VPN von heimischer Fritzbox zum Firmennetzwerk einrichten


    Tags: , , ,

    Fritzbox 7590Wer zu Hause eine Fritzbox als Internet-Router einsetzt, kann diese so konfigurieren, dass sie eine VPN-Verbindung zum Firmen­netz­werk aufbaut. Damit erhalten alle Geräte im Client-Netz­werk auto­matisch Zugriff auf die IT-Ressourcen der Firma. Admins müssen aber das VPN-Gateway zuvor für die Fritz­box anpassen.

    Welche IPsec-Parameter für eine VPN-Verbindung konkret ausgehandelt werden, hängt von der Gegenstelle ab. Unter­nehmen setzen unter­schiedliche Produkte als VPN-Gateway und Firewall (meist kombiniert) ein. Populäre Hersteller sind Cisco, Dell, Juniper, Palo Alto, Check Point oder Fortinet.

    Für diese Anleitung gehen wir davon aus, dass der Administrator des VPN-Gateways in der Firma eine VPN-Client-Verbindung für die Fritzbox eingerichtet hat. Dabei muss er die von der Fritzbox akzeptierten IPsec-Protokolle und Algorithmen nutzen.

    Konfiguration des VPN-Gateways in der Firma

    So unterstützt die Fritzbox VPN-Verbindungen mittels ESP, IKEv1 und Pre-Shared Keys (PSKs), aber keine Authentication Header (AH). Das ist zu verschmerzen, weil AH keine Verschlüsselung bietet.

    Bei den eigentlich verwendeten IPsec-Algorithmen muss man die IKE-Phasen 1 und 2 unterscheiden. Die Phase 1 richtet die gegenseitige Authen­tifizierung der Peers ein, wobei diese krypto­graphische Parameter aushandeln und den Sitzungs­schlüssel generieren.

    Hier unterstützt die Fritzbox die Hash-Algorithmen SHA2-512, SHA1 und MD5-96 sowie die symmetrischen Ver­schlüsselungs­verfahren AES 256, AES 192, AES 128, Triple-DES 168 und  DES 56. Der Schlüssel­austausch erfolgt über das  Diffie-Hellman-Verfahren initial mit 1024 Bit, also DH-Gruppe 2.

    Die Fritzbox akzeptiert danach aber auch 768, 1536, 2048 und 3072 Bit, also die DH-Gruppen 1, 5, 14 und 15.

    In der IKE-Phase 2 wird dann ein IPsec-Tunnel ausgehandelt und dabei das Schlüssel­material erstellt. Die verwendeten Verschlüs­selungs­verfahren und Hash-Algorithmen sind bei der Fritzbox die gleichen wie in Phase 1.

    VPN-Konfiguration der Fritzbox

    Für das weitere Vorgehen nehmen wir für die benötigten Verbindungs­parameter folgende Beispielwerte an:

    • vpn.meinefirma.de als Domain Name des Firmen-VPN
    • 10.50.0.0/16 als IP-Netzwerk der Firma
    • Thomas Drilling als VPN-Benutzername (repräsentiert durch "IPsec-ID und Key-ID")
    • 2sercure4you als Preshared-Key der VPN-Verbindung

    Um die VPN-Verbindung zum Firmen-Gateway einzurichten, navigieren wir in der Web-Oberfläche der Fritzbox zum Menü Internet => Freigaben und führt dort unter dem Reiter VPN den Befehl VPN-Verbindung hinzufügen aus.

    Hier klickt man dann auf Diese Fritzbox mit einem Firmen-VPN verbinden und erneut auf Weiter. Jetzt trägt man im Feld VPN-Benutzername (Key-ID) die IPsec-ID der VPN-Verbindung ein, die im VPN-Server für die Fritzbox eingerichtet wurde (hier: Thomas Drilling).

    Neue VPN-Verbindung für den Zugriff auf das Firmennetzwerk konfigurieren

    Ins Feld  VPN-Kennwort (Preshared Key) kommt das oben genannte Kennwort, unter Name der VPN-Verbindung gehört eine beliebige eindeutige Bezeichnung für die Verbindung.

    Bei Internetadresse trägt man den Domain Name (oder die fixe öffentliche IP-Adresse des VPN-Servers) ein, hier also vpn.meinefirma.de. Für Entferntes Netzwerk gibt die Netzwerkadresse des Firmen-VPNs ein, im Beispiel 10.50.0.0, gefolgt von der Subnetzmaske hier 255.255.0.0.

    Anmelde- und Netzwerkinformationen für die neue VPN-Verbindung eingeben

    Soll die Verbindung zum VPN-Server permanent aufgebaut werden, aktiviert man noch VPN-Verbindung dauerhaft halten. Ist diese Einstellung in Kraft, dann baut die Fritzbox die Verbindung bei einer Trennung durch den VPN-Server auch automatisch wieder auf.

    Das kann auch dann passieren, wenn die IPsec-SAs erneuert oder neu ausgehandelt werden. Ist die Option nicht aktiviert, stellt die Fritzbox die VPN-Verbindung ausschließlich bei Zugriffen auf das Firmen­netzwerk automatisch her und trennt die Verbindung nach einer Stunde Inaktivität auto­matisch.

    Sollen nicht nur die direkten Zugriffe auf Ressourcen im Firmennetz, sondern sämtliche Internet-Anfragen durch den IPsec-Tunnel an das Firmen-VPN gesendet werden, klickt man noch auf Erweiterte Einstellungen zum Netzwerkverkehr und aktiviert die Option Gesamten Netzwerkverkehr über die VPN-Verbindung senden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet ist seit fast 30 Jahren selb­ständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehe­malige und aktuelle IT-Magazine sowie Blogs.

    Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.

    Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zerti­fi­zierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grund­lagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.

    Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Infor­mationen und Anmel­dung über sein Azure-Blog.

    Verwandte Beiträge

    Weitere Links

    6 Kommentare

    Ist diese Anleitung von den Chinesen inspiriert?
    Mir fällt beim besten Wissen kein Szenario ein, bei dem man sein gesamtes Heimnetz mit all seinen PC, Handys, Tablets, Babyphones, Smart-TVs, Glühbirnen usw. in ein Firmennetz einbinden will. In meinen Augen ist das eher eine Anleitung, wie man es auf keinen Fall machen sollte.

    Hallo Paul Ich muss dir vollkommen Recht geben!
    Aber leider kann ich dir aus leidvoller und langjähriger Erfahrung im Kundendienst bei mittelständigen Unternehmen sagen, dass diese Konfig häufiger vorkommt als man denken sollte. Vor allem wenn die Firmen-Admins besonders Fritzbox verliebt sind. Gruß Robert

    Hi,
    mir fällt da schon was sinnvolles ein: Eine SoHo Firma (ca. 200 PCs) mit kleinen Aussenstellen (2-4 PCs) inkl. Domänenanbindung, Exchange, SMB, DSS...
    Fritzboxen dürfen nicht nur in Heimnetzen laufen ;-)

    Das Szenario kenne ich von einem Admin Kollegen, der das nun aber umbauen möchte, da er gern sämtlichen Traffic der FB über VPN umleiten will (wegen zB Proxy Server für Inet), da das (angeblich) mit der FB nicht geht, obwohls da ein Häkchen dafür gibt.

    Besser ist das. Zumindest SMB im Netz geht gar nicht. Bei heise ist das gerade wieder Thema.

    Hat jemand eine Anleitung, wie man nicht das gesamte Heimnetzwerk per VPN an das Firmennetzwerk hängt (also nicht Site2Site) sondern nur die Geräte, die an einer weiteren Fritzbox im Heimnetz sind. Ich würde diese zweite Fritzbox dann im Arbeitszimmer nutzen, um dort PC, Drucker und ggf. IP Telefon per VPN zu koppeln. Die Kids (per WLAN im Hauptnetzwerk zuhause) sollen nicht ins Firmennetzwerk. Daher keine Site2Site Koppelung.

    Also muss es den immer die Fritzbox sein?
    Mit einem "richtigen" Router z.B. von LANCOM oder Vergleichbare lassen sich solche Szenarien mit hoher Sicherheit erstellen und oberdrein auch noch auf verschiedene Arten (VLANs, VRF/ARF, IPsecV2, GRE, Access-Regeln usw.).
    Als weitere Router könnte man auch die etwas günstigeren Geräte von Bintec (BiIP/Digibox) nehmen, diese können auch verschiedene VLANs und haben Regelwerke.
    Wenn es denn unbedingt die Fritzbox sein muss und hier dann zwei, dann richte den IPsec-Tunnel in der zweiten Box für das Homeoffice hinter der ersten Box ein. Dabei muss der Verbindungsaufbau von dieser Box aufgebaut werden. Ein Portforwarding in der ersten Box ist dazu nicht nötig wenn bei beiden VPN-Endstellen Nat-Traversale (NAT-T, Port 4500) aktiviert ist.
    Gruß Robert