VPN Client mit FRITZ!Box

Konfigurations­anleitung AVM FRITZ!Box

TheGreenBow Client mit einer AVM FRITZ!Box konfigurieren


Diese Anleitung gilt für aktuelle AVM Modelle mit VPN Unterstützung, hier am Beispiel der FRITZ!Box 7490 mit aktiviertem MyFRITZ!-Internetzugriff erläutert. Wir empfehlen die Verwendung der FRITZ!OS Version 7.10 und höher. Bitte machen Sie vor der Konfiguration ein Backup Ihrer FRITZ!Box!

Um Ihre FRITZ!Box aus dem Internet aufrufen zu können, benötigen Sie eine permanente (statische) IP Adresse, ein MyFRITZ!-Konto mit aktiviertem MyFRITZ!-Internetzugriff oder einen dynamischen DNS Dienst eines Drittanbieters.

Statische IP Adresse
Nicht alle Leitungsanbieter/Provider bieten eine nach außen sichtbare, statische IP Adresse an. Bitte prüfen Sie hierzu Ihren Vertrag, bzw. die Leistungsbeschreibung Ihres Internet-Zugangs.

MyFRITZ!-Internetzugriff
Richten Sie ein MyFRITZ!-Konto mit aktiviertem MyFRITZ!-Internetzugriff ein. Gehen Sie hierzu in Ihrer FRITZ!Box Konfigurationsoberfläche auf "Internet" > "MyFRITZ!-Konto" und richten sie hier das Konto inklusive Internetzugriff ein. Hilfestellung hierzu erhalten Sie über das Symbol "?" rechts oben in der Konfigurations­oberfläche. Nach Abschluss der Konfiguration erhalten Sie einen Namen, genannt "Ihre MyFRITZ!-Adresse", mit welchem Sie Ihre FRITZ!Box aus dem Internet (von außen) erreichen können. In diesem Beispiel "meinefritzbox.myfritz.net".

Dynamischer DNS Dienst
Alternativ können Sie einen dynamischen DNS Dienst konfigurieren, damit Ihre FRITZ!Box über einen Namen, wie z.B. meinefritzbox.dyndns.de“ aus dem Internet aufgerufen werden kann. Gehen Sie hierzu in Ihrer FRITZ!Box Konfigurationsoberfläche auf "Internet" > "Freigaben" > Tab "DynDNS".

Vorbereitungen


Wir haben folgende Ausgangslage und benötigen:

  • FRITZ!Box Name: meinefritzbox.myfritz.net (wird automatsch erzeugt).
  • Entferntes Netzwerk hinter der FRITZ!Box: 192.168.175.0/24
  • Lokales Netzwerk mit dem VPN Client: 192.168.178.0/24
  • Eine ausgedachte, private IP Adresse, welche nicht in der Range des lokalen und/oder entfernten Netzwerk liegt, z.B.: 10.10.10.1
  • Einen Preshared Key (Passwort), z.B.: Geheimes.@Passwort (wird automatsch erzeugt).
  • Einen user_fqdn, idealerweise in Form einer eMail Adresse, z.B.: test@email.de. Diese eMail Adresse kann ausgedacht sein, es erfordert hier keine real existierende eMail Adresse.

FRITZ!Box VPN Konfigurationsdatei erstellen


Gehen Sie zur AVM Webseite VPN Service Übersicht, scrollen Sie zum ende der Seite und laden Sie das Programm "FRITZ!Box-Fernzugang einrichten" herunter. Installieren Sie das Programm und führen Sie es aus.

  • Klicken Sie "Neu" um eine VPN Konfigurationsdatei für Ihren VPN Router zu erstellen.
  • Wählen Sie die Option "Fernzugang für eine Benutzer einrichten" und klicken Sie "Weiter".
  • Wählen Sie die Option "PC mit FRITZ!Fernzugang" und klicken Sie "Weiter".
  • Geben Sie nun eine eMail Adresse ein (z.B. test@email.de). Diese E-Mail Adresse dient später als Identifizierungsmerkmal des Tunnel. Klicken Sie "Weiter".
  • Geben Sie bitte den DNS Namen Ihrer Fritz!Box (z.B. meinefritzbox.myfritz.net) ein und klicken Sie "Weiter".
  • Wählen Sie hier die Option "Anderes IP-Netzwerk verwenden" und geben Sie die Range des entfernten Netzwerks (das Netzwerk hinter der Fritz!Box) an. In unserem Beispiel die 192.168.175.0 mit der Subnetzmaske 255.255.255.0. Als IP Adresse des Benutzers im Netz der Fritz!Box geben Sie bitte eine ausgedachte, private IP Adresse ein, z.B. 10.10.10.1. Klicken Sie "Weiter".
  • Wählen Sie die Option "Das Verzeichnis anzeigen, das die Konfigurationsdateien enthält" und klicken Sie "Fertig stellen".
  • Sie sehen nun die erzeugte Konfigurationsdatei, hier "fritzbox_meinefritzbox_myfritz_net.cfg".

Erfahrene Anwender können die Konfigurationsdatei auch manuell mit einem Texteditor erstellen und anpassen, hier die Konfigurationsdatei aus dem Beispiel zum Download.
Bitte vergessen Sie nicht, ein Backup Ihrer FRITZ!Box! zu machen!

Preshared Key (Passwort) auslesen


Mit Erzeugung der Konfigurationsdatei wird auch ein Passwort (Preshared Key) gesetzt. Öffnen Sie die Konfigurationsdatei (hier fritzbox_meinefritzbox_myfritz_net.cfg) mit einem Texteditor Ihrer Wahl. Suchen Sie die Zeile key = "Geheimes.@Passwort"; und notieren Sie den Wert "Geheimes.@Passwort" ohne Anführungszeichen. Verwenden Sie hierzu idealerweise einen sicheren Passwortmanager.

Hier ein Ausschnitt der Datei:
                            
                                keytype = connkeytype_pre_shared;
                                key = "Geheimes.@Passwort";
                                cert_do_server_auth = no;
                            
                        
Die Konfigurationsdatei aus dem Beispiel zum Download.
Bitte ändern Sie unbedingt die Daten, im Speziellen den Preshared Key (Passwort) und die eMail Adresse!

FRITZ!Box VPN Konfigurationsdatei importieren


Die Konfigurationsdatei kann nun importiert werden, gehen Sie hierzu in Ihrer FRITZ!Box Konfigurationsoberfläche auf:

  • "Internet" > "Freigaben" > Tab "VPN". Klicken Sie "VPN-Verbindung hinzufügen".
  • Wählen Sie die Option "Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren" aus und klicken Sie "Weiter".
  • Klicken Sie "Datei auswählen" und wählen Sie die Konfigurationsdatei aus.
    Sie finden die Datei in der Regel unter C:/Users/%user%/AppData/Roaming/AVM/FRITZ!Fernzugang/meinefritzbox_myfritz_net.
  • Klicken Sie "Öffnen" und anschliessend "OK".
Unter Umständen (abhängig von Ihrer FRITZ!Box Konfiguration) müssen Sie den Import via Tastendruck am Router oder mittels angeschlossenem Telefon bestätigen.

VPN Client einrichten


Starten Sie die Konfigurationsoberfläche des VPN Clients.

  • Legen Sie eine neue IKEv1 Phase 1 an.
  • Tragen Sie unter "Remote VPN Gateway" den FRITZ!Box Namen ein, hier meinefritzbox.myfritz.net.
  • Tragen Sie unter "Authentisierung" den Preshared Key (Passwort) ein, hier Geheimes.@Passwort.
  • Unter "Kryptografie" wählen Sie "Verschlüsselung" AES256, "Authentisierung" SHA-512 und "Key Gruppe" DH14 (2048).
  • Wechseln Sie in den Tab "Protokoll".
  • Unter "Identität", wählen Sie Key ID in der Zeile "Lokale ID" und geben Sie die eMail Adresse ein, hier test@email.de.
  • Aktivieren Sie die Option Agressive Mode und speichern Sie die Phase 1.
  • Legen Sie unterhalb der Phase 1 eine neue IKEv1 Phase 2 an.
  • Tragen Sie die "VPN Client Adresse" ein, hier 10.10.10.1.
  • Tragen Sie die "Remote LAN Adresse" ein, hier 192.168.175.0.
  • Tragen Sie die "Subnet Maske" ein, hier 255.255.255.0.
  • Unter "ESP" wählen Sie "Verschlüsselung" AES256 und "Authentisierung" SHA-512.
  • Aktivieren Sie die Option PFS und wählen Sie DH14 (2048).
  • Speichern Sie die Phase 2 und öffnen Sie den Tunnel.
Sie können nun die interne IP der entfernten FRITZ!Box anpingen, in unserem Beispiel die 192.168.175.1.

Firewall im Zielnetzwerk


Um via VPN auf weitere Ressourcen im Zielnetzwerk (hier 192.168.175.0/24) zugreifen zu können, sind je nach Art und Anwendung Firewall Regeln anzupassen oder zu setzen.

Die Windows-Firewall (Win 7, 8 und 10) verhindert in ihren Standardeinstellungen Pings auf Rechner hinter der FRITZ!Box (Zielnetzwerk), in unserem Beispiel auf einen Rechner mit der IP 192.168.175.20.

Rufen Sie die Windows Firewall auf, hier am Beispiel von Windows 10:

  • "Windows-Taste" > "Einstellungen" > "Update und Sicherheit" > "Windows-Sicherheit"
  • "Firewall & Netzwerkschutz" > "Erweiterte Einstellungen"
  • Wählen Sie "Eingehende Regeln" und suchen Sie den Eintrag "Datei- und Druckerfreigabe (Echoanforderung - ICMPv4 eingehend)" in der Gruppe "Datei- und Druckerfreigabe" mit dem Profil "Privat".
  • Klicken Sie diesen Eintrag doppelt uns wechseln Sie in den Reiter "Bereich".
  • Unter "Remote-IP-Adresse", klicken Sie "Hinzufügen".
  • Tragen Sie im Feld "Diese IP-Adresse oder Subnetz" die VPN Client IP ein, hier 10.10.10.1.
  • Klicken Sie "OK" und nochmals "OK" um die Regel zu aktivieren.

Der entfernte Rechner mit der IP 192.168.175.20 antwortet nun auf Ping Anfragen des Rechners mit dem installierten VPN Client, (z.B. 192.168.178.24).

Bitte beachten Sie, dass unter Umständen für Datei- und Druckerfreigaben, Ihre Applikationen, sowie sonstige Dienste weitergehende Konfigurationsanpassungen wie z.B. Firewall-Einstellungen, Port Forwarding usw. notwendig sind.


Referenzen: