Auf Fritzbox 7390 VPN zum Zugang ins Netz konfigurieren

[rakader]

Hallo zusammen,

ich bekomme es nicht hin: Ich möchte, das die Fritzbox 7390 von unterwegs eine sichere WLAN Verbindung per VPN bereitstellt. Wie geht das? Ich finde keine passende Anleitung. Bestehende Anleitungen besprechen die Geräte im LAN hinter der Fritzbox. Doch wie nutze ich das VPN der Fritz, wenn alle Geräte dahinter aus sind? Also, dass der Router die Verbindung zum Netz herstellt?

Ich habe es mit AVMs Fernwartungstool über eine virtuelle Umgebung versucht. Die cfg-Datei wird nicht importiert.
Dann finde ich Programme wie ipSecuritas, die aber wohl für Geräte hinter dem Router geeignet sind, dann solche wie VPN Tracker von Equinux, dessen Zweck sich mir nicht erschließt.

Kurzum: Wo gibt es eine Step-to-Step-Anleitung, die den VPN-Dienst auf einer Fritzbox konfiguriert, damit man den Router aus der Ferne zum Zugang ins Netz nutzen kann.

Hintergrund ist, dass ich so die Sicherheitslücken offener WLANS wie sie an Flughäfen zu finden sind umgehen kann.

Auf gute Antworten hoffend herzlichen Dank vorab.

 

[Wuchtbrumme]

das mit den Geräten dahinter vergiss mal, das tut nix zur Sache. Deinen Wunsch verstehe ich wohl. Die Anleitung findest Du direkt bei AVM. Allerdings haben alle aktuellen Firmwares einen Bug, womit eine Benutzung des Internetzugangs der Fritzbox nicht möglich ist. Offensichtlich hapert was an der Namensauflösung (wenn man alle IPs aus dem Kopf kennt...). Würgaround: einmal in die Fritzbox-Administrationswebseite einloggen, Internet, Filter, Listen und NetBIOS aus- und wieder einschalten.

 

[TAdS]

Sorry, wenn ich da widersprechen muss.

Der VPN-Server in der Fritzbox ist -wenn nach Anleitung von AVM vorgegangen wird- so konfiguriert, dass natürlich sämtlicher Netzwerkverkehr des VPN-Clients, also zB ein iPhone oder ein MacBook, verschlüsselt wird. Eignet sich gerade und insbesondere bei WLAN per ansonsten unverschlüsseltem Hotspot.

Bei mir -IPhone per VPN Fritzbox 7390- funktioniert das ohne Probleme.

Edit: Voraussetzung ist natürlich, daß die Fritzbox entweder eine feste, externe IP hat oder ein DynDNS-Host definiert ist.


Grüsse

 

[Wuchtbrumme]

sorry, wenn ich da widersprechen muss. Sprechen wir vom Gleichen? Fritzbox 7390 m. Fritz!Box OS (sic!) 05.20/.21? Natürlich ist das verschlüsselt, ich bestreite nur, dass DNS über die Box uebers VPN out-of-the-box funktioniert (falls bei Dir doch, wüsste ich gerne was bei uns unterschiedlich ist) - und, sofern es wie du behauptest out-of-the-box gehen müsste, es ein Setzen von NetBIOS aus/an erfordert und dann geht (und warum dutzende Posts meinen Bug reproduzieren)

 

[BerndderHeld]

Die Standardkonfiguration ist so gedacht das du von dem iPhone alle geräte im Heimnetz siehst aber nicht wieder raus ins Internet kommst. Wenn man diese Einstellung im cfg File ändert kann man auch ins Internet. Selbst bei einer 7170 vor ein paar Wochen eingerichtet. Beispielfile kann ich morgen mal zur verfügung stellen wenn INteresse besteht.

 

[rakader]

Moin moin - ich komme bei Eurem Disput leider nicht mit.

Nochmal zur Wiederholung: Ich möchte mich mit meinem Macbook an die Frizbox per VPN verbinden.
Die Fritzbox hat einen dyndns-Zugang, wobei ich nicht verstehe, wie und wo dieser einzutragen ist. (Gibt es dazu keine Bild für Bild-Anleitung?)
Wenn ich es richtig verstehe, benötige ich zwei cfg-Dateien - eine für die Fritz, die andere für den Client.
@BerndderHeld: Dein Angebot könnte evt. helfen.

Dazu habe ich mit "Fritzbox Fernwartung einrichten" eine cfg-Datei erstellt. Schwierigkeit 1: Diese im Fritz VPN einspielen. Erst mit der Namensänderung fritzbox.cfg hat das geklappt.

Doch wie nun weiter? Wie teste ich nun, ob der Server zu erreichen ist?

Einen Dyndns-Account habe ich. Der wurde aber im Programm von AVM nicht abgefragt.
Was muss ich auf dem MacBook machen? Es wurde eine zweite cfg-Datei angelegt. Ich vermute mal die des Macook, dessen feste IP im Heimnetzwerk ich beim Fritzbox-Programm angegeben hatte.

Ich verwende da z.B. Tunnelblick, um mich zu einem anderen VPN-Server in ein Netzwerk einzuloggen. Kann ich das nutzen?

Sorry wenn ich die Terminologien nicht richtig wiedergebe. Bin in der Materie noch neu und die Dokumentation bei diesem Thema ist reichlich dürftig, insbesondere bei AVM, das nur von Windows ausgeht. Und diese IpSecuritas verstehe ich gar nicht. Gibt es da nichts besseres?

 

[Wuchtbrumme]

Die Standardkonfiguration ist so gedacht das du von dem iPhone alle geräte im Heimnetz siehst aber nicht wieder raus ins Internet kommst. Wenn man diese Einstellung im cfg File ändert kann man auch ins Internet. Selbst bei einer 7170 vor ein paar Wochen eingerichtet. Beispielfile kann ich morgen mal zur verfügung stellen wenn INteresse besteht.

Hallo, ich habe zwar einen Verdacht, was diese Änderung sein soll, aber ich waere sehr an der abeispielcfg interessiert. Danke!

 

[Wuchtbrumme]

@rakader: die erste Cfg, die du mit der fernverwaltung erstellst, ist für die Fritzbox. Damit aktivierst du die Funktionalität "VPN" auf ihr und definierst die Einstellungen dafür. Hast Du das Fritz-Heimnetz IP-seitig umkonfiguriert (also was anderes als 192.168.172.x laube ich)? Ich erinnere mich, dass ich auch Zicken hatte mit der erstellten Cfg., diese einladen zu lassen, aber in fritzbox.cfg habe ich es nicht umbenannt, stattdessen gibt es eine Einstellung, die auch modifizierte Prüfsummen akzeptiert.
Den dyndns-Account gibst Du in der Fritzbox an, damit er bei jedem Einwählen wo du eine neue dynamische IP von Deinem Provider erhältst auf diese IP angepasst wird. Deine IP sollte also stets über den Dyndns-Namen abfragbar sein.
Das zweite ist die Cfg. für den Client, der das VPN aufbauen soll. Da gibt es übrigens auch sowohl OS X wie auch iOS-Konfigurationsbeispiele von AVM auf deren Webseite. Die zweite Cfg ist tatsächlich nur für Windows gedacht. Wie man externe Tools wie ipSecuritas, VPN Tracker oä benutzt, keine Ahnung, die sind dafür dass die Funktionen die ich brauche bereits im OS enthalten sind zu teuer und außerdem wie z.B. die Geschichte des Cisco ipSec-Clients zeigt zu riskant, weil sie irgendwann nicht mehr unterstützt werden und/oder nicht mehr funktionieren. Ich will nicht bei jedem OS-Sicherheitsupdate ggfls ohne VPN dastehen und erst weitere Updatearien machen müssen.

 

[rakader]

@rakader: die erste Cfg, die du mit der fernverwaltung erstellst, ist für die Fritzbox. Damit aktivierst du die Funktionalität "VPN" auf ihr und definierst die Einstellungen dafür. Hast Du das Fritz-Heimnetz IP-seitig umkonfiguriert (also was anderes als 192.168.172.x laube ich)? Ich erinnere mich, dass ich auch Zicken hatte mit der erstellten Cfg., diese einladen zu lassen, aber in fritzbox.cfg habe ich es nicht umbenannt, stattdessen gibt es eine Einstellung, die auch modifizierte Prüfsummen akzeptiert.

Vielen Dank für diesen Hinweis Wuchtbrumme. In der Tat habe ich die Fritz-Heimnetz-IP auf 192.168.2.x umkonfiguriert, Es war dies der Adressbereich des vormaligen Routers und damit aller angeschlossenen Geräte. Ich mache mich mal auf die Suche nach dieser Prüfsumme. Das scheint mir des Rätsels Lösung. Denn der Assistent von VPN Tracker, den ich mir als Testprogramm geholt habe, ließ komischerweise nur 192.168.2.0 zu oder 255.255.255.1.

Den dyndns-Account gibst Du in der Fritzbox an, damit er bei jedem Einwählen wo du eine neue dynamische IP von Deinem Provider erhältst auf diese IP angepasst wird. Deine IP sollte also stets über den Dyndns-Namen abfragbar sein.

Dyndns funktioniert wieder, nachdem ich das alte Passwort gefunden habe. Es können bei Dyndns nur noch Alt-Accounts angepasst werden. Bei Neu-Accounts wollen die eine Kreditkartennummer. Da bin ich bei ausländischen Firmen vorsichtig. Natürlich kann man bei Drittanbietern auch jeden x-beliebigen DNS-Forwarder eintragen, doch dazu braucht es eine API. Und diese zu bekommen bzw. richtig einzutragen, ist eine Wissenschaft für sich.

Das zweite ist die Cfg. für den Client, der das VPN aufbauen soll. Da gibt es übrigens auch sowohl OS X wie auch iOS-Konfigurationsbeispiele von AVM auf deren Webseite. Die zweite Cfg ist tatsächlich nur für Windows gedacht. Wie man externe Tools wie ipSecuritas, VPN Tracker oä benutzt, keine Ahnung, die sind dafür dass die Funktionen die ich brauche bereits im OS enthalten sind zu teuer und außerdem wie z.B. die Geschichte des Cisco ipSec-Clients zeigt zu riskant, weil sie irgendwann nicht mehr unterstützt werden und/oder nicht mehr funktionieren. Ich will nicht bei jedem OS-Sicherheitsupdate ggfls ohne VPN dastehen und erst weitere Updatearien machen müssen.

Vollkommen d'accord. Du nimmst dabei eine Nachfrage vorweg, die geheißen hätte, ob es nicht Sinn macht mit Apples Bordmitteln VPN zu betreiben. Die Werbung der Drittanbieter spielt natürlich mit der Angst und will das sichere Protokoll an den Mann bringen. Aber ich bin bei Dir und denke, dass Apples Technologie vollkommen ausreicht.

Tja - jetzt muss ich das nur mit der Prüfsumme gebacken bekommen...

 

[Wuchtbrumme]

Denn der Assistent von VPN Tracker, den ich mir als Testprogramm geholt habe, ließ komischerweise nur 192.168.2.0 zu oder 255.255.255.1.

so ohne Bezug sagt das
nichts, aber 255.255.255.0 ist normalerweise die Netzmaske und .1 statt .0 klingt ziemlich merkwürdig (=ist nicht zulässig)

 

[rakader]

Wo finde ich denn die Einstellung, die modifizierte Prüfsummen akzeptiert? Habe nichts gefunden.

 

[Wuchtbrumme]

das findet sich in der Cfg. die Du auch sichern kannst (dort ändern und zurücksichern).

 

[rakader]

Habe ich gefunden. Und sogar noch eine bessere Lösung: Adressbereich war x.x.x.100-200. Vorher hatte ich für den VPN-User 201. Etwas weiter entfernt - auf 222 - wurde es auch mit Prüfsumme akzeptiert.

Deine Lösung via Mac-Bordmitteln (eingebauter VPN) funktioniert.

Danke für die Hilfe & Geduld

 

[Wuchtbrumme]

schön Danke fürs Feedback!
(Du glaubst ja gar nicht, wie deprimierend es ist, wenn man jemandem Tips gibt, die sein Problem eigentlich beheben müssten, sich derjenige aus welchem Grund auch immer nicht mehr meldet)

 

[Insulaner]

Frage:
Kannst Du evtl. einmal die Schritte genau (also möglichst detailliert) aufschreiben,
wie Du zwischen FritzBox und MAC das VPN hergestellt hast?
Du würdest sicher mindestens einem (nämlich mir ) eine Freude machen.

Der Insulaner

 

[rakader]

Frage:
Kannst Du evtl. einmal die Schritte genau (also möglichst detailliert) aufschreiben,
wie Du zwischen FritzBox und MAC das VPN hergestellt hast?
Du würdest sicher mindestens einem (nämlich mir ) eine Freude machen.

Der Insulaner

Das ist wenig zielführend, da ich AVM größtenteils wiederholen müsste. Knackpunkt ist der Adressbereich, so man diesen auf der FritzBox verändert. Das ist a) der ungenügend dokumentierte Problembereich bei AVM und b) natürlich die fehlende Software für Mac OS X.
Kurz: Das Grundproblem ist der Adressbereich auf der Fritzbox. Alle anderen Problembeschreibungen sind zu vernachlässigen oder nachrangig zu behandeln. Somit mein Lösungsansatz:

Router 192.168.2.1, Adressbereich 100-200, VPN-Gerät 222. (Tipp: Die Nummer für VPN sollte Abstand zum Adressbereich haben (ein Techniker kann das sicher erklären, für den Anwender sollte das aber belanglos sein).)
Dann dieses Dokument genau befolgen: http://www.avm.de/de/Service/Servic...l/VPN_Interoperabilitaet/16206.php?portal=VPN
(Tipp: Wenn Du keinen Windows-PC oder keine PC-Emulation hast, Crossover als Demo besorgen und das AVM-Programm dort ausführen.)

Für einen Test gehe in ein Café mit WLAN Deines Vertrauens. Lokal kannst Du es nicht testen!

 

[Insulaner]

Ok!
Danke für den Hinweis.
Ich bin dann wohl damals auch an so einem Kram gescheitert.
Werde es noch mal probieren.

Macht ja Hoffnung, dass es dann doch funktioniert

 

[rakader]

Macht ja Hoffnung, dass es dann doch funktioniert

Mir ging es bis vor einem Tag noch wie Dir. Bitte gerne um Rückmeldung. So hilft dieser Thread dann auch in Zukunft anderen VPN-Geplagten. Das Thema ist auch nicht unbedingt trivial.

Als nächstes versuche ich das Ganze per Tunnelblick komfortabel zugänglich zu machen.

 

[Mitglied 129448]

Kurz: Das Grundproblem ist der Adressbereich auf der Fritzbox. Alle anderen Problembeschreibungen sind zu vernachlässigen oder nachrangig zu behandeln. Somit mein Lösungsansatz: Router 192.168.2.1, Adressbereich 100-200, VPN-Gerät 222. (Tipp: Die Nummer für VPN sollte Abstand zum Adressbereich haben (ein Techniker kann das sicher erklären, für den Anwender sollte das aber belanglos sein).)

Das ist eine Vorgabe die ich auch nicht nachvollziehen konnte. Fakt ist allerdings das die VPN Verbindung mit jeder beliebigen IP-Adresse (auch unterhalb von X.X.X.201 funktioniert. Mein Heimnetz z.B. adressiert nur von X.X.X.1 bis X.X.X.14, wobei X.X.X.1-8 statisch vergeben sind, X.X.X.9-10 je für eine VPN-Verbindungen und X.X.X.11-14 für DHCP verwendet werden.

 

[rakader]

Ich kann das auch nicht nachvollziehen. Es ist aber so. Ich gehe stark davon aus, dass es mit der Prüfsumme AVM-seitig zusammenhängt. Wie gesagt, für Nicht-Techniker eine nachrangige Information.