VPN von heimischer Fritzbox zum Firmennetzwerk einrichten

    Fritzbox 7590Wer zu Hause eine Fritzbox als Internet-Router einsetzt, kann diese so konfigurieren, dass sie eine VPN-Verbindung zum Firmen­netz­werk aufbaut. Damit erhalten alle Geräte im Client-Netz­werk auto­matisch Zugriff auf die IT-Ressourcen der Firma. Admins müssen aber das VPN-Gateway zuvor für die Fritz­box anpassen.

    Welche IPsec-Parameter für eine VPN-Verbindung konkret ausgehandelt werden, hängt von der Gegenstelle ab. Unter­nehmen setzen unter­schiedliche Produkte als VPN-Gateway und Firewall (meist kombiniert) ein. Populäre Hersteller sind Cisco, Dell, Juniper, Palo Alto, Check Point oder Fortinet.

    Für diese Anleitung gehen wir davon aus, dass der Administrator des VPN-Gateways in der Firma eine VPN-Client-Verbindung für die Fritzbox eingerichtet hat. Dabei muss er die von der Fritzbox akzeptierten IPsec-Protokolle und Algorithmen nutzen.

    Konfiguration des VPN-Gateways in der Firma

    So unterstützt die Fritzbox VPN-Verbindungen mittels ESP, IKEv1 und Pre-Shared Keys (PSKs), aber keine Authentication Header (AH). Das ist zu verschmerzen, weil AH keine Verschlüsselung bietet.

    Bei den eigentlich verwendeten IPsec-Algorithmen muss man die IKE-Phasen 1 und 2 unterscheiden. Die Phase 1 richtet die gegenseitige Authen­tifizierung der Peers ein, wobei diese krypto­graphische Parameter aushandeln und den Sitzungs­schlüssel generieren.

    Hier unterstützt die Fritzbox die Hash-Algorithmen SHA2-512, SHA1 und MD5-96 sowie die symmetrischen Ver­schlüsselungs­verfahren AES 256, AES 192, AES 128, Triple-DES 168 und  DES 56. Der Schlüssel­austausch erfolgt über das  Diffie-Hellman-Verfahren initial mit 1024 Bit, also DH-Gruppe 2.

    Die Fritzbox akzeptiert danach aber auch 768, 1536, 2048 und 3072 Bit, also die DH-Gruppen 1, 5, 14 und 15.

    In der IKE-Phase 2 wird dann ein IPsec-Tunnel ausgehandelt und dabei das Schlüssel­material erstellt. Die verwendeten Verschlüs­selungs­verfahren und Hash-Algorithmen sind bei der Fritzbox die gleichen wie in Phase 1.

    VPN-Konfiguration der Fritzbox

    Für das weitere Vorgehen nehmen wir für die benötigten Verbindungs­parameter folgende Beispielwerte an:

    • vpn.meinefirma.de als Domain Name des Firmen-VPN
    • 10.50.0.0/16 als IP-Netzwerk der Firma
    • Thomas Drilling als VPN-Benutzername (repräsentiert durch "IPsec-ID und Key-ID")
    • 2sercure4you als Preshared-Key der VPN-Verbindung

    Um die VPN-Verbindung zum Firmen-Gateway einzurichten, navigieren wir in der Web-Oberfläche der Fritzbox zum Menü Internet => Freigaben und führt dort unter dem Reiter VPN den Befehl VPN-Verbindung hinzufügen aus.

    Hier klickt man dann auf Diese Fritzbox mit einem Firmen-VPN verbinden und erneut auf Weiter. Jetzt trägt man im Feld VPN-Benutzername (Key-ID) die IPsec-ID der VPN-Verbindung ein, die im VPN-Server für die Fritzbox eingerichtet wurde (hier: Thomas Drilling).

    Neue VPN-Verbindung für den Zugriff auf das Firmennetzwerk konfigurieren

    Ins Feld  VPN-Kennwort (Preshared Key) kommt das oben genannte Kennwort, unter Name der VPN-Verbindung gehört eine beliebige eindeutige Bezeichnung für die Verbindung.

    Bei Internetadresse trägt man den Domain Name (oder die fixe öffentliche IP-Adresse des VPN-Servers) ein, hier also vpn.meinefirma.de. Für Entferntes Netzwerk gibt die Netzwerkadresse des Firmen-VPNs ein, im Beispiel 10.50.0.0, gefolgt von der Subnetzmaske hier 255.255.0.0.

    Anmelde- und Netzwerkinformationen für die neue VPN-Verbindung eingeben

    Soll die Verbindung zum VPN-Server permanent aufgebaut werden, aktiviert man noch VPN-Verbindung dauerhaft halten. Ist diese Einstellung in Kraft, dann baut die Fritzbox die Verbindung bei einer Trennung durch den VPN-Server auch automatisch wieder auf.

    Das kann auch dann passieren, wenn die IPsec-SAs erneuert oder neu ausgehandelt werden. Ist die Option nicht aktiviert, stellt die Fritzbox die VPN-Verbindung ausschließlich bei Zugriffen auf das Firmen­netzwerk automatisch her und trennt die Verbindung nach einer Stunde Inaktivität auto­matisch.

    Sollen nicht nur die direkten Zugriffe auf Ressourcen im Firmennetz, sondern sämtliche Internet-Anfragen durch den IPsec-Tunnel an das Firmen-VPN gesendet werden, klickt man noch auf Erweiterte Einstellungen zum Netzwerkverkehr und aktiviert die Option Gesamten Netzwerkverkehr über die VPN-Verbindung senden.

    1 Kommentar

    Bild von Paul Sommer
    Paul Sommer sagt:
    19. Mai 2020 - 18:53

    Ist diese Anleitung von den Chinesen inspiriert?
    Mir fällt beim besten Wissen kein Szenario ein, bei dem man sein gesamtes Heimnetz mit all seinen PC, Handys, Tablets, Babyphones, Smart-TVs, Glühbirnen usw. in ein Firmennetz einbinden will. In meinen Augen ist das eher eine Anleitung, wie man es auf keinen Fall machen sollte.