VPN von heimischer Fritzbox zum Firmennetzwerk einrichten

    Fritzbox 7590Wer zu Hause eine Fritzbox als Internet-Router einsetzt, kann diese so konfigurieren, dass sie eine VPN-Verbindung zum Firmen­netz­werk aufbaut. Damit erhalten alle Geräte im Client-Netz­werk auto­matisch Zugriff auf die IT-Ressourcen der Firma. Admins müssen aber das VPN-Gateway zuvor für die Fritz­box anpassen.

    Welche IPsec-Parameter für eine VPN-Verbindung konkret ausgehandelt werden, hängt von der Gegenstelle ab. Unter­nehmen setzen unter­schiedliche Produkte als VPN-Gateway und Firewall (meist kombiniert) ein. Populäre Hersteller sind Cisco, Dell, Juniper, Palo Alto, Check Point oder Fortinet.

    Für diese Anleitung gehen wir davon aus, dass der Administrator des VPN-Gateways in der Firma eine VPN-Client-Verbindung für die Fritzbox eingerichtet hat. Dabei muss er die von der Fritzbox akzeptierten IPsec-Protokolle und Algorithmen nutzen.

    Konfiguration des VPN-Gateways in der Firma

    So unterstützt die Fritzbox VPN-Verbindungen mittels ESP, IKEv1 und Pre-Shared Keys (PSKs), aber keine Authentication Header (AH). Das ist zu verschmerzen, weil AH keine Verschlüsselung bietet.

    Bei den eigentlich verwendeten IPsec-Algorithmen muss man die IKE-Phasen 1 und 2 unterscheiden. Die Phase 1 richtet die gegenseitige Authen­tifizierung der Peers ein, wobei diese krypto­graphische Parameter aushandeln und den Sitzungs­schlüssel generieren.

    Hier unterstützt die Fritzbox die Hash-Algorithmen SHA2-512, SHA1 und MD5-96 sowie die symmetrischen Ver­schlüsselungs­verfahren AES 256, AES 192, AES 128, Triple-DES 168 und  DES 56. Der Schlüssel­austausch erfolgt über das  Diffie-Hellman-Verfahren initial mit 1024 Bit, also DH-Gruppe 2.

    Die Fritzbox akzeptiert danach aber auch 768, 1536, 2048 und 3072 Bit, also die DH-Gruppen 1, 5, 14 und 15.

    In der IKE-Phase 2 wird dann ein IPsec-Tunnel ausgehandelt und dabei das Schlüssel­material erstellt. Die verwendeten Verschlüs­selungs­verfahren und Hash-Algorithmen sind bei der Fritzbox die gleichen wie in Phase 1.

    VPN-Konfiguration der Fritzbox

    Für das weitere Vorgehen nehmen wir für die benötigten Verbindungs­parameter folgende Beispielwerte an:

    • vpn.meinefirma.de als Domain Name des Firmen-VPN
    • 10.50.0.0/16 als IP-Netzwerk der Firma
    • Thomas Drilling als VPN-Benutzername (repräsentiert durch "IPsec-ID und Key-ID")
    • 2sercure4you als Preshared-Key der VPN-Verbindung

    Um die VPN-Verbindung zum Firmen-Gateway einzurichten, navigieren wir in der Web-Oberfläche der Fritzbox zum Menü Internet => Freigaben und führt dort unter dem Reiter VPN den Befehl VPN-Verbindung hinzufügen aus.

    Hier klickt man dann auf Diese Fritzbox mit einem Firmen-VPN verbinden und erneut auf Weiter. Jetzt trägt man im Feld VPN-Benutzername (Key-ID) die IPsec-ID der VPN-Verbindung ein, die im VPN-Server für die Fritzbox eingerichtet wurde (hier: Thomas Drilling).

    Neue VPN-Verbindung für den Zugriff auf das Firmennetzwerk konfigurieren

    Ins Feld  VPN-Kennwort (Preshared Key) kommt das oben genannte Kennwort, unter Name der VPN-Verbindung gehört eine beliebige eindeutige Bezeichnung für die Verbindung.

    Bei Internetadresse trägt man den Domain Name (oder die fixe öffentliche IP-Adresse des VPN-Servers) ein, hier also vpn.meinefirma.de. Für Entferntes Netzwerk gibt die Netzwerkadresse des Firmen-VPNs ein, im Beispiel 10.50.0.0, gefolgt von der Subnetzmaske hier 255.255.0.0.

    Anmelde- und Netzwerkinformationen für die neue VPN-Verbindung eingeben

    Soll die Verbindung zum VPN-Server permanent aufgebaut werden, aktiviert man noch VPN-Verbindung dauerhaft halten. Ist diese Einstellung in Kraft, dann baut die Fritzbox die Verbindung bei einer Trennung durch den VPN-Server auch automatisch wieder auf.

    Das kann auch dann passieren, wenn die IPsec-SAs erneuert oder neu ausgehandelt werden. Ist die Option nicht aktiviert, stellt die Fritzbox die VPN-Verbindung ausschließlich bei Zugriffen auf das Firmen­netzwerk automatisch her und trennt die Verbindung nach einer Stunde Inaktivität auto­matisch.

    Sollen nicht nur die direkten Zugriffe auf Ressourcen im Firmennetz, sondern sämtliche Internet-Anfragen durch den IPsec-Tunnel an das Firmen-VPN gesendet werden, klickt man noch auf Erweiterte Einstellungen zum Netzwerkverkehr und aktiviert die Option Gesamten Netzwerkverkehr über die VPN-Verbindung senden.

    2 Kommentare

    Paul Sommer sagt:
    19. Mai 2020 - 18:53

    Ist diese Anleitung von den Chinesen inspiriert?
    Mir fällt beim besten Wissen kein Szenario ein, bei dem man sein gesamtes Heimnetz mit all seinen PC, Handys, Tablets, Babyphones, Smart-TVs, Glühbirnen usw. in ein Firmennetz einbinden will. In meinen Augen ist das eher eine Anleitung, wie man es auf keinen Fall machen sollte.

    Robert Kesseler sagt:
    10. Juli 2020 - 18:30

    Hallo Paul Ich muss dir vollkommen Recht geben!
    Aber leider kann ich dir aus leidvoller und langjähriger Erfahrung im Kundendienst bei mittelständigen Unternehmen sagen, dass diese Konfig häufiger vorkommt als man denken sollte. Vor allem wenn die Firmen-Admins besonders Fritzbox verliebt sind. Gruß Robert