[Frage] FrittzBox 7590: ausgehende Internet-Verbindung über VPN

[de50ae]

Moin,

es gibt ja diverse VPN-Anbieter.
Von Haus aus soll es keine Möglichkeit geben, in der FritzBox einen VPN für die Internet-Verbindung zu nutzen, soweit ich gelesen habe.

Das ist aber mein Ziel, damit alle Netzwerk-Geräte über den VPN laufen.

Ist das vielleicht über eine Erweiterung wie Freetz oder andere Tricks möglich?

 

[sonyKatze]

Das einfachste aber auch teuerste wäre eine Router-Kaskade, also einen Router kaufen, der dies bietet, z.B. die Geräte von GL.iNet (Taste: Download Product Catalog) oder Lancom Systems. Letztere bekommst Du auch mit DSL-Modem gebraucht schon für unter 100€, z.B. Lancom 884 oder Lancom 1784VA. So entfiele die Kaskade. Wenn Du Super-Vectoring brauchst, müsstest Du tiefer in die Tasche greifen (und ein Gerät mit entsprechendem Modem holen oder ein extra Modem wie die Digitalisierungsbox BASIC kaufen). Die FRITZ!Box könntest Du verkaufen. Vielleicht machst Du am Ende sogar noch Gewinn.

[Dass] alle Netzwerk-Geräte über den VPN laufen […] ist aber mein Ziel.

Warum, weshalb, wieso?

 

[erik]

Früher gab es bei Freetz eine OpenVPN Implementation. Viele VPN-Anbieter unterstützen OpenVPN. Leider gibt es Freetz nicht mehr und vom Nachfolger habe ich keine Ahnung.

 

[stsoft]

Fritz!Boxen können das Box2Box VPN für alles mittlerweile auch.
Braucht es also nur eine IPSEC fähige Gegenstelle.

 

[erik]

Unterstützung von VPN-Anbietern | FRITZ!Box 7490

avm.de

scheint aktuell und korrekt zu sein.

 

[PeterPawn]

Was da bei AVM fehlt, ist die Feststellung, daß es mit einem VPN-Provider, der seinerseits auch IKEv1 unterstützt, durchaus funktioniert. Am Ende ist es ja auch nichts anderes, ob man die FRITZ!Box (mit dem passenden Punkt im Assistenten) mit einem Firmennetz verbindet oder mit einem eigenen Server im Internet (der IKEv1 "spricht", z.B. durch die Nutzung von strongSwan: https://www.strongswan.org/) ... oder doch mit einem Server eines kommerziellen VPN-Anbieters.

Ein Haken an der Sache ist es allerdings, daß man dabei dann mit IP-Adressen für die Einwahlserver arbeiten muß, wenn der VPN-Provider seinerseits mehr als einen Einwahlpunkt unter demselben DNS-Namen betreibt und über die unterschiedlichen Antworten auf DNS-Abfragen die Last verteilen will. Denn das irritiert die AVM-Implementierung nach meinen Tests nach wie vor ... liefert die Abfrage eines DNS-Namens eine andere Adresse, als diejenige, wohin derzeit die Verbindung aufgebaut wurde, wird eine bestehende Verbindung gekappt und versucht, zur neuen Adresse eine neue Verbindung zu initiieren.

Allerdings sind kommerzielle Anbieter, die auch die Einwahl mit IKEv1 ermöglichen, nicht mehr wirklich zu finden ... der letzte war m.W. hide.me, aber auch da gibt es schon eine Weile kein IKEv1 mehr (https://hide.me/en/blog/hide-me-will-discontinue-ikev1-l2tp-and-pptp-by-the-end-of-the-year/). Die angeführten Gründe für die Einstellung von IKEv1 sollte man aber auch nicht allzu ernst nehmen (im Gegensatz zu anderen Protokollen) - die aufgeführten Gefahren lassen sich bei sorgfältiger Implementierung alle ausräumen und ich unterstelle AVM jetzt mal, daß man dort (allerdings nur in Maßen, denn so sehr sicher ist das AVM-VPN nun auch wieder nicht, wenn man sich die Vorgaben in der Firmware ansieht) einigermaßen sorgfältig gearbeitet hat (ohne das aber beweisen zu können).

Wer also einen eigenen Server im Internet betreibt und auf diesem strongSwan installieren kann (welche Plattformen unterstützt werden, steht unter dem o.a. Link), der kann auch seine FRITZ!Box mit diesem Server als VPN-Gateway verbinden ... ob man damit dann Geo-Blocking umgehen kann oder nicht, hängt wieder von der IP-Adresse des Servers ab. Aber manchmal soll das ja auch nur ein "Daten-Mix" sein, bei dem nicht mehr automatisch geschlossen werden kann, daß anfallende Meta-Daten (wann, von wo, nach wo) alle einem einzigen Anschluß zuzuordnen wären.

 

[Insti]

Das ist aber mein Ziel, damit alle Netzwerk-Geräte über den VPN laufen.

Wenn alle Geräte über VPN laufen passiert es wenn du Prime Video oder vielleicht auch andere Apps schauen willst, das es nicht geht weil ein VPN erkannt wird.
Ich habe es so, dass die Geräte nur bei Wunsch ein VPN aufbauen über einen Raspberry Pi 4 der als ein VPN Gateway im Heimnetz läuft.
Hat auch Vorteile einen eigenen VPN Server im Internet einzurichten statt ein Abo bei einem VPN Anbieter.
+ du bestimmst welche Logs erstellt werden
+ Heimnetz über den VPN erreichbar auch bei ds-lite ohne native ipv4 (Client-to-Client)
+ günstig ab 1.- im Monat bsp. IONOS Server S
+ unbegrenzte Geräte
+ auf dem Server können zusätzlich noch andere Dienste laufen (Webserver, opkg repository ...)
+ höhere Bandbreite gegenüber VPN Anbietern
hat aber auch ein paar Nachteile
- Standort kann nicht schnell gewechselt werden
- Aufwendiger in der Installation (kein Playstore mit fertigen Apps sondern muss per ssh auf dem Server erst installiert werden).