Fritz!Fernzugang 64bit und Win10

Das "Nachrüsten" von IKEv2 durch AVM sehe ich (persönliche Einschätzung, durch keine AVM-Aussage untermauert) eher nicht, das ist schon einiges an Aufwand.

Das Umschwenken auf das unter Linux "übliche" Vorgehen bei IPSec-Implementierungen wird (vermutlich) auch nicht so einfach sein, der WAN-Stack ist ja in weiten Teilen proprietär und entweder das würde aufgegeben (eher friert vermutlich die Hölle zu) oder eine der möglichen Tools-Implementierungen, z.B. "racoon" oder "strongSWAN", und der "IPSec-Stack" bzw. die Transformationen allgemein wird auf den AVM-Stack angepaßt. In beiden Fällen müßte man wohl einen Wrapper für AVM-Konfigurationen schaffen, damit alte Einstellungen weiter verwendet werden können (den Aufschrei würde ich ansonsten auch nicht hören wollen, viele sind ja froh, wenn ihr VPN erst einmal "irgendwie" läuft und fassen das dann nicht mehr an).

Als ich das erste Mal den l2tpv3d in der Firmware gesehen habe (muß irgendwann in einer 06.10-Labor gewesen sein), dachte ich auch noch, AVM würde damit am Ende L2TP/IPSec für die "native Verbindung" mit MS-Betriebssystemen implementieren wollen. Leider wird der aber wohl nur für das Tunneln des Verkehrs von Clients an Repeatern zur "Hauptbox" verwendet, damit dort dann die ganzen Zugriffskontrollen noch auf der Basis von MAC-Adressen arbeiten können, ansonsten "sähe" man da ja nur die Repeater selbst und nicht die Clients (ich habe keinen Repeater mehr, daher ist das nur geschlußfolgert und nicht getestet bzw. mit einem Dump verifiziert).

Aber damit sollten eigentlich schon alle Bestandteile in der FRITZ!Box vorhanden sein, um tatsächlich L2TP/IPSec "zusammenzustöpseln" ... dabei unterstützt Windows dann auch schon länger IKEv1 bei der Aushandlung der Verschlüsselung. Wenn es bei W10 immer mehr in Richtung mobiler Geräte geht und die Verwendung eines gesonderten Clients nicht mehr "en vogue" ist, bin ich mal gespannt, wie die Reaktion von AVM ausfallen wird. Entweder man investiert Aufwand in eine Anpassung des (m.E. ohnehin schlechten, weil als Filter realisierten) AVM-Clients auch für W10 (ggf. dann als "App") oder man baut einfach auf die bereits im Betriebssystem eingebauten Mechanismen und setzt eben auf L2TP/IPSec, wo man den Aufwand hineinsteckt. Wenn W10 sich auf mobilen Geräten tatsächlich relevante Marktanteile sichern kann (ich schätze mal, so ab 10% wird das dann interessant), dann käme sicherlich auch etwas in der Richtung ... ich glaube nicht, daß AVM auf Dauer den Kunden auf einem Surface 3 die Verwendung des "FRITZ!Fernzugang"-Clients ans Herz legen will. L2TP/IPSec hätte dann auch bereits wieder die Mechanismen, um eine benutzerbasierte VPN-Verbindung zu realisieren (wie es XAuth auch bietet).

Ich hatte ja immer ein wenig die Hoffnung, daß AVM da bereits dran ist und als hier letztens in Berlin mehrmals Angebote für Freelancer im Rahmen der "Zertifizierung eines IPSec-Konnektors" "umgingen":
Code:
08.10.2015
SW-Architekt C++ / embedded systems / krypto (m/w) 

Beginn:
Einsatzort: 	19.10.2015 - 31.12.2015
Berlin / evtl z.T. remote 
Textauszug: 
SW-Architekt C++ / embedded systems / krypto (m/w) Berlin / evtl z.T. remote 
Projektbeschreibung Konzeption und Implementierung von Maßnahmen zur Optimierung der Performance eines Liefergegenstandes (Konnektor), der durch einen Unterauftragnehmer bereit gestellt wird. 
Vertrauter Umgang mit Objektorientierter Programmierung und SW-Architekturen von C++-Programmen 
Kenntnisse 
Mind. 10 Jahre Erfahrung mit Objektorientierter Programmierung und Programmierung in C++ 
Sehr gute Netzwerkkenntnisse zu SSL, DNS, PKI, X.509, RSA, ECC 
Sehr gute Kenntnisse der Protokolle IPSec und IKE 
Gute Kenntnisse von SOAP und Verschlüsselungsverfahren 
Gute Erfahrung mit embeddet devices 
Beginn / Dauer 19.10.2015 - 31.12.2015 
Anzahl der gesuchten Mitarbeiter (m/w) 1
, habe ich schon überlegt, ob AVM da der Auftraggeber sein könnte und sich vielleicht mit einem zugekauften Produkt etwas am VPN der FRITZ!Boxen ändern könnte.
 
Stimmt, wäre auch noch eine Variante. Der von mir ins Auge gefasste TP-Link Router liegt bei 25€.
Hätte noch den Charmanten Vorteil, dass ich das Teil mitnehme, wohin ich es brauche.

Idee:
TP-Link Router - VPN - Fritz.box

Im Hotel habe ich dann gleich noch den einen Zugangscode für mehrere Devices.
 
Seit dem letzten Post sind wieder einige Monate vergangen.
Hat sich da was geändert? Vermutlich nicht, stimmts? AVM setzt weder auf IKEv2, noch haben die einen funktionierenden Fernzugang für Windows10 bereitgestellt.
 
Tut sich nichts.
Und die Anleitung mit dem Alternativen Programm will bei mir nicht funktionieren.
 
Wenn sich was ändert wegen VPN hätte es wohl schon wer in jeweilige FW Thema erwähnt.

Wäre ja zu einfach wenn AVM Tool Entwicklung einstampfen kann und es auch mit Windows und co direkt geht. ;)
 
Habe gerade nach der oben erwähnten Anleitung shrew eingerichtet: ging auf Anhieb.
 
Freut mich, habe es bereits mehrfach probiert. Leider ohne Erfolg. Werde da erstmal keine Zeit mehr investieren.
 
Ein Wechsel von IKEv1 zu IKEv2 ist aufgrund der Unterschiede und insbesondere fehlenden Abwärtskompatibilität auch nicht ohne weiteres durchzuführen, um nicht die Kundenscharen gegen sich aufzubringen.

Welche Abwärtskompatibilität wird noch gebraucht?
Zu alten Fritzboxen?
Denn heutzutage™ wird bei den Clients eher IPsec/IKEv2 verwendet, als die Version 1.

Mit einem Schwenk zu IPsec/IKEv2 vergrößert AVM nur die Anzahl der Nutzer, und verärgert diese nicht (weil ihre Computer extra Software brauchen)

In
Tunnel durchs Internet
Mobile Geräte mit VPN sicher ins Netz bringen
Urs Mansmann
Praxis & Tipps,Praxis,Sicher ins Netz: VPN mit der Fritzbox,VPN,
Verschlüsselung, Sicherheit
c't 3/16 S. 126 (uma)
Kommt die von AVN verwendete VPN-Version nicht gut weg, weil sie zwar noch sicher, aber doch veraltet ist.
Besonders, wenn man aus NAT-Netzen versucht, einen Tunnel aufzubauen.
Dann muss getrickst werden.
Was bei IPsec/IKEv2 nicht mehr notwendig ist.
Auch ist IPsec/IKEv2 Firewall-Freundlich. Versucht man durch eine Firewall, die nur 80 und 443 durchlässt, einen Tunnel zu einer F!B, mit der originalen VPN-Funktion, aufzubauen.
----------
Vollkommen unabhängig ist eigentlich der Prozessor der Box für ein eigenes VPN zu langsam, hier sollte man einen extra Rechner ins Netz stellen, den man den Tunnel bedienen lässt.
 
Hi, nur mal zur Info

Betaversion für FRITZ!Fernzugang (VPN) für Windows 10 64-Bit ist vom 22.03.2017 - ich habe sie gerade getestet, auch die alten Konfigs von Win7 liefen sofort.

https://avm.de/fritz-labor/




 
Zuletzt bearbeitet:

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,149
Beiträge
2,246,980
Mitglieder
373,668
Neuestes Mitglied
Stripi
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.