Tags: VPN, Netzwerk, IPv6, Remote Access
Wer zu Hause eine Fritzbox als Internet-Router einsetzt, kann diese so konfigurieren, dass sie eine VPN-Verbindung zum Firmennetzwerk aufbaut. Damit erhalten alle Geräte im Client-Netzwerk automatisch Zugriff auf die IT-Ressourcen der Firma. Admins müssen aber das VPN-Gateway zuvor für die Fritzbox anpassen.
Welche IPsec-Parameter für eine VPN-Verbindung konkret ausgehandelt werden, hängt von der Gegenstelle ab. Unternehmen setzen unterschiedliche Produkte als VPN-Gateway und Firewall (meist kombiniert) ein. Populäre Hersteller sind Cisco, Dell, Juniper, Palo Alto, Check Point oder Fortinet.
Für diese Anleitung gehen wir davon aus, dass der Administrator des VPN-Gateways in der Firma eine VPN-Client-Verbindung für die Fritzbox eingerichtet hat. Dabei muss er die von der Fritzbox akzeptierten IPsec-Protokolle und Algorithmen nutzen.
Konfiguration des VPN-Gateways in der Firma
So unterstützt die Fritzbox VPN-Verbindungen mittels ESP, IKEv1 und Pre-Shared Keys (PSKs), aber keine Authentication Header (AH). Das ist zu verschmerzen, weil AH keine Verschlüsselung bietet.
Bei den eigentlich verwendeten IPsec-Algorithmen muss man die IKE-Phasen 1 und 2 unterscheiden. Die Phase 1 richtet die gegenseitige Authentifizierung der Peers ein, wobei diese kryptographische Parameter aushandeln und den Sitzungsschlüssel generieren.
Hier unterstützt die Fritzbox die Hash-Algorithmen SHA2-512, SHA1 und MD5-96 sowie die symmetrischen Verschlüsselungsverfahren AES 256, AES 192, AES 128, Triple-DES 168 und DES 56. Der Schlüsselaustausch erfolgt über das Diffie-Hellman-Verfahren initial mit 1024 Bit, also DH-Gruppe 2.
Die Fritzbox akzeptiert danach aber auch 768, 1536, 2048 und 3072 Bit, also die DH-Gruppen 1, 5, 14 und 15.
In der IKE-Phase 2 wird dann ein IPsec-Tunnel ausgehandelt und dabei das Schlüsselmaterial erstellt. Die verwendeten Verschlüsselungsverfahren und Hash-Algorithmen sind bei der Fritzbox die gleichen wie in Phase 1.
VPN-Konfiguration der Fritzbox
Für das weitere Vorgehen nehmen wir für die benötigten Verbindungsparameter folgende Beispielwerte an:
- vpn.meinefirma.de als Domain Name des Firmen-VPN
- 10.50.0.0/16 als IP-Netzwerk der Firma
- Thomas Drilling als VPN-Benutzername (repräsentiert durch "IPsec-ID und Key-ID")
- 2sercure4you als Preshared-Key der VPN-Verbindung
Um die VPN-Verbindung zum Firmen-Gateway einzurichten, navigieren wir in der Web-Oberfläche der Fritzbox zum Menü Internet => Freigaben und führt dort unter dem Reiter VPN den Befehl VPN-Verbindung hinzufügen aus.
Hier klickt man dann auf Diese Fritzbox mit einem Firmen-VPN verbinden und erneut auf Weiter. Jetzt trägt man im Feld VPN-Benutzername (Key-ID) die IPsec-ID der VPN-Verbindung ein, die im VPN-Server für die Fritzbox eingerichtet wurde (hier: Thomas Drilling).
Ins Feld VPN-Kennwort (Preshared Key) kommt das oben genannte Kennwort, unter Name der VPN-Verbindung gehört eine beliebige eindeutige Bezeichnung für die Verbindung.
Bei Internetadresse trägt man den Domain Name (oder die fixe öffentliche IP-Adresse des VPN-Servers) ein, hier also vpn.meinefirma.de. Für Entferntes Netzwerk gibt die Netzwerkadresse des Firmen-VPNs ein, im Beispiel 10.50.0.0, gefolgt von der Subnetzmaske hier 255.255.0.0.
Soll die Verbindung zum VPN-Server permanent aufgebaut werden, aktiviert man noch VPN-Verbindung dauerhaft halten. Ist diese Einstellung in Kraft, dann baut die Fritzbox die Verbindung bei einer Trennung durch den VPN-Server auch automatisch wieder auf.
Das kann auch dann passieren, wenn die IPsec-SAs erneuert oder neu ausgehandelt werden. Ist die Option nicht aktiviert, stellt die Fritzbox die VPN-Verbindung ausschließlich bei Zugriffen auf das Firmennetzwerk automatisch her und trennt die Verbindung nach einer Stunde Inaktivität automatisch.
Sollen nicht nur die direkten Zugriffe auf Ressourcen im Firmennetz, sondern sämtliche Internet-Anfragen durch den IPsec-Tunnel an das Firmen-VPN gesendet werden, klickt man noch auf Erweiterte Einstellungen zum Netzwerkverkehr und aktiviert die Option Gesamten Netzwerkverkehr über die VPN-Verbindung senden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Drilling arbeitet ist seit fast 30 Jahren selbständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehemalige und aktuelle IT-Magazine sowie Blogs.
Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.
Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zertifizierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grundlagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.
Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Informationen und Anmeldung über sein Azure-Blog.
Verwandte Beiträge
Weitere Links
6 Kommentare
Ist diese Anleitung von den Chinesen inspiriert?
Mir fällt beim besten Wissen kein Szenario ein, bei dem man sein gesamtes Heimnetz mit all seinen PC, Handys, Tablets, Babyphones, Smart-TVs, Glühbirnen usw. in ein Firmennetz einbinden will. In meinen Augen ist das eher eine Anleitung, wie man es auf keinen Fall machen sollte.
Hallo Paul Ich muss dir vollkommen Recht geben!
Aber leider kann ich dir aus leidvoller und langjähriger Erfahrung im Kundendienst bei mittelständigen Unternehmen sagen, dass diese Konfig häufiger vorkommt als man denken sollte. Vor allem wenn die Firmen-Admins besonders Fritzbox verliebt sind. Gruß Robert
Hi,
mir fällt da schon was sinnvolles ein: Eine SoHo Firma (ca. 200 PCs) mit kleinen Aussenstellen (2-4 PCs) inkl. Domänenanbindung, Exchange, SMB, DSS...
Fritzboxen dürfen nicht nur in Heimnetzen laufen ;-)
Das Szenario kenne ich von einem Admin Kollegen, der das nun aber umbauen möchte, da er gern sämtlichen Traffic der FB über VPN umleiten will (wegen zB Proxy Server für Inet), da das (angeblich) mit der FB nicht geht, obwohls da ein Häkchen dafür gibt.
Besser ist das. Zumindest SMB im Netz geht gar nicht. Bei heise ist das gerade wieder Thema.
Hat jemand eine Anleitung, wie man nicht das gesamte Heimnetzwerk per VPN an das Firmennetzwerk hängt (also nicht Site2Site) sondern nur die Geräte, die an einer weiteren Fritzbox im Heimnetz sind. Ich würde diese zweite Fritzbox dann im Arbeitszimmer nutzen, um dort PC, Drucker und ggf. IP Telefon per VPN zu koppeln. Die Kids (per WLAN im Hauptnetzwerk zuhause) sollen nicht ins Firmennetzwerk. Daher keine Site2Site Koppelung.
Also muss es den immer die Fritzbox sein?
Mit einem "richtigen" Router z.B. von LANCOM oder Vergleichbare lassen sich solche Szenarien mit hoher Sicherheit erstellen und oberdrein auch noch auf verschiedene Arten (VLANs, VRF/ARF, IPsecV2, GRE, Access-Regeln usw.).
Als weitere Router könnte man auch die etwas günstigeren Geräte von Bintec (BiIP/Digibox) nehmen, diese können auch verschiedene VLANs und haben Regelwerke.
Wenn es denn unbedingt die Fritzbox sein muss und hier dann zwei, dann richte den IPsec-Tunnel in der zweiten Box für das Homeoffice hinter der ersten Box ein. Dabei muss der Verbindungsaufbau von dieser Box aufgebaut werden. Ein Portforwarding in der ersten Box ist dazu nicht nötig wenn bei beiden VPN-Endstellen Nat-Traversale (NAT-T, Port 4500) aktiviert ist.
Gruß Robert