IPFire IPSec Zugang per Fritzbox in ein bestimmtes Netz

Da gibt es 2 Möglichkeiten das zu lösen:

• 1.) Die Quick an Dirty Methode: Einfach Firewall Regeln auf der IPFire für den Tunnel definieren die den Traffic in das nicht gewollte IP Netz blocken. Unschön, da der geblockte Traffic am Ziel geblockt wird und den Tunnel belastet (Performance). Funktioniert aber problemlos.
• 2.) Besser: Eintrag über die Phase 2 SAs. Dort definierst du ja immer das oder die remote(n) Subnetz(e). Das bestimmt dann welcher Traffic in den VPN Tunnel geroutet wird. Hier lässt du einfach das zweite IP Netz weg was du nicht im Tunnel haben willst und dann wird es gar nicht erst in den Tunnel geroutet.

Will sagen. Wenn an der IP Fire mehrere IP Netze sind und du die per VPN Tunnel angebundenen FB aber nur in ein einziges Netz dort kommunizieren lassen willst, dann trägst du auch einzig nur dieses IP Netz unter Remote (Entferntes Netzwerk, Subnetzmaske) bei der FB ein. Dann kann die FB auch rein nur in das eine IP Netz via VPN Tunnel sprechen.
Wenn du zum Gürtel noch den Hosenträger willst machst du beides zusammen, was dann wirklich wasserdicht ist.
Beide Wege führen zum Ziel.
Grundlagen dazu, wie immer, auch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a

Nein, die ist leider falsch ! Siehst du vermutlich auch selber, oder ?
Mit der Entfernten IP ist natürlich niemals die lokale IP Adresse der FritzBox im lokalen LAN gemeint, sondern die öffentliche IP Adresse der FB im Internet. (DSL oder Internet Port der FB)
Das könnte aus dem Grunde schon nicht funktionieren da die privaten_RFC1918_IP_Adressen im Internet gar nicht geroutet werden. Eine Ziel IP von 192.168.178.100 wäre technisch unerreichbar !
Hier wird also immer die öffentliche Internet IP der FB eingetragen. (Check mit https://www.myexternalip.com )
Sofern die FritzBox eine wechselnde, öffentliche IP Provider Adresse hat gibt man dort 0.0.0.0 an dann akzeptiert die IPFire auch wechselnde bzw. beliebige VPN Tunnel IPs.
Den gleichen (Anfänger) Fehler hast du auch auf der FritzBox selber gemacht ! Bitte auch mal lesen was da im GUI steht !! Geben sie die Internet IP Adresse ein ! Eine private RFC 1918 IP Adresse ist keine Internet IP Adresse da sie da gar nicht vorkommt. Siehe oben !
Das ist richtig !

Das ist doch ein Screenshot der IPFire, oder ?
Dann ist das wieder FALSCH !
Das entfernte Subnetz der FritzBox ist doch niemals 0.0.0.0. oder ? So ein Subnetz gibt es doch außerdem gar nicht, das solltest du doch wissen als Administrator. IP Grundschule, 1. Klasse !
IP Fire:
Lokales Subnetz: 172.20.0.0 255.255.255.0
Entfernte IP: Öffentliche Internet IP des remoten VPN Routers/Firewall.
Entferntes Subnetz: Lokales LAN Netz des remoten VPN Routers/Firewall.
FritzBox:
Internet Adresse: Öffentliche IP Adresse des gegenüberliegenen VPN Routers/Firewall.
Entferntes Netzwerk: Lokales IP LAN Netz des gegenüberliegenen VPN Routers/Firewall.
Subnetz Maske: Subnetz Maske des lokalen IP LAN Netzes des gegenüberliegenen VPN Routers/Firewall.
Fertisch....
Eigentlich doch ganz einfach und logisch... Beide Seiten müssen immer das jeweilige Gegenüber kennen.
Einfach wirklich mal einen Blick in das o.a. Tutorial werfen. Das ist bei allen VPN Routern immer gleich so.
Irgendwie ist auch deine Shift Taste am Keyboard defekt...

Hallo.

Doch hat sie.

Registriere Dir doch zwei DynDNS Adressen bei den einschlägigen bekannten Diensten. Diese DynDNS Adressen musst Du dann in den jeweiligen Konfigurationen hinterlegen.

Gehe bitte mal auf den Vorschlag von aqui ein und besuche die Website https://www.myexternalip.com.

Dort steht ganz oben Deine öffentliche IP, von Deinem Provider Dir zugewiesen.

Ist das eigentlich ein Kabel (eventuell DS-Lite Anschluss) oder "normales" (A oder V)DSL?

Gruß
Radiogugu

Besteht das Problem denn noch ?
Wenn ja wäre eine kurze Skizze des IP Adressdesign hier hilfreich für eine finale Lösung !