Fritzbox 7330 als VPN Gateway

[babedream312]

Hi Leute!

Ich habe hier eine Fritzbox 7330 und möchte, dass der gesamte Traffic über einen Server läuft. Das heißt also meine Fritzbox soll sich als Client bei meinem VPN Server einloggen und dann als Default Gateway eben diesen nutzen.

Das Problem ist nun, dass ich zwar von Linux ein wenig Ahnung habe, von IPSEC jedoch leider nicht. IPSEC habe ich auf dem Server anhand dieser Anleitung eingerichtet: https://help.ubuntu.com/community/L2TPServer Soweit startet alles und sieht das gut aus, würde ich sagen. Ob die Konfiguration für meine Wünsche passt weiß ich leider nicht - kann mir dazu jemand helfen?

Nun habe ich leider auch keine Ahnung wie die Konfigurationsdatei für die Fritzbox aussehen muss - kann mir auch hier jemand helfen?

Besten Dank für jegliche Hilfe! Ich bin ja bestimmt nicht der Erste, der das machen möchte....

Andi

 

[babedream312]

Guten Morgen,

kein Experte hier der mir helfen will/kann? :noidea:

würde mich wirklich sehr freuen, habe schon viel ausprobiert aber komme einfach nicht weiter...

Andi

 

[Telefonmännchen]

Was genau aus dem VPN-Portal von AVM hast Du nicht verstanden? Da steht z.B. drin, dass man für ältere Boxen die ensprechenden Software nutzen kann, um die notwendige Konfigurationsdatei zu erstellen. In der enuen Version gibt es wohl auch die Checkbox für die Sonderfunktion des kompletten Routings über das VPN. Ferner sind dort auch Anleitungen hinterlegt, wie man das von AVM genutzte VPN mit anderen Gegenstellen verbinden kann und auch die erstellte Konfigurationsdateien auf die persönlichen Bedürfnisse anpassen kann.

Gruß Telefonmännchen

 

[babedream312]

Hi Telefonmännchen!

Vielen Dank für deine Antwort. Vielleicht ich ja blind, aber ich finde nirgends (nicht auf der AVM Seite und auch nicht per Google) eine Anleitung wie ich meine Fritzbox zu einem VPN-Client mache, der allen Traffic über einen VPN-Gateway (Linux Server mit Ipsec) routet. Ich finde nur haufenweise Anleitungen, wie ich VPN-Clients (z.B. Smartphone oder PC mit Fernzugangssoftware) zur Fritzbox verbinde (welche dann als VPN-Gateway dient) und somit der Traffic zwischen Client und Fritzbox verschlüssel wird. Das will ich aber nicht.

Meine aktuelle Konfiguration, welche ich ausprobiert habe aber nicht funktioniert, sieht so aus:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Test";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
remoteip = x.x.x.;
localid {
user_fqdn = "user1";
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "test";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2ss = "esp-all-all/ah-all/comp-all/no-pfs";
accesslist = "permit ip any 0.0.0.0 0.0.0.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Vielleicht kannst du mir bitte die direkten Links schicken auf welche du dich beziehst?

Besten Dank und Grüße
Andi

 

[Telefonmännchen]

...Anleitung wie ich meine Fritzbox zu einem VPN-Client mache,

Logisch, dass es dafür keine Anleitung gibt, wenn Du mit diesen Begriffen (spziell "Client") suchst. Eine FritzBox als Client an einen Server anzumelden wäre auch relativ sinnfrei (es sei denn man will ausschließlich die Dienste der FritzBox nutzen). Bei einer Client-Anbindung kann nur das einzen angebundene Gerät auf das VPN zugreifen. Wenn Du eine FritzBox an ein VPN anbinden willst, um mit dahinter liegenden Geräten das VPN zu nutzen, ist das immer eine "Site to Site"-Verbindung. Prinzipiell unterscheidet es sich nicht viel, sondern nur in den konfigurierten Netzwerkadressen und -routen und der Tatsache, dass sie von beiden Seiten initiiert werden kann. Darum sind alle Anleitungen für eine derartige Anbindung für Dich relevant (Anbindungen zu Cisco, Netgear, Lancom usw. unter "Tipps & Tricks für Verbindungen zu anderen Herstellern "). Dein Szenario ist wohl nicht sehr verbreitet. Darum ist auch keine dedizierte Anleitung hierfür vorhanden.

Wcihtig ist, dass Du natürlich die PSK gleich konfigurierst und die Aushandlungen der Pase 1 und Phase 2 benutzten Verschlüsselungen aufeinander anpasst (Einträge phase1ss und phase2ss). Dort scheint aber ein Stolperstein zu lauern, denn die FriztBoxen akzeptieren bestimmte Methoden nicht, geben darüber aber leider auch keine Fehlermeldung (es funktioniert nur einfach nicht oder nur bis zu einem Reconnect bei dynamischen Adressen). Ich habe neulich zu diesem Thema mal was gefunden. Allerdings ging es dort um die Verbindung einer pfSense und einer FritzBox per VPN. Das Grundprinzip sollte aber auf Grund der gemeinsamen Linuxbasis gleich sein. Vielleicht kannst Du hieraus was ableiten. >>>LINK<<< Ein Patentrezept für Dein Szenario habe ich aber auch nicht in meiner Linksammlung.

Gruß Telefonmännchen

 

[babedream312]

Logisch, dass es dafür keine Anleitung gibt, wenn Du mit diesen Begriffen (spziell "Client") suchst. Eine FritzBox als Client an einen Server anzumelden wäre auch relativ sinnfrei (es sei denn man will ausschließlich die Dienste der FritzBox nutzen). Bei einer Client-Anbindung kann nur das einzen angebundene Gerät auf das VPN zugreifen.

Das ganze ist alles andere als sinnfrei und die Terminologie (http://de.wikipedia.org/wiki/Client-Server-Modell) ist auch korrekt. Der Client (Fritzbox) muss in diesem Fall einfach für andere Geräte im Netz als Gateway dienen (was sie so oder so macht) und den Traffic über das vom Server angeforderte Betriebsmittel (VPN) routen. Mit z.B. OpenVPN ist das in wenigen Minuten erledigt, mit ipsec offenbar leider nicht. Vielleicht sollte ich die Box einfach flashen und dann OpenVpn nutzen, aber wahrscheinlich gibt's dann nur wieder Probleme mit dem angeschlossenen WLAN-Repeatern, DSL und was weiß ich nicht.... :-(

Jedenfalls trotzdem vielen Dank für deine Hilfe, mal schauen ob ich das doch noch irgendwie zum Laufen bringe.

Grüße
Andi

 

[Telefonmännchen]

Der "Client" wir im Allgemeinen in sogenannten Roadwarrior-Szenarien benutzt, wo sich eine einzelnes Gerät auf einem Server anmeldet um dessen Dienste zu nutzen. Sollen mehrere Geräte sich über einen gemeinsamen Router anmelden, dann ist das nun mal einen Site to Site-Szenario. Wie das bei OpenVPN heißt ist in diesem Falle irrelvant. Es ist nur ein Name für ein Szenario und wenn ich eine andere Technologie benutze, dann muss ich eben mit diesen Namen arbeiten und eben danach suchen. Um bei Deinem Terminologielink zu bleiben, ist das was Du einrichten musst unter "Unterschiede zu Peer-To-Peer" zu finden, da bei diesem VPN die Verbindung beidseitig initiiert werden kann, was bei Roadwarrior-Szenarien auch eher die Ausnahme sein sollte.

Sei es drum, OpenVPN könntest Du durchaus mit Freetz nachrüsten. Dafür gibt es im Freetz-Bereich sicher auch noch Anleitungen. Wenn Du als Quelle die originale Firmware nutzt, sollten Seiteneffekte bezüglich WLAN-Repeatern nicht anfallen. Eine VPN-Verbindung zu einem kompatiblen Gerät dürfte schneller eingerichtet sein, als Deine Box zu freetzen usw. Es gibt für Dein Szenarion keine Anleitung (zumindest habe ich auf die Schnelle auch keine gefunden). Darum musst Du Dich damit etwas intensiver auseinandersetzen. Sollte aber zu schaffen sein.

Gruß Telefonmänchen