ich habe mir heute mal das eingebaute vpn der fritzbox angeschaut ... hab es auch so weit hin bekommen, das ich mich mit einem rechner per vpnc mich mit der fritzbox verbinden konnte. so weit auch alles gut.
was ich allerdings nicht möchte ist, das der client, der sich mit meiner fritzbox verbindet, NICHT über meine leitung ins internet gehen darf. abgesehen davon, ist die verbindung ins netz auch eher langsamer weil ja meine fritzbox nicht viel upload hat. der client soll einfach nur auf meine internen rechner zugreifen können.

per freetz habe ich mir auch einen openvpn server erstellt, dort funktioniert das.

gibts da ne lösung, das der client eben nicht über meine fritzbox ins internet geht. er sollte eher so sein eigenes GW fürs internet nehmen.
ein Monat später
Funktioniert mit dem NetworkManager prächtig, wenn Du in der GUI in einer der IP-Einstellungen das Häkchen vor "Diese Verbindung nur für Ressourcen in deren Netzwerk verwenden" setzt. Such am besten in den man-Pages nach der jeweiligen Backend-Option.
naja, den nutze ich ja nicht. ich denke auf dem client muß dann einfach das default-gw wieder umgestellt werden. am liebsten würde ich aber auf der fritzbox verbieten über mich von außen surfen zu können. ich habe die iptables auf der box installiert. wäre es damit möglich?
The Hit-Man schriebnaja, den nutze ich ja nicht. ich denke auf dem client muß dann einfach das default-gw wieder umgestellt werden. am liebsten würde ich aber auf der fritzbox verbieten über mich von außen surfen zu können. ich habe die iptables auf der box installiert. wäre es damit möglich?
Ja. Dieses "feature" nennt sich "routing".
ich hatte aber gesehen, das sogar das avm webinterface irgendwas mit routen unterstützt. muß ich mir mal anschauen. bin jetzt nicht so der netzwerkprofi.
Die können aber bei weitem nicht alles, was du mit iptables machen kannst:
iptables -A FORWARD -s <VPN_Subnetz> -d <VPN_Subnetz> -j ACCEPT
iptables -A FORWARD -s <VPN_Subnetz> -j DROP
Fällt mir so aus dem Kopf ein. Ohne Garantie auf Vollständigkeit oder Richtigkeit.
aber schau mal, ich habe mir jetzt einfach mal nen vpnc zugang zu meiner box gemacht. verbindet sich auch. wenn ich nun ein 'route -n' mache auf meinem client, sieht das ao aus:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 tun0
0.0.0.0 192.168.43.1 0.0.0.0 UG 211 0 0 enp0s26f7u4
185.55.75.158 192.168.43.1 255.255.255.255 UGH 0 0 0 enp0s26f7u4
192.168.43.0 0.0.0.0 255.255.255.0 U 211 0 0 enp0s26f7u4

das heißt doch, das das gateway von meinem handy kommt ( worüber ich mich jetzt zu testzwecken zu meiner fritzbox hin verbinde ).
denn meine fritzbox hätte das gateway 192.168.10.1 und hier sehe ich jetzt trotz vpnc verbindung das gateway 192.168.43.1.
sollte das nicht so in ordnung sein?
Ich kenne die Details deines Setups nicht.
Deine Informationen sind spärlich.
Eine Übersicht über verwendete Geräte, deren Rollen, Netzwerkkarten und Netzwerkkonfigurationen wäre hilfreich.
Was ergibt ein
traceroute 8.8.8.8
von deinem Client in der von dir o.g. Konfiguration?
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 google-public-dns-a.google.com (8.8.8.8) 253.843 ms 255.440 ms 255.846 ms
2 google-public-dns-a.google.com (8.8.8.8) 420.282 ms 420.528 ms 421.694 ms
3 google-public-dns-a.google.com (8.8.8.8) 421.707 ms 421.712 ms 421.720 ms
4 google-public-dns-a.google.com (8.8.8.8) 420.481 ms 420.500 ms 420.515 ms
5 google-public-dns-a.google.com (8.8.8.8) 420.517 ms 420.520 ms 420.616 ms
6 * google-public-dns-a.google.com (8.8.8.8) 188.749 ms 297.509 ms
7 google-public-dns-a.google.com (8.8.8.8) 297.510 ms 297.514 ms 297.526 ms
8 google-public-dns-a.google.com (8.8.8.8) 297.531 ms 298.154 ms 297.524 ms
9 google-public-dns-a.google.com (8.8.8.8) 301.425 ms 298.219 ms 301.098 ms
10 google-public-dns-a.google.com (8.8.8.8) 301.354 ms 301.393 ms 301.417 ms
also ich werde da gar nicht schlau drauß.
Merkwürdig, dass zehnmal der Zielhost direkt ausgegeben wird, statt den Zwischenstationen.
Die in #8 geforderten Informationen könnten hier weiter helfen.
ich habe hier was gefunden. also muß das ja möglich sein, was ich vor habe.
http://www.andreas-reiff.de/2015/09/gesamten-internetverkehr-durch-avm-fritzbox-vpn-tunneln-umgehung-von-port-und-ip-sperren-sowie-sicheres-surfen/

es muß wohl ein config-tool unter windows geben, mit dem man wohl eine .config für die fritzbox erstellen lassen kann, die man dann in der fritzbox wieder einlesen kann.
das nennt wich wohl tunnel-all-trafic oder auch eben nicht. nur wenn das so ist, wie bastellt man sich eine solche .conf selber? da ich ja freetz nutze, könnte ich per ssh mal die verzeichnisse von der fritzbox durchsuchen.

EDIT: denn ich möchte diesen tunnel-all-trafic in der box abschalten. so wie du eben sagtest, mit dem networkmanager. das ist aber leider auf der client seite.
ahhhh, habe mir jetzt das tool zum erstellen solcher .configs mal unter wine installiert. jetzt kann ich auch sehen, wie die datei aufgebaut ist.
harr 🙁 zu früh gefreut ... in der client.conf kann man dann die option setzen tunnel-all-traffic 🙁
genau das was ich ja nicht will.
@schard:
hatte mir dann doch noch mal deine iptables angeschaut ... das funtzt sogar so weit 😉 könntest vielleicht noch mal ne idee geben? ich google ja schon wie nen blöden 🙁
vpn client verbindet sich mit der box und kommt nicht ins netz ( so wie ich es mag ). kann auch auf die resourcen zu greifen ( so wie ich es auch mag ) ... kann man da weiter gehen? das die rechner hinter der box also das lokale netz erreichbar wird?
wäre echt ne hilfe, hast mir aber so schon ne menge geholfen ...
  • [gelöscht]

Vor dem drop Kommando folgende Zeile einfügen.
iptables -A FORWARD -s <VPN_Subnetz> -d <dein_LAN_Subnetz> -j ACCEPT
ich frage lieber noch einmal nach, bevor ich mich selber aussperre. also bis jetzt habe ich diese beiden regeln eingetragen:

-A FORWARD -s 192.168.10.100 -d 192.168.10.100 -j ACCEPT
-A FORWARD -s 192.168.10.100 -j DROP

weil mein client bekommt vom vpn die adresse 192.168.10.100 zugewiesen.

@Schard-nologin:
wie würde jetzt deine letzte regel aussehen? etwas so?

iptables -A FORWARD -s 192.168.10.100 -d 192.168.10.0 -j ACCEPT

oder ist <dein_LAN_Subnetz> der rechner, an dem weiter geleitet werden soll, zum beispiel an 192.168.10.4 ( wäre jetzt auch noch ein rechner in meinem lokalen netz ).

wie gesagt, bin da nicht so bewandert und bevor ich mich mit einer regel, komplett aussperre ( dann müßte ich wohl die box zurück setzen ), frage ich lieber noch mal nach.
gibt es eine art range, die ich angeben kann? ich weiß das meine lokalen rechner von 192.168.10.2-192.168.2.99 gehen.
ab 192.168.10.100 vergibt mein VPN adressen. jetzt müßte ich da ja jeden einzelnen rechner eintragen oder gibt es eine art range ...
The Hit-Man schriebich frage lieber noch einmal nach, bevor ich mich selber aussperre.
Ohne direkt etwas zur Sache bei zu tragen:

Um sich nicht auszusperren bau dir ein Script das die Regeln wieder deaktiviert.

<pseudocode>
iptables foo bar
iptables bar foo
sleep 60
iptables clearall
</pseudocode>

Erspart Kopfschmerzen 😉
@chepaz:
wäre für die fritzbox zu viel aufwand ( weil da mache ich ja die iptables ). ich muß einfach nur drauf achten, das ich den dienst, der die iptables startet nicht auf automatisch steht denn dann brauche ich die box einfach nur neu zu starten 😉 war aber so euforisch, das ich es auf automatisch stehen hatte 🙁
jetzt bin ich schlauer ...