil Gesperrt wähle, erreiche ich die Cams hinter 192.168.0.x nicht mehr von 192.168.1.x.
Geht nur mit Whitelist und eigenem Profil.

 

[chrigu]

dafür kannst du in der fritze die "statische routingtabelle" ändern... so kannst du mit subnetzA auf subnetzB zugreifen...

 

[xamoel]

Was genau müsste ich da eingeben, und mit welchem Ergebnis?

Zugreifen via Browser auf die andren Subnetze und die entsprechenden Geräte geht problemlos atm. Was ändert sich mit einer Routingtabelle?

 

[chrigu]

https://avm.de/service/fritzbox/fri...1_Statische-IP-Route-in-FRITZ-Box-einrichten/