Contents
Diese Kurzanleitung zeigt, wie man schnell und einfach einen sicheren VPN Zugang mit einer FritzBox einrichtet.
Dabei Unterscheiden wir die zwei Fälle
- Einrichtung als VPN-Server
- Einrichtung als Router zur Weiterleitung eines VPN Zugangs für IPsec oder OpenVPN
FritzBox als VPN Server
Unterstütztes Protokoll und Eigenheiten
Entgegen der Einrichtung auf anderen Routern, ist die VPN Konfiguration auf einer FritzBox denkbar einfach.
Die FritzBox unterstützt VPN IPsec mit Benutzername und Kennwort. Im IPsec ist auch eine Gruppe und ein “Shared Secret” (Preshared Key = PSK) vorgesehen. Der Gruppenname wird bei der FirtzBox nicht weiter genutzt und dem Benutzernamen gleichgesetzt.
Das hat den Vorteil, dass jeder VPN-Nutzer seine eigene Gruppe und seinen eigenen PSK besitzt. Damit ist jede Einzelverbindung individuell.
Nutzer einrichten
Im ersten Schritt wird im Menü System->FritzBox Nutzer ein neuer Account angelegt.
Will man den Account ausschliesslich für den VPN Zugang nutzen, wählt man alle Berechtigungen bis auf den VPN Zugang ab. Das ist die optimale Einstellung für einen VPN Zugang auf dem Router. Hängen zwei FritzBoxen hintereinander um bspw. eine DMZ zu realisieren wie in meinem Artikel beschrieben, so wir der Nutzer auf der FritzBox im Heimnetz angelegt und darf auch erweiterte Berechtigungen haben.
FritzBox als VPN-Router
Die Portfreigabe wird nur benötigt, wenn der VPN Zugang hinter der FritzBox als Router liegt.
In diesem Beispiel wird eine FritzBox als Router konfiguriert, welche die VPN Anfrage an einen VPN Server namens “Homebox” weiterleitet. Dieser VPN Server kann wiederum eine zweite FritzBox sein, eine Synology DiskStation, eine weitere Firewall, etc.
IPsec
Für eine Freigabe für L2TP/IPsec vewendet man genau folgende Weiterleitungen:
- Protokoll 50 ESP – Encapsulating Security Payload (VPN Passthrough)
- UDP 500 – IKE – Internet Key Exchange
- UDP 4500 – IPSec NAT-T (mehrfaches Network Address Translation Traversal)
Damit sehen die Schritte wie folgt aus:
Und als Ergebnis erhält man beispielsweise folgende Übersicht:
Auf der Homebox wird nun wie gewohnt der VPN Zugang eingerichtet. Hat man hier eine weitere FritzBox geht man auf der Homebox dann so vor wie oben beschrieben für die Benutzerfreigabe.
OpenVPN
Mit dem populären, alternativen OpenVPN Zugang kann auch SSL-VPN genutzt werden. Das hat den Vorteil, dass in der Regel auch in Umgebungen bei denen obige IPsec Ports gesperrt sind eine SSL Verbindung über Port 445 (SSL) möglich ist.
Der Nachteil bei SSL-VPN sei aber auch nicht verschwiegen: wir benötigen eine eigenen Client App, während IPsec oft im Betriebssystem schon integriert ist.
Will man OpenVPN auf einem Server hinter einer Fritzbox einsetzen, vereinfacht sich die Einstellung weiter.
Man benötigt nun nur eine Portfreigabe
- UDP 1194 – Open VPN
Ressourcen
- Einen schönen Erklärungsartikel, wie das Paket aufgebaut ist, findet sich unter http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50.0.html
3 Gedanken zu “VPN auf FritzBox einrichten”
Hallo
Ich habe da eine Frage zu VPN.
Ich möchte eine Dauerleitung bei einem VPN Dienst einstellen so das die Entgeräte garnicht mitbekommen egal wieviel das sie via VPN im Netz stehen. Wie soll ich da die Fritzbox konfigurieren.
VG
MP
Hallo Marc,
in dem Artikel geht es um den REMOTE Zugang per VPN auf die FritzBox, also den Zugriff aus dem Internet auf die heimischen Geräte.
Du meinst hier sicherlich die integration eines externen Anbieters, also ausgehenden Verkehr, um bspw. anonymer zu surfen.
Hierzu kann ich leider nichts sagen, da ich das nicht verwende und auch nicht verwenden will.
Persönlich sehe ich diese externen Anbieter alle kritisch, denn sie erhalten den vollen(!) Zugriff auf den gesamten Datenverkehr der eigenen Geräte. Das sollte wirklich wohl überlebt sein. Daher würde ich externe VPN Dienste, wenn es schon unbedingt sein muss, nur für einzelne Rechner einsetzen.
Hi,
sorry aber bei dem Satz “Entgegen der Einrichtung auf anderen Routern, ist die VPN Konfiguration auf einer FritzBox denkbar einfach.”
wusste ich nicht ob ich lachen oder weinen soll. Ich bin beruflich Sys Admin und finde es einfacher an einer Sophos UTM 9.3 nen VPNer einzurichten als an einer verdammten Fritzbox. Alleine die Empfehlung von AVM für diesen “ShrewSoft” (SchrottSoft?) VPN Client ist doch eine Frechheit.
Ne UTM generiert für jeden User ein komplettes VPN Paket nach Wunsch (ganzer Open VPN Client, IOS/Android, nur Config Datei etc.).
Naja trotzdem danke für die Anleitung. Mal sehen ob ich heute Abend noch mal nen Tunnel zustande kriege ohne deren Drecks Client zu nutzen.
VG
Tim