.titleBar { margin-bottom: 5px!important; }

VPN-Verbindung zum Firmennetzwerk / VPN-Provider

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von KiRKman, 10 Jan. 2014.

  1. KiRKman

    KiRKman Aktives Mitglied

    Registriert seit:
    27 Okt. 2004
    Beiträge:
    1,077
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Hallöchen!

    Ich habe leider zu meiner bestimmten Konstellation keine Hinweise im Forum finden können, daher wende ich mich hiermit einmal vertrauensvoll an Euch, denn vielleicht hat jemand diese Geschichte schon selber ausprobiert.

    Ich möchte meine FRITZ!Box 7270v3 mit FRITZ!OS 6.01 (noch Labor) als VPN-Client verwenden. Dabei sollen auch alle an die FRITZ!Box angeschlossenen Maschinen in diesem VPN landen, also den Internetzugang über das VPN nutzen (allen Internet-Traffic über das VPN routen). Im Prinzip soll das Ganze wie eine Einwahl bei einem ISP funktionieren, nur eben unabhängig von meinem aktuellen ISP, den ich über DSL benutze.

    Massenhaft Hinweise habe ich zu OpenVPN und Freetz gefunden, jedoch möchte ich die "hauseigenen" neuen VPN-Funktionen der originalen Firmware nutzen, namentlich die Verbindung mit einem Firmen-Netzwerk per IPSec. Komischerweise habe ich wie gesagt dazu hier noch nichts finden können.

    Ich besitze die "preshared secret & X-auth information". Auch habe ich natürlich viele Server weltweit, mit denen ich mich verbinden könnte. Nur was trage ich als "entferntes Netzwerk" ein, da dies naturgemäß jedes Mal anders ist?

    Mein Plan war eigentlich, als "Key-ID" irgendeine beliebige E-Mail Adresse einzutragen. Der "Preshared Key" wäre dann das Secret des VPN-Anbieters, welches immer gleich ist. "XAUTH" wären der Benutzername und Kennwort meines persönlichen Accounts beim Anbieter.

    Der Support des VPN-Anbieters teilte mir mittlerweile mit, dass das Zielnetz bzw. "remote network" leer bleiben muss. Allerdings kennt man dort natürlich die FRITZ!Box nicht.

    Hat jemand schon einmal probiert, mein Szenario umzusetzen? Und zwar direkt aus der Web-Oberfläche der FRITZ!Box heraus? Wenn die Sache funktionieren würde, könnte ich eine Anleitung schreiben und diese direkt an viele Leute weitergeben, die jetzt zwar unbedingt VPN haben wollen, aber nicht in der Lage sind, dies mit einfachen Bordmitteln umzusetzen. Seit "NSA lässt grüßen" werde ich praktisch täglich im Bekanntenkreis auf VPN-Zugänge angesprochen. Meiner Meinung nach ein ganz heißes Thema. Wäre toll, wenn die FRITZ!Box da was "zaubern" könnte.

    Natürlich könnte man auf jedem Rechner, Smartphone und Tablet das VPN separat einrichten (wobei mein Zugang allerdings auf drei Geräte gleichzeitig beschränkt wäre). Das wäre aber vergleichsweise aufwendig. Auch könnte man ein "offizielles" VPN-Gateway, welches vom Anbieter empfohlen wird, kaufen und dieses als separaten Router hinter die FRITZ!Box hängen.
     

    Anhänge:

    • vpn.jpg
      vpn.jpg
      Dateigröße:
      98 KB
      Aufrufe:
      96
  2. andilao

    andilao IPPF-Promi

    Registriert seit:
    8 Juni 2006
    Beiträge:
    4,135
    Zustimmungen:
    12
    Punkte für Erfolge:
    38
  3. KiRKman

    KiRKman Aktives Mitglied

    Registriert seit:
    27 Okt. 2004
    Beiträge:
    1,077
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #3 KiRKman, 10 Jan. 2014
    Zuletzt bearbeitet: 10 Jan. 2014
    Vielen Dank für die Beispiele, die hatte ich allerdings auch schon im VPN-Portal gefunden :)

    Leider beziehen sich die Beispiele auf die alte VPN-Implementierung der FRITZ!Box. Ich möchte jedoch "das neue VPN" der FRITZ!Box seit FRITZ!OS 6.xx nutzen (siehe Screenshot in meinem Post). Hierbei muss man weder eine zusätzliche Software benutzen noch eine Konfigurations-Datei importieren.

    Um genau zu sein, kann man jetzt die VPN-Konfiguration direkt in der Oberfläche der FRITZ!Box vornehmen. Weitere Einstellungen sind hierbei nicht möglich. Es ist allerdings weiterhin möglich, über eine andere Funktion noch die alten Config-Dateien zu importieren. Dann kann man aber nichts mehr über das Webinterface ändern.

    Nachtrag: http://heise.de/-1977360
     
  4. andilao

    andilao IPPF-Promi

    Registriert seit:
    8 Juni 2006
    Beiträge:
    4,135
    Zustimmungen:
    12
    Punkte für Erfolge:
    38
    Es ist kein "neues VPN" sondern nur eine einfachste Implementation per WebIF, die sehr schnell an ihre Grenzen stößt, z.B. beginnen die Benutzer-VPNs immer ab IP .201 ohne Rücksicht auf die DHCP-Einstellung oder vorhandene Geräte. Für spezielle Aufgabenstellungen wird immer noch eine angepasste Konfigurations-Datei notwendig sein.

    Ja, tatsächlich hat man bei AVM die Client-LAN-Einrichtung per WebIF gegenüber den nun veralteten Beispiel-CFG-Dateien wohl grundsätzlich überarbeitet, jetzt ist eine feste IP-Adresse für "Entferntes Netzwerk" (cfg: remoteip) nicht mehr Voraussetzung.

    Hast Du schon Vorstellungen, was bei "Bestimmte DNS-Anfragen immer über den VPN-Tunnel auflösen" hin muss?

    Aus Spaß habe ich mal eine Dummy-Verbindung erstellt:
    VPN.png

    wo diese CFG herauskommt:
    Code:
    {
                    enabled = yes;
                    editable = yes;
                    conn_type = conntype_out;
                    name = "[COLOR=#008000]Internetadresse[/COLOR]";
                    boxuser_id = 0;
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = no;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 0.0.0.0;
                    remote_virtualip = 0.0.0.0;
                    keepalive_ip = 0.0.0.0;
                    localid {
                            key_id = "[COLOR=#008000]VPN-Benutzername(Key-ID)[/COLOR]";
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "[COLOR=#008000]VPN-Kennwort (Preshared Key)[/COLOR]";
                    cert_do_server_auth = no;
                    use_nat_t = yes;
                    use_xauth = yes;
                    xauth {
                            valid = yes;
                            username = "[COLOR=#008000]XAUTH-Benutzername[/COLOR]";
                            passwd = "[COLOR=#008000]XAUTH-Kennwort[/COLOR]";
                    }
                    use_cfgmode = yes;
                    phase2remoteid {
                            ipnet {
                                    ipaddr = 0.0.0.0;
                                    mask = 0.0.0.0;
                            }
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                    accesslist = "permit ip any [COLOR=#008000]192.168.15.0[/COLOR] 255.255.255.0";
                    dns_domains = "DNS-Name1", "DNS-Name2", "DNS-Name3";
            }
    Wobei mir ins Auge fällt, dass Internetadresse (remotehostname wie beo LAN-LAN dachte ich) außer als name nirgends mehr verwendet wird und die nachträgliche Änderung in accesslist von "permit ip any 192.168.15.0 255.255.255.0" auf eigentlich "permit ip any 0.0.0.0 255.255.255.0" nicht angenommen wurde. Da hätte ich jetzt Zweifel an der Funktion dieser Konfiguration.
     
  5. KiRKman

    KiRKman Aktives Mitglied

    Registriert seit:
    27 Okt. 2004
    Beiträge:
    1,077
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Bei den mir bekannten Windows-Clients, die von div. VPN-Anbietern für ihre Kunden bereitgestellt werden und meistens auf OpenVPN basieren, gibt es immer eine sog. DNS-Leak-Protection. Dabei stellt der Client sicher, dass alle DNS-Anfragen immer über den VPN-Tunnel aufgelöst werden müssen, damit der ISP diese Anfragen nicht sehen kann. Andererseits stellt man so auch sicher, dass keine "umgebogenen" DNS-Antworten kommen (z.B. wegen Zensur).

    Über das Feld "Bestimmte DNS-Anfragen immer über den VPN-Tunnel auflösen" kann man wohl anweisen, dass Namen in dieser Liste vom DNS-Proxy in der FRITZ!Box immer über den VPN-Tunnel abgefragt werden sollen. Wenn dort Wildcards gelten würden, könnte man einfach ein Sternchen eintragen, um alles verschlüsselt über den Tunnel auflösen zu lassen.

    Eigentlich ist die Funktion in der FRITZ!Box aber sicher für bestimmte netzinterne Namen gedacht (Intranet). Wir haben in der Firma z.B. einen Hostnamen "webfakt" für den Fakturierungs-Server. Wenn ich mich mit meiner FRITZ!Box zu Hause jetzt mit dem Firmennetz verbände, könnte ich "webfakt" natürlich nicht mehr auflösen, denn der DNS meines ISPs zu Hause oder beispielsweise 8.8.8.8 würde "webfakt" natürlich nicht kennen. Also müsste ich die IP-Adresse statisch eintragen oder die hosts-Datei meines Rechners manuell editieren. Alternativ würde ich aber einfach den Hostnamen "webfakt" ins DNS-Abfrage-Feld der VPN-Konfiguration der FRITZ!Box schreiben können. So würden Anfragen bzgl. "webfakt" einfach über den DNS der Firma aufgelöst, wodurch ich immer die aktuelle IP-Adresse des betreffenden Servers im Intranet der Firma geliefert bekäme.

    Ansonsten vielen Dank für die Infos, ich werde das mal ausprobieren. Ich habe festgestellt, dass bei meinem VPN-Anbieter wohl praktisch immer IP-Adressen à la 10.10.x.x kommen. Ich werd' als Zielnetz in der FRITZ!Box also mal 10.10.0.0/16 probieren, sprich Netz = 10.10.0.0 und Netzmaske = 255.255.0.0.

    Macht die FRITZ!Box dann eigentlich IPSec über L2TP, oder wie muss man sich das vorstellen? Ich kenne IPSec bisher nur vom Firmen-Netzwerk und dem Cisco VPN-Client auf meinem Windows-Rechner... Mein privater VPN-Anbieter hingegen stellt einen modifizierten OpenVPN-Client zur Verfügung. Es werden allerdings auch andere Protokolle und sogar SOCKS und Web-Proxy ermöglicht. Man bekommt für sein Geld also schon einiges geboten ;) Mir fehlen da trotzdem einfach viel zu viele Infos. Dieses ganze FRITZ!Box VPN scheint mir sehr intransparent zu sein. Mir wird langsam klar, warum so viele Freetz und OpenVPN vorziehen...
     
  6. andilao

    andilao IPPF-Promi

    Registriert seit:
    8 Juni 2006
    Beiträge:
    4,135
    Zustimmungen:
    12
    Punkte für Erfolge:
    38
    #6 andilao, 13 Jan. 2014
    Zuletzt bearbeitet: 13 Jan. 2014
    IPSec/L2TP und IPSec(IKEv1) sind unterschiedliche VPN-Implementierungen. Den intergrierten Windows-Clienten wird man erst dann mal verwenden können, wenn die Routerhersteller endlich (IPSec)IKEv2 implementieren. Das FRITZ!Box VPN ist halt das etwas komplexe aber keinesfalls intransparente IPSec(IKEv1). Der zweite Unterschied wäre, dass OpenVPN eben nur eine Implementierung des SSL/TLS-VPN ist mit einer einzigen Liste von Vulnerabilities, die man sich bei IPSec erst per Hersteller zusammensuchen darf.
     
  7. KiRKman

    KiRKman Aktives Mitglied

    Registriert seit:
    27 Okt. 2004
    Beiträge:
    1,077
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ich habe jetzt alles Mögliche probiert, aber es will einfach nicht funktionieren.

    Trage ich den offiziellen Hostnamen meines VPN-Anbieters ein, ändert die FRITZ!Box diesen in die IP-Adresse 255.255.255.255 und versucht denn auch eine Verbindung dorthin. Wenig zielführend ;) Auch andere Hostnamen habe ich ausprobiert, es bringt nichts.

    Also nehme ich als Workaround erst einmal eine IP-Adresse. Diese wird - oh Wunder - denn auch tatsächlich übernommen und mutmaßlich auch verwendet. Allerdings kommt keine Verbindung zustande. Die FRITZ!Box meldet nur einen Timeout und vermerkt diesen ca. alle 30 Sekunden so im Log: "13.01.14 17:44:28 VPN-Fehler: 46.165.xxx.xxx, IKE-Error 0x2027".

    Dasselbe macht er aber auch bei seinen tollen Verbindungen zu 255.255.255.255. Ich kann also momentan gar nicht sagen, ob tatsächlich eine vernünftige Verbindung versucht wird oder nur Mumpitz. Anscheinend findet erstmal gar keine Kommunikation mit der Gegenstelle statt.
     
  8. nachtzwerg

    nachtzwerg Neuer User

    Registriert seit:
    15 Okt. 2006
    Beiträge:
    46
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,
    endlich finde ich mal jemanden, der das gleiche vor hat wie ich @KiRKman
    Ich habe kürzlich bei privateinternetaccess einen account gekauft, der auch auf Mac und iPhone/iPad prima funktioniert. Jetzt würde ich gern noch mein Apple TV darüber laufen lassen, das leider keinen VPN Client hat. Somit muss der Router herhalten. Ein alter WRT54GL mit DDWRT funktioniert zwar, ist aber zu langsam. Also muss die 7390 her, aber für Freezt habe ich gerade keine Zeit und Nerven.
    Wie also lässt sich das VPN damit einrichten. Ich kann theoretisch per L2TP, PPTP und OpenVPN auf meinen Account zugreifen. Nur wie konfigurieren? Hat es jemand schon erfolgreich hinbekommen?

    Danke!
     
  9. KiRKman

    KiRKman Aktives Mitglied

    Registriert seit:
    27 Okt. 2004
    Beiträge:
    1,077
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Wie es der Teufel so will, habe ich ebenfalls PrivateInternetAccess :)

    Da dieser Anbieter standardmäßig nur OpenVPN anbietet, was auch deren Client-Software für Windows realisiert, habe ich mir zunächst einmal im Control Panel Benutzerdaten für PPTP/L2TP/SOCKS generiert. Man bekommt dann ja einen Benutzernamen beginnend mit "x" und ein Passwort - alles speziell nur für diese Dienste.

    Aber - siehe oben - es funktioniert nicht mit dem Fritzen. Zudem finde ich auch nach sehr langem googlen und lesen nicht den Unterschied zwischen L2TP/IPSec und IPSec heraus. PPTP und OpenVPN kann die FRITZ!Box mit normaler Firmware ja leider nicht.
     
  10. nachtzwerg

    nachtzwerg Neuer User

    Registriert seit:
    15 Okt. 2006
    Beiträge:
    46
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Man findet darüber sowieso recht wenig im Internet leider. Benutzt denn niemand seine Fritzbox als VPN-Client?

    Ich habe zwischenzeitlich jedenfalls schon eine Anfrage bei PIA gestellt, wurde aber nur auf deren Forum verwiesen.
     
  11. oNNy

    oNNy Neuer User

    Registriert seit:
    25 Juli 2006
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Student
    Ort:
    Karlsruhe
    Ich habe das ganze mit Ivacy.com versucht, die auch einen IPSec-Server in Russland stehen haben. Leider nur mit Timeout-Fehlern auf der FritzBox. Ivacy-Support habe Ich schon vor einer Woche kontaktiert, leider ohne Rückmeldung. Wäre super wenn jemand Anbieter + funktionstüchtige Anleitung parat hätte :)
     
  12. KiRKman

    KiRKman Aktives Mitglied

    Registriert seit:
    27 Okt. 2004
    Beiträge:
    1,077
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Beim ersten Versuch hatte ich noch den Hostnamen des Servers eingetragen. Dies führte aber dazu, dass die FRITZ!Box gar nicht erst versuchte, eine Verbindung aufzubauen. Es kamen aber die bekannten Timeout-Fehler.

    Danach habe ich direkt die IP-Adresse eingetragen. Nun versuchte die FRITZ!Box offensichtlich tatsächlich eine Verbindung - trotzdem nur Timeouts. Als wenn die Gegenstelle nicht antworten würde.

    Ich habe bei meinen Tests verschiedene Server vom Anbieter PrivateInternetAccess ausprobiert - leider ohne Erfolg! Keine Ahnung, wie das IPSec "Firmen-VPN" der FRITZ!Box funktionieren soll.
     
  13. pfeffer

    pfeffer Mitglied

    Registriert seit:
    26 Okt. 2004
    Beiträge:
    755
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    #13 pfeffer, 16 Feb. 2015
    Zuletzt bearbeitet: 16 Feb. 2015
    Hi!

    mir scheint mit https://hide.me/de/ müsste die Fritzbox als VPN-Client zusammenarbeiten können:
    Auf der Website steht, dass sie IKEv1 untersützen. Außerdem gibt es eine Anleitung zum Einrichten von Shrew - und Shrew kann man auch als Client an der FritzBox verwenden (nur ein Indiz).
    Die Anleitung findet sich hier: https://community.hide.me/tutorials/ipsec-ikev1-mit-shrew-soft-vpn-client.8/
    Die entsprechenden Einstellungen hier: https://community.hide.me/downloads/lin-shrewsoft-aes128.vpn.tar.gz füe AES128 und hier: https://community.hide.me/downloads/lin-shrewsoft-aes256.vpn.tar.gz für AES256.

    Mag es jemand probieren? - Bin sehr gespannt!

    Viele Grüße,
    Pfeffer.

    Edit: bis zu 2 GB pro Monat sogar kostenlos: https://hide.me/de/pricing
     
  14. KiRKman

    KiRKman Aktives Mitglied

    Registriert seit:
    27 Okt. 2004
    Beiträge:
    1,077
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Sieht für mich auch so aus, als wenn es mit der FRITZ!Box gehen müsste. Angeboten werden folgende Protokolle:
    OpenVPN mit AES-256
    PPTP
    IPSec über L2TP
    aber auch IPSec (IKEv1 & IKEv2)

    Empfohlen wird sogar IPsec über IKEv2 (AES-256). Der Anbieter sitzt in Malaysia und führt nach eigenem Bekunden keinerlei Logs.

    Ich habe allerdings vor Kurzem erst meinen VPN-Zugang bei einem anderen Anbieter für ein Jahr verlängert. Mein Anbieter macht nur OpenVPN und IPSec über L2TP, geht also nicht mit der FRITZ!Box. Ansonsten kann ich noch einen SOCKS-Proxy ersatzweise nutzen.

    Sollte jemand Hide.Me mit der FRITZ!Box testen, so wäre auch ich an den Ergebnissen interessiert.
     
  15. Rascree

    Rascree Neuer User

    Registriert seit:
    3 Mai 2016
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,

    hat das inzwischen jemand gelöst, bzw ein korrektes .cfg zur Verfügung? Versuch das gerade mit FritzBox7430 und PIA.

    Gruß!
     
  16. KunterBunter

    KunterBunter IPPF-Urgestein

    Registriert seit:
    12 Okt. 2005
    Beiträge:
    21,999
    Zustimmungen:
    30
    Punkte für Erfolge:
    48
    #16 KunterBunter, 16 Mai 2016
    Zuletzt bearbeitet: 16 Mai 2016
    Das kann schon allein deshalb niemals nie funktionieren, weil privateinternetaccess.com immer noch nur OpenVPN, PPTP und IPSEC/L2TP VPN Tunnel anbietet.
     
  17. Riverhopper

    Riverhopper Mitglied

    Registriert seit:
    29 Sep. 2015
    Beiträge:
    228
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
  18. Rascree

    Rascree Neuer User

    Registriert seit:
    3 Mai 2016
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke für das schnelle Feedback. Ich schaue mir erstmal noch den Freetz Trunk an. Damit sollte es ja auch gehen...

    Gesendet von meinem SM-G900F mit Tapatalk
     
  19. Riverhopper

    Riverhopper Mitglied

    Registriert seit:
    29 Sep. 2015
    Beiträge:
    228
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Hallo Rascree,
    wie willst Du das mit Freetz-Trunk machen ?
    es gibt nur FB7430 und 06.30 experimental:
    Code:
    * Fritz!Box Fon WLAN 7430 (EXPERIMENTAL)
            * 146.06.30 rev32200
            * 146.06.30 rev32200 (International)
    
    jedoch kein Support für die aktuelle 06.50 der FB7430.

    Üblicherweise wird hier iptables Paket in Verbindung mit OpenVPN benötigt.

    LG Riverhopper
     
  20. Rascree

    Rascree Neuer User

    Registriert seit:
    3 Mai 2016
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    So hatte ich mir das vorgestellt. Habe noch keine Erfahrung mit dem Trunk, aber ich hab das soweit mal zusammen gestellt. Bis gestern nur daran gescheitert, dass die Fritzbox kein 6.3 er OS installieren wollte. Vermutlich muss ich erst auf die offizielle 6.3 downgraden und dann freetz drüber.

    Gesendet von meinem SM-G900F mit Tapatalk