Tags: VPN, Router, DNS
Viele kleinere Firmen setzen eine Fritzbox als DSL-Modem ein, und oft übernimmt sie weitere Rollen wie LAN-Router, WLAN-AP, Firewall oder DECT-Telefonie. Diese Anleitung zeigt, wie man eine Fritzbox als VPN-Gateway konfiguriert, so dass sich Mitarbeiter von zuhause mit einem PC zum Firmennetzwerk verbinden können.
Ein solches Setup nennt man Client-to-Site-VPN, wobei der Client in der Regel ebenfalls hinter einem DSL-Router operiert, was in vielen Fällen ebenfalls eine Fritzbox sein dürfte. Die VPN-Funktionalität der Fritzbox basiert auf dem IPsec-Framework.
IPsec geschickt verschleiert
Auch wenn das IPsec-Framework sehr komplex ist, liegt es auch in seinem Wesen, dass Parameter für Verbindung, Schlüsselaustausch und Verschlüsselung mehr oder weniger automatisch ausgehandelt werden.
Daher müssen sich Fritzbox-Admins beim Einrichten eines VPN-Fernzugangs nicht mit Protokollen wie ESP/IKE, Hash-Verfahren wie SHA1/SHA245, Deffie Hellman-Groups wie modp1024/ecp246 oder der Verschlüsselung mit AES256/Blowfisch herumschlagen.
Trotzdem ist ein Grundverständnis von IPsec essentiell für die Fehlersuche, etwa wenn Pakete im Tunnel verschwinden, die dort nicht hinein sollen. Die Krux bei IPsec etwa im Vergleich zu SSL-VPNs ist, dass es kein VPN-Device gibt, das man in der Routing-Tabelle entsprechend behandeln kann.
FRITZ!Fernzugang installieren
Diese Anleitung funktioniert für PCs mit Windows 10 (64Bit) oder Windows 7 / 8.x (64 oder 32Bit) sowie einer Fritzbox im Router-Betrieb, die vom Internet-Provider eine öffentliche IPv4-Adresse erhalten hat.
Für den Client-Zugriff muss man das Tool FRITZ!Fernzugang installieren, Sie können es von AVM herunterladen.
Das ZIP-Archiv muss man lokal entpacken, es enthält eine EXE-Datei, welche das Setup einleitet.
Nach der Installation ist ein Neustart fällig.
Konfigurationsdateien erzeugen
Danach lädt man von der gleichen Website das Programm FRITZ!Box Fernzugang einrichten herunter und installiert es auf einem Windows-PC.
Dieses Tool erlaubt eine komfortable VPN-Konfiguration, indem es alle Sicherheitseinstellungen automatisch erzeugt und in zwei Konfigurationsdateien (*.cfg) schreibt (eine für die Fritzbox und eine für den Client).
Diese muss der Admin lediglich in die Fritzbox und über das Programm FRITZ!Fernzugang auf dem Client importieren.
Adresskonflikte vermeiden
Beide Seiten der IPsec-VPN-Verbindung müssen IP-Adressen aus unterschiedlichen privaten IP-Netzwerken benutzen. Es ist also nicht möglich, das folgende Setup von einem Windows-Server aus zu testen, der an der gleichen Fritzbox hängt.
Das klappt auch dann nicht, wenn der Client zwar mit einer anderen Fritzbox verbunden ist, beide Seiten aber wegen beibehaltener Werkseinstellungen den gleichen IP-Adressbereich (192.168.178.0/24) nutzen.
Wenn also an beiden Standorten eine Fritzbox mit Werksvorgaben steht, dann muss man deren IP-Bereich im Menü unter Heimnetz => Netzwerk im Reiter Netzwerkeinstellungen anpassen.
Änderungen in der Client-Umgebungen kann man in der Regel aber vermeiden, indem man die Netzwerkeinstellungen der Office-Fritzbox nicht bei den Vorgaben des Herstellers belässt.
Möchte man das Setup lokal testen, dann besteht die einfachste Möglichkeit darin, den VPN-Client-Rechner per USB- oder Bluetooth-Tethering mit einem LTE-Smartphone zu verbinden, um eine Internet-Verbindung über das Mobilfunknetz herzustellen. Dadurch erhält man ein Ethernet-Device mit einer IP-Konfiguration, das vom internen Netzwerk unabhängig ist.
VPN-Einstellungen generieren
Sind alle Vorbereitungen soweit getroffen, dann kann man die erforderlichen VPN-Einstellungen generieren. Dazu startet man das vorhin installierte Programm FRITZ!Box-Fernzugang einrichten und klickt auf die Schaltfläche Neu, um eine neue Konfiguration zu erzeugen.
Hier verwenden wir den ersten Eintrag Fernzugang für einen Benutzer einrichten. Im nächsten Dialog wählen wir die Option PC mit FRITZ!Fernzugang für dem gewünschten Client-Typ.
Danach gibt man die E-Mail-Adresse des Benutzers an, der die VPN-Verbindung herstellt. Es folgt der MyFRITZ!-Domainname der Fritzbox. Dieser ist notwendig, weil eine Fritzbox üblicherweise eine dynamisch vom Provider vergebene öffentliche IP erhält. Der Fritzbox-eigene DynDNS-Service löst den Namen der Domäne anhand der jeweils aktuellen IP-Adresse auf.
Wer diesen in Verbindung mit einem MyFRITZ!-Konto nicht nutzen möchte, kann natürlich auch einen anderen DynDNS-Anbieter wählen. Wichtig ist nur, dass die Fritzbox immer über einen eindeutigen, öffentlich auflösbaren DNS-Namen auffindbar ist.
Ein MyFRITZ!-Domainname lässt sich direkt über diesen Dialog einrichten, falls noch keiner existiert. Das Tool leitet den Nutzer dazu auf die Oberfläche der Fritzbox um. Nach einem Klick auf Weiter muss das IP-Netzwerk der Fritzbox angegeben werden.
Wer die Werkseinstellungen nicht geändert hat (IP-Adresse 192.168.178.1, Subnetzmaske 255.255.255.0) kann sich hier einfach für die Option Werkseinstellung der FRITZ!Box für das IP-Netzwerk übernehmen entscheiden.
Andernfalls wählt man die Option Anderes IP-Netzwerk verwenden und gibt die Daten zum Zielnetzwerk an. Wer möchte, kann sämtliche Internet-Anfragen des Client-PCs über die entfernte Fritzbox leiten, wenn er dazu die Option Alle Daten über den VPN-Tunnel senden aktiviert.
Auf diese Weise könnten Mitarbeiter von unterwegs beispielsweise ihre E-Mails sicher abzurufen, obwohl sie mit einem unsicheren WLAN, wie etwa einem öffentlichen Hotspot, verbunden sind. Allerdings ist es effektiver, den VPN-Tunnel nur dazu zu nutzen, um sich per RDP oder SSH auf einen Firmenrechner (Windows / Linux) zu verbinden.
Nach einem Klick auf Weiter kann man noch aussuchen, ob man die Konfigurationsdateien direkt exportieren oder nur das Verzeichnis anzeigen möchte, das die Konfigurationsdateien enthält.
In diesem Fall muss man den Export dann noch einmal extra mit einem Klick auf Exportieren im Hauptbildschirm einleiten.
Anschließend entscheidet man noch, ob die Konfiguration als E-Mail-Anhang direkt versandt oder lokal im angegebenen Verzeichnis gespeichert werden soll. Außerdem kann das Programm die VPN-Einstellungen verschlüsseln. In diesem Fall ist ein Kennwort anzugeben.
VPN-Einstellungen importieren
Jetzt müssen die VPN-Einstellungen nur noch auf der Fritzbox und im Tool FRITZ!Fernzugang des Clients importiert werden.
Dazu loggt man sich zuerst im Web-Interface der Office-Fritzbox ein und klickt im Menü Internet auf Freigaben, wechselt zum Reiter VPN und klickt dann auf VPN-Verbindung hinzufügen, sowie anschließend auf Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren.
Hier kann man kann die eben exportierte bzw. per E-Mail übertragene Datei angeben. Es handelt sich dabei standardmäßig um vpnadmin.cfg im Verzeichnis %APPDATA%/AVM/FRITZ!Fernzugang.
Mit einem abschließenden Klick auf Speichern werden die Einstellungen übernommen.
Jetzt müssen wir noch am Client die Konfiguration im Programm FRITZ!Fernzugang über Datei => Import einlesen. Hier handelt es sich um eine Datei mit einem Namen nach dem Muster
%APPDATA%/AVM/FRITZ!Fernzugang/<MyFRITZ!-DNS-Name>/<User>/vpnuser_<user>.cfg.
Nun kann man mit dem Programm eine VPN-Verbindung herstellen. Dazu klickt man im Hauptfenster des Tools auf den Namen der Verbindung und dann auf das Symbol Aufbau.
Abschließend sei noch erwähnt, dass man nicht unbedingt FRITZ!Fernzugang für den Verbindungsaufbau nutzen muss. Sein Vorteil besteht aber darin, dass man dafür wie beschrieben eine passende Konfiguration sehr einfach erzeugen kann.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Drilling arbeitet seit mehr als 20 Jahren selbständig als Redakteur und Autor für viele ehemalige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buchautor und IT-Consultant.
Seit 5 Jahren ist Thomas neben seiner journalistischen Tätigkeit hauptberuflicher, selbständiger IT-Trainer für VMware und Microsoft.
Seine Themenschwerpunkte sind Virtualisierung und Cloud Computing, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zertifizierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas ist außerdem zertifizierter AWS Solutions Architect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Administrator.
Thomas führt aktuell jeden zweiten Montag einen 4-tägigen Grundlagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Informationen und Anmeldung über sein AWS-Blog.
Ähnliche Beiträge
Weitere Links
2 Kommentare
Hallo,
erwähnt sei, dass keine DNS-Auflösung möglich ist, wenn man einen internen DNS hinter der Fritzbox hat. Sämtliche Einstellungen (inklusive rebind) bringen nichts, bzw. greifen nur intern.
Grüße
FritzFernverbindung funktioniert wunderbar. Leider endet die Verbindung ins Firmennetz an der Gateprotect Firewall. Bei ShrewSoft VPN Client aber nicht . Woran kann das liegen ?