Ich hatte das Problem, das ich mit einen Kumpel aus Kiel ein VPN machen wollte. Das doofe ist dann aber, das derjenige, der VPN Zugang hat, zugriff auf das gesamte Netzwerk hat bei seiner Einwahl. Das ist ein Zustand, den ich nicht dulden konnte, so hatten wir den VPN-Test recht bald abgebrochen. Aber das hat mir keine ruhe gelassen, also schaute ich mir gerade nochmals die .cfg an und entdeckte fast ganz unten das:

accesslist =
"permit ip 10.0.0.0 255.255.255.255 10.0.0.231 255.255.255.255";

Also probierte ich das:

accesslist =
"permit ip 10.0.0.101 255.255.255.255 10.0.0.231 255.255.255.255";

Test via Android (ping im Terminal): klappt, ping zum VDR (10.0.0.101) klappte, zur Fritzbox und zur Kamera (10.0.0.112)klappte nicht – PERFEKT!

Also noch flott weiter getestet:

accesslist =
"permit ip 10.0.0.101 255.255.255.255 10.0.0.231 255.255.255.255";
"permit ip 10.0.0.112 255.255.255.255 10.0.0.231 255.255.255.255";

und es gab ein Fehler beim hochladen….. am ende der ersten teile gehört kein Semikolon, sondern ein Komma.
So kann man den Zugriff auf die einzelnen Hosts im Netz verdammt gut steuern :)

Hier mal meine test.cfg:

/*
* C:\users\crossover\Application Data\AVM\FRITZ!Fernzugang\layer8\fritzbox_layer8_peter1.cfg
* Fri Jun 07 22:19:53 2013
*/
 
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "peter1";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 10.0.0.231;
remoteid {
key_id = "peter1";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "lmaa";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
xauth {
valid = yes;
username = "peter1";
passwd = "lmaa";
}
use_cfgmode = yes;
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 10.0.0.231;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 10.0.0.101 255.255.255.255 10.0.0.231 255.255.255.255",
"permit ip 10.0.0.112 255.255.255.255 10.0.0.231 255.255.255.255",
"permit ip 10.0.0.119 255.255.255.255 10.0.0.231 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
 
// EOF