Fritzbox 7390 mit VPN Anbieter verbinden???

gerry77

Neuer User
Mitglied seit
18 Okt 2015
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo

Ist es möglich die Fritzbox 7390 Fritz!OS 06.30 direkt mit einem VPN Anbieter zu verbinden? Also so das man die Fritzbox als VPN Client einrichtet.
 
Ist es möglich die Fritzbox 7390 Fritz!OS 06.30 direkt mit einem VPN Anbieter zu verbinden?
Ich lehne mich mal aus dem Fenster und sage: nein, das geht nur über eine Internetverbindung, über die man dann den Kontakt zum VPN-Anbieter aufnehmen läßt - außer der VPN-Anbieter befindet sich örtlich neben der FRITZ!Box, dann geht das natürlich auch direkt (über LAN1 kann man die FRITZ!Box auch zum WAN Kontakt aufnehmen lassen).
 
Also ich möchte einfach das sich die Fritzbox mit einem VPN Anbieter ( Hide my Ass oder VPN Express........) ins Internet verbindet und alle Geräte die sich im Netzwerk der Fritzbox befinden die VPN Verbindung nutzen.
 
Einfach in der FB auf Internet -> Freigaben -> VPN -> "Diese FRITZ!Box mit einem Firmen-VPN verbinden".
 
Ich kann es mir wieder nicht verkneifen, auch hier die Frage zu stellen, ob da schon mal eine Suche (entweder hier oder im gesamten Internet) wenigstens versucht wurde ... daß die FRITZ!Box IPSec mit IKEv1 als einzige Variante unterstützt, ist relativ schnell ermittelt und dann bräuchte man (vermutlich, auch das traue ich mich einfach mal zu schreiben) wohl einen VPN-Anbieter, der seinerseits den Zugang über diese Technologie gestattet.

Welche Anbieter das jetzt unterstützen könnten bzw. bei ob das beim "favorisierten" Service (der am besten noch unter einer Postfachadresse im US-Bundesstaat Utah firmiert, dafür aber Top-Preise - bis hin zu einem kostenlosen Service - bietet) dann auch paßt, sollen wir doch jetzt nicht wirklich als "Proxy" ermitteln, oder?

Ich frage mich immer öfter, ob man sich beim Stellen solcher Fragen tatsächlich vor Augen führt, daß die eigene gesparte Zeit in aller Regel in potenzierter Form dann von den Hilfewilligen in so einem Forum mit dem Lesen solcher Fragen verschwendet wird. Daß auch solche Antworten wie diese hier (die aber wenigstens noch zwei Fakten enthält) einen ähnlichen Effekt haben, ist mir aber auch bewußt - aber ehe irgendwann dann wieder die Frage "Kann hier keiner helfen?" kommt, antworte ich (teilweise wider besseren Wissens) immer wieder erneut - die Hoffnung (auf Einsicht, logischerweise immer bei anderen ;-)) stirbt ja bekanntermaßen zuletzt.
 
Bin selbst am Thema "FB als VPN-CLIENT" interessiert und würde mich sehr freuen -aber noch mehr wundern- wenn die FB tatsächlich als Client für einen kommerziellen VPN-Dienstanbieter an dessen Server eingerichtet werden könnte. M.W. geht das nur mit FREETZ über Open VPN. Die erste Frage ist daher m.E. nicht, ob ein (kommerzieller) VPN Anbieter dieses oder jenes VPN Protokoll (serverseitig) beherrscht, sondern OB die FB (ohne Freetz) als CLIENT überhaupt irgendein Protokoll "kann". Auf den -auch z.T. hier verlinkten AVM Seiten- sehe ich jedenfalls immer nur Konfigurationsanleitungen für die FB als SERVER für Clients, denen der Zugang zur FB ermöglicht werden soll. Seriöse VPN-Anbieter beherrschen eigentlich alle gängigen Protokolle, darunter natürlich auch IPSEc - und natürlich auch Ike v2 (deshalb kann ich mich mit einem WindowsPhone auch direkt mit meinem VPN-Anbieter verbinden). Verbindung ist allerdings genauso möglich mit PPTP oder L2TP (nutze ich für Andiroid-Geräte) oder OpenVPN (Client ist hier ein Windows PC).

Fände es aber hochinteressant, wenn ich mich mit meinem Kenntnisstand irren würde. Für eine VPN-Verbindung wie sie der TE sucht habe ich deshalb hinter meiner FB 7390 einen zusätzlichen TP-Link-Router mit einer DD-WRT-Fw geflasht. Dieser Router ist ständig mit einem Server des VPN-Anbieters verbunden, sodaß über das WLan dieses Routers jedes Gerät jederzeit mit der gewünschten/benötigten per VPN bereitgestellten IP ins Netz gehen kann. Für lokale IPs benutze ich das (WLan-)Netz der 7390.
 
Zuletzt bearbeitet:
Habe es selbst auch noch nicht probiert, die FB kann wie erwähnt wurde nur IPsec, kein PPTP oder openVPN. Muss der Anbieter also auch anbieten.

Wenn man Firmennetz mit 0.0.0.0 angibt müsste eigentlich alles darüber laufen.

Wenn VPN Leitung auslastet leidet alles andere an der FB, wie telefonie ect.

Also besser prüfen ob nicht nen RasPi oder ähnliches besser ist.
 
Zuletzt bearbeitet von einem Moderator:
Die Möglichkeit, die FRITZ!Box als "Client" einzusetzen (das ist alles etwas schwammig in diesem Zusammenhang, was da nun Client und Server ist, das ist bei einem (Multi-User-)Server für OpenVPN vielleicht eindeutiger), steht doch in #5 ... oder meinst Du, bei einer Verbindung zu einem Firmen-Netzwerk (diese Option gibt es sicherlich auch in Deinem GUI) ist die FRITZ!Box dann der Server und der "Einwahlknoten" einer Firma der "Client"?

Es gibt bei IPSec vielleicht noch Unterschiede, ob so eine Verbindung mit XAuth (erweiterte Authentifizierung, die neben einem gemeinsamen "shared secret" auch noch individuelle Credentials verwendet) arbeitet in der Phase der Initialisierung oder ohne, aber prinzipiell ist das genau der Modus, wo die FRITZ!Box sich ihrerseits mit einem anderen Netzwerk verbindet. Auch jeder FRITZ!Box-Besitzer, der seine FRITZ!Box (als Initiator) mit seinem eigenen Server verbindet (auch dazu gibt es hier mehrere Themen), macht eigentlich nichts anderes ... die Frage ist am Ende eigentlich nur, wie so eine Verbindung auf L3 dann arbeitet.

Vielleicht suchst Du Dir ja mal einen "seriösen Anbieter" mit IPSec und IKEv1 heraus und dann kann man ja mal sehen, ob und wie man das VPN zum Laufen bringt ... aber der umgekehrte Weg ist sicherlich nicht wirklich gangbar.

Und um das auch noch anzumerken ... Dein Windows-Phone nutzt mit ziemlicher Sicherheit IKEv2 und nicht IKEv1, ich wüßte jedenfalls nicht, daß MS inzwischen IKEv1 implementiert. Zumindest im "richtigen" Windows nicht und dann vermutlich auch nicht im Windows-Phone.

EDIT: Auch das noch einmal zur Klärung: L2TP/IPSec ist nicht IPSec nach RFC 4301 - das ist ein Layer2-Tunnel, der seinerseits PPP (und darin wieder IP) transportiert und nachträglich noch über IPSec verschlüsselt wird ... da sind die Pakete vollkommen anders aufgebaut und beide Protokolle sind nicht zueinander kompatibel.

EDIT2: Ich habe das glatt eben noch einmal probiert und eine 7490 als Client (ich hoffe, da sind wir uns über die Bedeutung des Begriffs einig) an einer anderen FRITZ!Box unter dem Konto eines FRITZ!Box-Benutzers angemeldet, also genauso, wie es ein iPhone oder ein Android-Gerät oder der ShrewSoft-Client oder selbst der AVM-Client für "FRITZ!Fernzugang" machen würde. Die VPN-Verbindung wird ganz normal aufgebaut und das "dsl"-Interface der "Client-FRITZ!Box" erhält als zusätzliche IP-Adresse die von der entfernten Box (die dann natürlich der "Server" ist) - damit sind dann auch alle Routing-Probleme ausgeräumt:
Code:
root@FB7490:~ $ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: tunl0: <NOARP> mtu 1480 qdisc noop
    link/ipip 0.0.0.0 brd 0.0.0.0
3: sit0: <NOARP> mtu 1480 qdisc noop
    link/sit 0.0.0.0 brd 0.0.0.0
4: eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP200> mtu 1500 qdisc pfifo_fast qlen 1000
[...]
5: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP200> mtu 1500 qdisc pfifo_fast qlen 1000
[...]
6: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP200> mtu 1500 qdisc pfifo_fast qlen 1000
[...]
7: eth3: <NO-CARRIER,BROADCAST,MULTICAST,UP200> mtu 1500 qdisc pfifo_fast qlen 1000
[...]
8: wasp: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
[...]
9: ptm_vr9: <BROADCAST,MULTICAST,UP,LOWER_UP100> mtu 1500 qdisc tbf qlen 1000
[...]
10: adsl: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 2000 qdisc pfifo_fast qlen 32
    link/[19]
11: lan: <BROADCAST,MULTICAST,UP,LOWER_UP200> mtu 1500 qdisc noqueue
    link/ether 08:96:d7:ca:fe:de brd ff:ff:ff:ff:ff:ff
    inet 192.168.nnn.1/28 brd 192.168.nnn.15 scope global lan
[...]
12: guest: <BROADCAST,MULTICAST,UP,LOWER_UP200> mtu 1500 qdisc noqueue
[...]
13: dsl: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP200> mtu 1500 qdisc pfifo_fast qlen 100
    link/ppp
    inet 192.168.nnn.1/32 scope global dsl
[COLOR="#FF0000"]    inet 192.168.mmm.201/32 scope global dsl <=== das ist die IP-Adresse des VPN-Clients im entfernten Netz
[/COLOR][...]
14: wifi0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop qlen 1000
[...]
15: wifi1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop qlen 1000
[...]
16: ath0: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
[...]
17: ath1: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
[...]
18: wlan: <BROADCAST,MULTICAST,UP,LOWER_UP200> mtu 1500 qdisc pfifo_fast qlen 1000
[...]
Alles in allem eher nichts Überraschendes ... ich verstehe nicht so richtig, wo das Problem liegen soll, die FRITZ!Box mit einem VPN-Anbieter zu verbinden. Was ggf. zum Problem wird, wäre das Routing des gesamten Verkehrs über diese VPN-Verbindung ... das liegt aber daran, daß der IPSec-Verkehr ja irgendwie nicht selbst über den Tunnel gehen darf und deshalb Vorkehrungen getroffen werden müssen, daß dieser nicht in die Range in der "accesslist" fällt. Bei einer "normalen" Verbindung zu einer Firma ist eben das dort verwendete Netz bekannt und es geht nur der Verkehr für dieses Netz durch den Tunnel, bei einem "catch all"-Tunnel über so einen VPN-Anbieter muß halt die "accesslist" den bereits als IPSec gekapselten Verkehr ausschließen. Eine Möglichkeit (habe ich auch erst in der vergangenen Woche irgendwo wieder gehabt in einem Thread hier, ich hatte glatt vergessen, daß die DNS-Auflösung für den Namen des Peers eben auch erst einmal ohne Tunnel funktionieren muß) wäre das Sperren von UDP/500 und UDP/4500 inkl. ESP in dieser "accesslist". Das ist dann sicherlich "handgeschöpft" als Konfiguration, aber das ist ja nun nicht wirklich verwunderlich, der GUI-Assistent ist ja nicht als übermäßig flexibel verschrien - das geht schon bei der Trennung in "initiator" und "responder" los, wenn man gar keinen "passiven" Responder mit dem GUI konfigurieren kann.

EDIT3: Hier noch die "Client"-Konfiguration der FRITZ!Box:
Code:
                enabled = yes;
                editable = yes;
                conn_type = conntype_out;
                name = "hostname.dynamic.mydomain.de";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "hostname.dynamic.mydomain.de";
                keepalive_ip = 0.0.0.0;
                localid {
                        key_id = "remote_fritzbox_username";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "unleserlicher Schrott";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "remote_fritzbox_username";
                        passwd = "remote_fritzbox_user_password";
                }
                use_cfgmode = yes;
                phase2remoteid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = "permit ip any 192.168.mmm.0 255.255.255.0";
Die Proposal-Auswahl ist natürlich grauenvoll (alles noch mit dem puren GUI konfiguriert), weil kein PFS unterstützt wird ... auch die "accesslist" ist noch nicht dazu geeignet, da allen Verkehr (oder auch nur ausgewählte Netzwerk-Bereiche) über die VPN-Verbindung zu schicken. Am einfachsten ist es (wenn man so einen Tunnel als Mittel gegen regionale Sperren verwenden will), in der "accesslist" die Netzwerkbereiche anzugeben, die über die VPN-Verbindung gehen sollen. Wenn das nicht möglich ist, müssen eben - wie oben erwähnt - die anderen Pakete aus dem Tunnel ausgeschlossen werden. DNS über den Tunnel zu schicken, ist nicht ganz so einfach, dann muß man mit einer Ausnahmeregel in jedem Falle dafür sorgen, daß der Name des Servers für den Tunnel noch aufgelöst werden kann oder man nimmt gleich den "remoteip"-Parameter anstelle von "remotehostname", wenn der Anbieter eine dedizierte Adresse hat und kein Load-Balancing verwendet, zumindest nicht über DNS-Round-Robin.
 
Zuletzt bearbeitet:
Yep ... ich habe noch etwas zu einem Test mit einer FRITZ!Box als "Client" oben ergänzt, während Du #10 geschrieben hast.
 
Das Problem ist schlichtweg, dass IKEv1 von diesen VPN Anbietern nicht implementiert wird, da das von den wenigsten Nutzern benötigt wird. Abseits von den klassischen Windows Protokollen (das deckt bereits die Mehrheit ab) und einer evtl proprietären Lösung kommt eigentlich nur noch openVPN zum Tragen.
 
Also ich möchte einfach das sich die Fritzbox mit einem VPN Anbieter ( Hide my Ass oder VPN Express........) ins Internet verbindet .....
Nachdem wir nun alle klar haben, daß die FB nur IKEv1 unterstützt, müsstest Du nur einen Anbieter finden, der dieses Protokoll auf seiner (Server-)Seite ebenfalls unterstützt. Müsstest Du einfach die Webseiteninformationen abklopfen (z.B. gibt hide.me an, daß seine Server auch IKEv1 unterstützen- gibt sicher noch andere, aber vermutlich nicht allzu viele, die diese VPN-Protokoll-Version noch unterstützen. Immerhin gibt es IKEv2 schon seit 2005. Umso unverständlicher ist es, daß bedeutsame Router-Hersteller wie AVM immer noch -und NUR- auf dieses Protokoll setzen.
 
Nachdem wir nun alle klar haben, daß die FB nur IKEv1 unterstützt, müsstest Du nur einen Anbieter finden, der dieses Protokoll auf seiner (Server-)Seite ebenfalls unterstützt. Müsstest Du einfach die Webseiteninformationen abklopfen (z.B. gibt hide.me an, daß seine Server auch IKEv1 unterstützen- gibt sicher noch andere, aber vermutlich nicht allzu viele, die diese VPN-Protokoll-Version noch unterstützen. Immerhin gibt es IKEv2 schon seit 2005. Umso unverständlicher ist es, daß bedeutsame Router-Hersteller wie AVM immer noch -und NUR- auf dieses Protokoll setzen.

Ja hab ich schon gemacht leider klappt das auch nicht hab auch dort im Forum nachgelesen und leider hat es bisher auch noch niemand geschafft zumindst nicht ohne einen Router hinter die Fritzbox zu hängen oder sie zu freetzen und das ist mir zu aufwendig.
 
Bin noch mit dem Support meines VPN-Dienstleisters in Kontakt, bin da aber nicht allzu zuversichtlich. Sollte sich jedoch etwas Positives ergeben, gebe ich Bescheid. Derzeit stellt die Verbindung -wie geschrieben- ein mit DD-WRT geflashter Router her, der als Client am LAN der 7390 hängt. Das funktioniert prima und das Konstrukt (einschl. knapp 5.- € Monatsgebühr) ist MIR für MEINE individuellen Zwecke wert.
 
Bin noch mit dem Support meines VPN-Dienstleisters in Kontakt, bin da aber nicht allzu zuversichtlich. Sollte sich jedoch etwas Positives ergeben, gebe ich Bescheid. Derzeit stellt die Verbindung -wie geschrieben- ein mit DD-WRT geflashter Router her, der als Client am LAN der 7390 hängt. Das funktioniert prima und das Konstrukt (einschl. knapp 5.- € Monatsgebühr) ist MIR für MEINE individuellen Zwecke wert.

Ja ich denke auch nicht das es im Moment möglich Direkt aus der Fritzbox möglich ist eine Verbindung zu einem VPN Server aufzubauen. Aber falls sich was ergibt gib einfach bescheid.

Danke
 
wenn die FB tatsächlich als Client für einen kommerziellen VPN-Dienstanbieter an dessen Server eingerichtet werden könnte. M.W. geht das nur mit FREETZ über Open VPN.

Ergänzung:
Für den Betrieb als transparentes OpenVPN-Gateway für die LAN-Clients wären bei FritzBox Funktionen wie iptables (PREROUTING Chain) oder iproute2 (Policy Based Routing) erforderlich, um den Traffic in den OpenVPN-Tunnel zu schicken. Leider fehlen die entsprechenden Kernel-Module in FB Stock-Firmware, somit nützt ein OpenVPN-Binary wenig und dies ist ohne Freetz nicht machbar.

Gruß
Splenditnet

EDIT: Machbar ist mit Fritzbox (ohne Freetz) und OpenVPN-Binary eine verschlüsselte Punkt-zu-Punkt Verbindung zu einem OpenVPN-"Server" im Internet aufzubauen und dadurch z.B. eine alternative Möglichkeit des Fernzugriffs auf die FritzBox bereitzustellen.
 
Zuletzt bearbeitet:
Die erwartete Antwort meines VPN-Anbieters: Auch wir unterstützen kein Ikev1, sondern "nur" das aktuellere IKEv2 und noch eine Reihe anderer Protokolle (OpenVPN, PPTP, L2TP/IPSec, OpenWeb, CiscoIPSec, StealthVPN, SSTP)

So ähnlich sieht es bei den meisten anderen VPN-Anbietern auch aus - scheint so, daß AVM mit IKEv1 seinen Boxen ein ganz besonderes (alles andere als positives) "Alleinstellungsmerkmal" verpasst hat.
 
Du erwartest etwas von AVM, was der Hersteller gar nicht als Feature angibt und btw von keinem anderen Router (im Consumer Bereich) mit Standard-Firmware realisiert wird. Für die überwiegende Mehrheit sind die VPN Funktionen (die im Übrigen verglichen zu anderen Produkten umfangreich sind) ausreichend.
 
Ausreichende VPN Funktionalität bei den FBs? Darüber kann man steiten.

Das Thema liefert doch genug Stoff.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.