Fritzbox als VPN-Gateway: Vom Home-Office sicher auf das Firmennetzwerk zugreifen

Auch wenn das IPsec-Framework sehr komplex ist, liegt es auch in seinem Wesen, dass Parameter für Verbindung, Schlüssel­austausch und Ver­schlüs­selung mehr oder weniger automatisch ausgehandelt werden.

Daher müssen sich Fritzbox-Admins beim Einrichten eines VPN-Fernzugangs nicht mit Protokollen wie ESP/IKE, Hash-Verfahren wie SHA1/SHA245, Deffie Hellman-Groups wie modp1024/ecp246 oder der Verschlüsselung mit AES256/Blowfisch herum­schlagen.

Trotzdem ist ein Grund­verständnis von IPsec essentiell für die Fehlersuche, etwa wenn Pakete im Tunnel verschwinden, die dort nicht hinein sollen. Die Krux bei IPsec etwa im Vergleich zu SSL-VPNs ist, dass es kein VPN-Device gibt, das man in der Routing-Tabelle entsprechend behandeln kann.

FRITZ!Fernzugang installieren

Diese Anleitung funktioniert für PCs mit Windows 10 (64Bit) oder Windows 7 / 8.x (64 oder 32Bit) sowie einer Fritzbox im Router-Betrieb, die vom Internet-Provider eine öffentliche IPv4-Adresse erhalten hat.

Für den Client-Zugriff muss man das Tool FRITZ!Fernzugang installieren, Sie können es von AVM herunterladen.

Das ZIP-Archiv muss man lokal entpacken, es enthält eine EXE-Datei, welche das Setup einleitet.

Nach der Installation ist ein Neustart fällig.

Konfigurationsdateien erzeugen

Danach lädt man von der gleichen Website das Programm FRITZ!Box Fernzugang einrichten herunter und installiert es auf einem Windows-PC.

Dieses Tool erlaubt eine komfortable VPN-Konfiguration, indem es alle Sicherheits­einstellungen auto­matisch erzeugt und in zwei Konfigurations­dateien (*.cfg) schreibt (eine für die Fritzbox und eine für den Client).

Diese muss der Admin lediglich in die Fritzbox und über das Programm FRITZ!Fernzugang auf dem Client importieren.

Adresskonflikte vermeiden

Beide Seiten der IPsec-VPN-Verbindung müssen IP-Adressen aus unter­schiedlichen privaten IP-Netzwerken benutzen. Es ist also nicht möglich, das folgende Setup von einem Windows-Server aus zu testen, der an der gleichen Fritzbox hängt.

Das klappt auch dann nicht, wenn der Client zwar mit einer anderen Fritzbox verbunden ist, beide Seiten aber wegen beibehaltener Werks­einstellungen den gleichen IP-Adressbereich (192.168.178.0/24) nutzen.

Wenn also an beiden Standorten eine Fritzbox mit Werks­vorgaben steht, dann muss man deren IP-Bereich im Menü unter Heimnetz => Netzwerk im Reiter Netzwerk­einstellungen anpassen.

Änderungen in der Client-Umgebungen kann man in der Regel aber vermeiden, indem man die Netzwerk­einstellungen der Office-Fritzbox nicht bei den Vorgaben des Herstellers belässt.

Möchte man das Setup lokal testen, dann besteht die einfachste Möglichkeit darin, den VPN-Client-Rechner per USB- oder Bluetooth-Tethering mit einem LTE-Smartphone zu verbinden, um eine Internet-Verbindung über das Mobil­funknetz herzustellen. Dadurch erhält man ein Ethernet-Device mit einer IP-Konfiguration, das vom internen Netzwerk unabhängig ist.

VPN-Einstellungen generieren

Sind alle Vorbereitungen soweit getroffen, dann kann man die erforderlichen VPN-Einstellungen generieren. Dazu startet man das vorhin installierte Programm FRITZ!Box-Fernzugang einrichten und klickt auf die Schaltfläche Neu, um eine neue Konfiguration zu erzeugen.

Hier verwenden wir den ersten Eintrag Fernzugang für einen Benutzer einrichten. Im nächsten Dialog wählen wir die Option PC mit FRITZ!Fernzugang für dem gewünschten Client-Typ.

Danach gibt man die E-Mail-Adresse des Benutzers an, der die VPN-Verbindung herstellt. Es folgt der MyFRITZ!-Domainname der Fritzbox. Dieser ist notwendig, weil eine Fritzbox üblicherweise eine dynamisch vom Provider vergebene öffentliche IP erhält. Der Fritzbox-eigene DynDNS-Service löst den Namen der Domäne anhand der jeweils aktuellen IP-Adresse auf.

Wer diesen in Verbindung mit einem MyFRITZ!-Konto nicht nutzen möchte, kann natürlich auch einen anderen DynDNS-Anbieter wählen. Wichtig ist nur, dass die Fritzbox immer über einen eindeutigen, öffentlich auflösbaren DNS-Namen auffindbar ist.

Ein MyFRITZ!-Domainname lässt sich direkt über diesen Dialog einrichten, falls noch keiner existiert. Das Tool leitet den Nutzer dazu auf die Oberfläche der Fritzbox um. Nach einem Klick auf Weiter muss das IP-Netzwerk der Fritzbox angegeben werden.

Wer die Werkseinstellungen nicht geändert hat (IP-Adresse 192.168.178.1, Subnetzmaske 255.255.255.0) kann sich hier einfach für die Option Werkseinstellung der FRITZ!Box für das IP-Netzwerk übernehmen entscheiden.

Andernfalls wählt man die Option Anderes IP-Netzwerk verwenden und gibt die Daten zum Ziel­netzwerk an. Wer möchte, kann sämtliche Internet-Anfragen des Client-PCs über die entfernte Fritzbox leiten, wenn er dazu die Option Alle Daten über den VPN-Tunnel senden aktiviert.

Auf diese Weise könnten Mitarbeiter von unterwegs beispielsweise ihre E-Mails sicher abzurufen, obwohl sie mit einem unsicheren WLAN, wie etwa einem öffentlichen Hotspot, verbunden sind. Allerdings ist es effektiver, den VPN-Tunnel nur dazu zu nutzen, um sich per RDP oder SSH auf einen Firmen­rechner (Windows / Linux) zu verbinden.

Nach einem Klick auf Weiter kann man noch aussuchen, ob man die Konfigurations­dateien direkt exportieren oder nur das Verzeichnis anzeigen möchte, das die Konfigurationsdateien enthält.

In diesem Fall muss man den Export dann noch einmal extra mit einem Klick auf Exportieren im Hauptbildschirm einleiten.

Anschließend entscheidet man noch, ob die Konfiguration als E-Mail-Anhang direkt versandt oder lokal im angegebenen Verzeichnis gespeichert werden soll. Außerdem kann das Programm die VPN-Einstellungen verschlüsseln. In diesem Fall ist ein Kennwort anzugeben.

VPN-Einstellungen importieren

Jetzt müssen die VPN-Einstellungen nur noch auf der Fritzbox und im Tool FRITZ!Fernzugang des Clients importiert werden.

Dazu loggt man sich zuerst im Web-Interface der Office-Fritzbox ein und klickt im Menü Internet auf Freigaben, wechselt zum Reiter VPN und klickt dann auf VPN-Verbindung hinzufügen, sowie anschließend auf Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren.

Hier kann man kann die eben exportierte bzw. per E-Mail übertragene Datei angeben. Es handelt sich dabei standard­mäßig um vpnadmin.cfg im Verzeichnis %APPDATA%/AVM/FRITZ!Fernzugang.

Mit einem abschließenden Klick auf Speichern werden die Einstellungen übernommen.

Jetzt müssen wir noch am Client die Konfiguration im Programm FRITZ!Fernzugang über Datei => Import einlesen. Hier handelt es sich um eine Datei mit einem Namen nach dem Muster
%APPDATA%/AVM/FRITZ!Fernzugang/<MyFRITZ!-DNS-Name>/<User>/vpnuser_<user>.cfg.

Nun kann man mit dem Programm eine VPN-Verbindung herstellen. Dazu klickt man im Hauptfenster des Tools auf den Namen der Verbindung und dann auf das Symbol Aufbau.

Abschließend sei noch erwähnt, dass man nicht unbedingt FRITZ!Fernzugang für den Verbindungs­aufbau nutzen muss. Sein Vorteil besteht aber darin, dass man dafür wie beschrieben eine passende Konfiguration sehr einfach erzeugen kann.