Remote Dial-In User VPN
Neben dem direkten Zugang zwischen den beiden bestehenden Netzwerken nutzen wir oftmals die Möglichkeit, auch von unterwegs (beispielsweise vom Tablet oder Smartphone) auf das lokale Netzwerk zugreifen zu können. Dies erlaubt uns zum einen den Zugriff auf Ressourcen im Heimnetz und führt zum anderen zu einer höheren Sicherheit beim Web Browsing in öffentlichen W-LAN Netzwerken.
Zur Einrichtung eines solchen Zugangs bietet DrayTek den "VPN Server Wizard an". Hier muss als Modus der "Remote Dial-in User (Teleworker)" gewählt werden und ein Index für das dafür notwenige Profil gewählt werden. Weiterhin lassen sich verschiedene Einwahloptionen nutzen - darunter PPTP, IPSec, L2TP/IPSec oder ein SSL-Tunnel. Da wir auf unseren Endgeräten bisher ausschließlich IPSec XAuth nutzen wählen wir hier nur IPSec.
Da bei IPSec ein gemeinsamer Schlüssel für alle Nutzer verwendet wird, muss im Wizard prinzipiell keine weitere Eingabe erfolgen. Jedoch sollte im Laufe des Wizards mit der Option "View more detailed configuration" in die Detail-Konfiguration des neuen Nutzers gewechselt werden. In dieser sollte, sofern nicht benötigt, der standardmäßig aktivierte OpenVPN-Tunnel deaktiviert werden und es muss ein Username und das zugehörige Passwort vergeben werden. Letztere werden später für eine erfolgreiche Verbindung benötigt.
Nachdem wir auf Basis des Wizards mehrere Nutzer angelegt haben muss letztlich unter "VPN and Remote Access" -> "IPSec General Setup" noch der gemeinsame Schlüssel für XAuth vergeben werden. Hier empfiehlt es sich auch die Option "Medium (AH)" zu deaktivieren, da hier die Daten nur authentifiziert, nicht jedoch verschlüsselt werden.
Auch Verbindungen von Remote Dial-in Usern werden im Menü "Connection Management" dargestellt.
VPN Verkehr filtern
Grundlegend erhält jeder VPN-Zugang vollen Zugriff auf das lokale Netzwerk - dies gilt sowohl für die LAN-LAN-Kopplung als auch für Remote Dial-In User. Während dies in unsere Konfiguration im Falle der Remote Dial-In User gewollt ist, soll der Zugang aus dem entfernten Netzwerk der Fritz!Box in Richtung unseres lokalen Netzes unterbunden werden. Nur Verbindungen, die aus dem lokalen Netzwerk initiiert werden, sollen zugelassen werden.
Dazu müssen die Filter-Einstellungen der Firewall unter "Firewall" -> "Filter Setup" angepasst werden. Wie die Bezeichnung schon andeutet, wird standardmäßig der Filter mit dem Index 2 für Daten angewendet. Hier erstellen wir eine zweite Filterregel. Als Direction wird "LAN/RT/VPN -> LAN/RT/VPN" benötigt, wobei diese über den Button Advanced noch genauer eingestellt werden kann und so letztlich nur aus Traffic aus dem VPN in Richtung der LAN-Netze und der anderen VPN-Nutzer gefiltert werden soll. Als Regel setzen wir dabei auf die Filterregel "Pass if no Further Match" und verweisen über "Branch to Other Filter Set" für erkannten Traffic auf die diese Regel zutrifft auf einen neues Filter-Set mit Index 3.
In diesem Filter-Set legen wir diverse Filter an. Zum einen erlauben wir in Filter-Regel 1 den Vollzugriff des Überwachungsservers "192.168.179.2" (im entfernten Netz ist dafür ein Zabbix-System installiert) auf alle Hosts unseres Netzwerkes. Mit der Regel 2 wird hingegen jeglicher andere Traffic aus dem entfernten Netzwerk unterbunden.
Da die Firewall statusbehaftet (stateful) arbeitet, werden hingegen Verbindungen aus unserem Netzwerk hinaus in das entfernte Netz nicht durch diese Regeln unterbunden.