Die AVM Fritzbox als VPN Secure Gateway für das iPhone.

Update vom 2. März 2012: In der Zwischenzeit hat AVM mitgedacht und in dem kleinen Softwareprogramm „FRITZ!Fernzugang einrichten“ eine Option eingebaut, mit der in einer zu erstellenden Konfiguration die Secure-Gateway-Funktion eingebaut werden kann. Dieser Artikel ist mit seiner komplexen Anleitung daher weitgehend hinfällig und steht hier nur noch aus historischen Gründen, dennoch gelten die technischen Hintergründe nach wie vor und sind aktuell.

Vor einiger Zeit habe ich versucht, meine AVM Fritzbox 7270 für eine verwegen klingende, aber gar nicht so unsinnige Funktion einzusetzen: Mit meinem iPhone wollte ich die die VPN-Funktionalität der Fritzbox nutzen, um zwischen iPhone und Fritzbox ein VPN aufzubauen. Über dieses VPN wollte ich nicht nur Rechner in meinem eigenen Netzwerk erreichen, sondern die Fritzbox so einsetzen, dass über sie auch der Datenverkehr abgewickelt wird, der vom iPhone ins Internet möchte. Die Idee dahinter war, auf diesem Weg dann auch ein offenes und unverschlüsseltes WLAN nutzen zu können, denn der gesamte Datenverkehr von und zum Internet könnte dann eben über diesen VPN-Tunnel abgewickelt werden.

So weit, so gut. Was mit größeren Gerätschaften funktioniert, funktionierte jedoch nicht mit der Fritzbox. Zwar konnte ich über den VPN-Tunnel mein Netzwerk erreichen, jedoch keinen Datenverkehr ins Internet routen. Das blockte die Fritzbox ab und das ließ sich auch mit einigem Gefrickel in der Konfiguration nicht ändern.

Um es kurz zu machen: Nun geht es! Mit dem Firmware-Update vom September 2010 wurde die VPN-Funktionalität offenbar entsprechend angepasst, so dass nach einer kleinen Änderung der VPN-Konfigurationsdatei, die für den Import in die Fritzbox bestimmt ist, die Fritzbox als Secure Gateway für VPN-Verbindungen von einem iPhone (und natürlich auch einem iPad) genutzt werden kann. Hier mal alles Notwendige Schritt für Schritt.

Schon eine VPN-Konfiguration auf der Fritzbox?

Dann bitte Vorsicht walten lassen, denn wenn jetzt die neu erstellte VPN-Konfigurationsdatei hochgeladen wird, werden alle bestehenden VPN-Konfigurationen entfernt. Wenn also eine bestehende VPN-Konfiguration vorhanden ist und die auch noch benötigt wird, dann müssen beide VPN-Konfigurationen in einer Datei zusammengeführt werden. Hier sollte bitte das oben genannte Programm „FRITZ!Fernzugang einrichten“ zum grundlegenden Aufbau der VPN-Konfiguration eingesetzt werden, damit die Verschachtelung der einzelnen Konfigurationen korrekt bleibt. Die notwendigen Änderungen für die VPN-Verbindung des iPhone lässt sich dann immer noch nachträglich hinzufügen.

VPN-Konfiguration auf der Fritzbox

Die Fritzbox hat nach wie vor auf ihrer Benutzeroberfläche keine eigene Einstellungsmöglichkeiten für VPN-Verbindungen, diese müssen also weiterhin als VPN-Konfigurationsdatei importiert werden. Solche VPN-Konfigurationsdateien können mit einem kostenlosen Programm namens „FRITZ!Fernzugang einrichten“ (gibt es bei AVM im Download-Bereich) erstellt werden. Da wir jedoch für die VPN-Geschichte vom iPhone die so erstellte VPN-Konfigurationsdatei sowieso nochmal anpassen müssen, hier eine VPN-Konfigurationsdatei in ganzer Länge zum Herauskopieren und Anpassen. Ist zwar nicht schön formatiert, erfüllt aber seinen Zweck. Einfach den folgenden eingerückten Teil in einen Texteditor kopieren. Infos zu den rot markierten Bereichen gibt es weiter unten:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "Accountname";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.178.202;
remoteid {
key_id = "Accountname";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "sharedsecret";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
use_cfgmode = no;
xauth {
valid = yes;
username = "Accountname";
passwd = "Kennwort";
}
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 192.168.178.202;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 192.168.178.0 255.255.255.0 192.168.178.202 255.255.255.255",
"permit ip any 192.168.178.202 255.255.255.255";
}
}

Zu den rot markierten Bereichen:

  • „name“ und „key_id“
    Ein beliebiger Accountname, der in beiden Feldern gleich lauten muss. Keine komplizierten Sonderzeichen oder Leerschritte.
  • „remote_virtualip“ und „ipaddr“
    Das ist die virtuelle IP-Adresse, unter der das iPhone (bzw. der VPN-Client) später im lokalen Netzwerk der Fritzbox erscheinen wird. Wenn das LAN mit den Netzwerk-Standardeinstellungen betrieben wird, nutzt die Fritzbox das Netzwerk 192.168.178.x und für VPN-Clients IP-Adressen ab 201. (In diesem Fall habe ich jetzt die 192.168.178.202 ausgewählt, weil ich noch eine weitere VPN-Konfiguration nutze, die hier nicht aufgeführt ist.)
  • „key“
    Hier ist der Shared Secret für die IPSec-Verschlüsselung einzutragen. Prinzipiell gehen hier auch Sonderzeichen, es genügt jedoch eine Zeichenfolge mit Groß- und Kleinbuchstaben, sowie Ziffern. Da dieses Shared Secret später auf dem VPN-Client auch nur einmal eingegeben werden muss, darf es gern länger sein, bei mir sind es 16 Stellen.
  • „username“ und „passwd“
    Das sind Benutzername und Passwort für die zusätzliche XAUTH-Authentifizierung. Hier empfehle ich für „username“ den oben schon festgelegten Accountnamen, für „passwd“ ist ein Passwort empfehlenswert, das nicht das Shared Secret ist und immerhin so aufgebaut sein sollte, dass man es sich einfach merken kann, da dieses Passwort bei jedem VPN-Verbindungsaufbau – zumindest auf dem iPhone – eingegeben werden muss.
  • „accesslist“
    Die Zeile mit dem rot markierten Eintrag ist eminent wichtig dafür, wie der ausgehende Datenverkehr des VPN-Clients auf der Fritzbox behandelt werden soll. Hier ist wichtig, dass die rot markierte IP-Adresse genau die gleiche Adresse ist, wie weiter oben bei „remote_virtualip“ und „ipaddr“ angegeben.

Alles angepasst? Dann die Datei mit beliebigem Dateinamen und der Dateiendung „.cfg“ abspeichern und diese Datei in die Fritzbox importieren. Das passiert in der Rubrik „Internet“ unter „Freigaben“ und dort in der Registerkarte „VPN“. Der Importvorgang dauert einige Sekunden und quittiert dann entweder mit einem erfolgreichen oder erfolglosen Import. Ist er erfolglos, stimmt mit ziemlicher Sicherheit etwas am Aufbau der VPN-Konfiguration nicht.

VPN-Konfiguration auf dem iPhone

Die VPN-Konfiguration auf dem iPhone ist weit weniger kompliziert, als es klingt. Zu finden ist sie in den Einstellungen unter „Allgemein“, dort unter „Netzwerk“ und dort wiederum unter „VPN“. Hier auf „VPN hinzufügen“ tippen und den Button „IPSec“ wählen. Es erscheint folgendes Fenster:

Auch hier kurz die einzelnen Punkt ausführlich:

  • Beschreibung
    Die Beschreibung kann frei gewählt werden und dient lediglich zur Kennzeichnung der VPN-Verbindung auf dem iPhone.
  • Server
    Hier kommt die Adresse hinein, unter der die Fritzbox im Internet zu erreichen ist. Wer eine feste IP-Adresse hat, kann entweder die IP-Adresse oder den Hostnamen angeben. Wer keine feste IP-Adresse hat, kann sich mit einem DynDNS-Dienst behelfen.( Ich setze dyndns.org ein, die dazugehörigen Daten können bequem in der Fritzbox hinterlegt werden, so dass die Fritzbox selbstständig dafür sorgt, bei einem DSL-Verbindungsneuaufbau auch den DynDNS-Eintrag zu aktualisieren.)
  • Account
    Hier kommt der Accountname ein, der oben in der VPN-Konfiguration festgelegt wurde.
  • Kennwort
    Und hier eben das oben festgelegte Kennwort (nicht das Shared Secret!) hinein, wenn nicht bei jedem Verbindungsaufbau neu nach dem Kennwort für die Verbindung gefragt werden soll. Ich empfehle, das Kennwort hier nicht zu hinterlegen, so wie ich es immer bei mobilen Geräten handhaben würde, die VPN-Verbindungen in Netzwerke aufbauen können sollen, die nicht von einem eigenen Administrator, der im Ernstfall schnell die VPN-Konfigurationen deaktivieren kann, gehostet werden.
  • Zertifikat verwenden
    Ausgeschaltet lassen, wir verwenden kein Zertifikat.
  • Gruppenname
    Hier auch einfach den Accountnamen eintippen.
  • Shared Secret
    Und hier kommt das Shared Secret hinein.
  • Proxy
    Auf „Aus“ gestellt lassen, wir verwenden keinen Proxy.

Das war es. Einstellungen sichern und gut.

VPN aufbauen

Das VPN lässt sich in den iPhone-Einstellungen mit dem nun neu eingeblendeten VPN-Schieber starten. Einfach den Schieber aktivieren und schon wird versucht, den Tunnel zu öffnen. Wird der Tunnel zur Fritzbox etabliert, erscheint nach einigen Sekunden die Passwortabfrage. Glückt diese, erscheint in der Infozeile des iPhone ein winziges VPN-Symbol, gleichzeitig ist auf der Benutzeroberfläche die nun aktive VPN-Verbindung zu sehen.

Wer ein Jailbreak-iPhone besitzt und das höchst empfehlenswerte Programmpaket SBSettings installiert hat, um damit einige grundlegende Funktionen des iPhone schnell zu aktivieren, kann in Cydia noch das zusätzliche Paket „SBSettings VPN Toggle“ installieren, das dann einen zusätzlichen Button für das Aktivieren/Deaktivieren der VPN-Verbindung zu SBSettings hinzufügt. Komfortabler geht es dann kaum noch.

Die üblichen Hinweise, Fragen und Antworten

  • iPad?
    Gute Nachricht: Funktioniert im Prinzip genau so, wie auf dem iPhone und ist auch genau so zu konfigurieren.
  • VPN-Passwörter auf mobilen Geräten
    Wie oben kurz angerissen: VPN-Passwörter gehören nicht auf mobile Geräte, auch wenn diese Sperrfunktionen haben. Mit dem Shared Secret geht es nicht anders, das Passwort für die zusätzliche XAUTH-Authentifizierung muss man jedoch wirklich nicht auf dem iPhone hinterlegen, sondern gibt das bei jedem Verbindungsaufbau ein. Grundsicherungsmaßnahme.
  • Absicherung der Fritzbox
    Ein paar Dinge müssen auch einfach hier klar sein. Die Fritzbox braucht ein vernünftiges Passwort, ein eingerichtetes WLAN-Netzwerk sollte verschlüsselt mit WPA2 und einem hinreichend langen Key arbeiten und wenn man die Fritzbox-Bedienoberfläche für Fernzugriffe aus dem Internet aktiviert, dann bitteschön SSL gesichert und mit gesondertem HTTP-Zugriffspasswort. Ein sicheres VPN lebt davon, dass sowohl Client, als auch Server gesichert sind.
  • Ist der Tunnel sicher?
    IPSec ist grundsätzlich state-of-the-art und eine aktuelle und weit verbreitete VPN-Tunneltechnologie. Welche Algorithmen tatsächlich eingesetzt werden, habe ich aktuell nicht parat, es dürfte sich jedoch um grundsätzlich starke Verschlüsselung handeln, die noch mit einer zusätzlichen Benutzerauthentifizierung („XAUTH“) ergänzt wird. In Sachen Tunnel gilt: Aufgebaut wird der immer nur zwischen Client und Server, also in diesem Fall zwischen iPhone und Fritzbox. Wenn also nicht gerade jemand eine Man-in-the-middle-Attacke fährt und beispielsweise den Endpunkt so manipuliert, dass dieser nicht auf der heimischen Fritzbox endet, sondern auf einem anderen Gerät, ist man also weitgehend sicher davor, dass der Tunnel von Dritten abgehört werden kann – wenn eben die Schlüssel hinreichend komplex sind.
  • Kann man dem VPN-Client auf dem iPhone trauen?
    Das ist eine gute Frage. Pardon, kann ich nicht beantworten. Zum einen, weil ich kein Verschlüsselungsspezialist bin und zum anderen, weil die iOS-Software des iPhone/iPad nicht öffentlich zur Evaluation zur Verfügung steht. Dass „Cisco“ draufsteht, ist zumindest ein Zeichen dafür, dass es sich nicht um ganz namenlose Software handelt und da viele Unternehmen auf Cisco-Router und -Software schwören, kann man sich zumindest ein Stück weit darauf verlassen, dass es nicht ganz so üble Software sein dürfte. Für Paranoiker gilt jedoch auch hier, dass sowohl Apple, als auch Cisco eben US-amerikanische Unternehmen sind.
  • Performance und Stromverbrauch
    Die Performance der Fritzbox ist für VPN-Verbindungen ausreichend, selbst mehrere VPN-Verbindungen bedient meine Fritzbox 7270 problemlos. Da sie eine ADSL-Fritzbox ist, ist die Limitierung des ADSL-Anschlusses vermutlich schneller erreicht, als die VPN-Verschlüsselungsperformance. Auf dem iPhone gilt das grundsätzlich auch, nur ist hier zu beachten, dass alles, was zusätzliche Performance braucht, Energie verbraucht und die muss man sich auf einem iPhone immer gut einteilen. Es macht also Sinn, das VPN immer dann einzusetzen, wenn man es auch zwingend braucht und das ist immer dann der Fall, wenn ein drahtloses Netzwerk unverschlüsselt sendet und die zu übertragene Kommunikation das ebenfalls ist. Nutzt man über das iPhone beispielsweise SSL-gesichertes Banking oder Mailkonten auf Basis von ActiveSync oder verschlüsseltem IMAP, dann sind diese Kommunikationskanäle bereits verschlüsselt. Ebenso unproblematisch ist so Kommunikation wie beispielsweise der eingebauten Wetter-App, die niemand wirklich verschlüsselt braucht. Sinnvoll ist VPN-Verschlüsselung spätestens dann, wenn Apps über API auf Dienste zugreifen und hier befürchtet werden muss, dass dies nicht über HTTPS gesichert läuft. Kaum eine Social-Networking-App tut das nämlich oder bietet hierzu Optionen an. Spätestens hier ist der VPN-Tunnel gefragt und die investierte Energie eine gute Anlage.

69 Gedanken zu „Die AVM Fritzbox als VPN Secure Gateway für das iPhone.

  1. DANKE!!! Super Anleitung, hat nach stundenlangen Verirrungen mit anderen Lösungen (incl. derer von AVM) auf Anhieb mit meiner 7390 geklappt. Super gut.

  2. Hallo,

    du ich habe mal ne frage.

    ich habe alles so gemacht wie du beschrieben hast und habe auch die 7270, jedoch kommt bei mir zwar die User abfragen, und dann danach bekomme ich die Meldung das die Kommunikation mit dem Server fehlgeschlagen ist. Brauche ich dafür eventuell noch etwas??

    Danke für die Anteort ruhig auch per Mail wenn du magst.

    Gruss

    Markus

  3. Wow!
    Vielen Dank – kann mich Jochen nur anschließen: Deine Anleitung hat bei mir funktioniert, der andere Kram, den ich seit Tagen im Netz gefunden und ausprobiert habe leider nicht… aber jetzt klappt’s ja endlich! Wow! Vielen Dank noch mal 🙂

    Grüße,

    David

    1. Das geht im Prinzip auf die gleiche Weise, ansatzweise ist das auch im Artikel beschrieben. Mit der Windows-Anwendung “FRITZ!Fernzugang einrichten” kannst du auch mehrere VPN-Verbindungen auf der Fritzbox konfigurieren, die dann in die eine, später in die Fritzbox zu importierende Datei gespeichert werden. Wichtig hierbei ist, dass eben nur diese eine Importdatei alle Konfigurationen beinhalten muss – importierst du eine weitere Konfigurationsdatei in deine Fritzbox, werden die bereits vorhandenen VPN-Verbindungskonfigurationen überschrieben.

  4. Vielen Dank für die super Beschreibung.
    Ich bekomme allerdings genauso wie bei Markus (Kommentar vom 28. Oktober 2010) nach der Eingabe des User und Passwortes die Fehlermeldung, das die Kommunikation fehlgeschlagen ist.
    (Fritzbox 2170, neueste Firmware, iPhone 3GS, OS4.1, kein Jailbreak)
    Vielleicht hat ja jemand noch einen Tip wie ich die Verbindung zumindest ein wenig debuggen kann.

    Danke,
    Stefan

  5. Hi, bin ûber google (VPN iPhone ftitzbox) mit dem 4. Treffer hier gelandet. Super Anleitung! Funktioniert! Direkt mal geflattert 😉

    @“Verbindung fehlgeschlagen
    Am besten cfgdatei und iphoneprofil neu erstellen. Ist meist nur ein Tipfehler.

  6. Mir geht es wie Stefan. Nachdem ich das PW eingegeben habe kommt die Meldung „die Kommunikation ist fehlgeschlagen“. Auf der FB 7170 erscheint kurz in der Übersicht „VPN wird aufgebaut“ und wechselt dann aber wieder auf „nicht aufgebaut…“ Das bestätigt mir, dass das Iphone die FB schon einmal erreicht. Woran könnte das liegen?

    1. Immerhin scheint ja schon mal die Kommunikation zwischen Client und Server zu stimmen… überprüfe nochmal die angegebenen Einstellungen, vor allem die Passwörter. Wichtig ist auf dem iPhone auch, das Feld für den Gruppennamen auszufüllen, hier gehört der Accountname hinein. Bleibt das Feld leer, wird es nicht tun.

      1. Hallo Besim,

        nun habe ich es geschafft, eine Verbindung herzustellen. Durch den Eintrag der IP-Adresse (DNS klappt anscheinend nicht) in der FritzApp ist es möglich via VPN/FritzApp/iPhone auch Telefongespräche zu führen. Was noch nicht klappt ist die Verbindung in’s Internet via Fritzbox. Woran könnte dies liegen?

        Viele Grüße
        Armin

  7. Ok -dann muss ich wohl warten, bis AVM die .86 Version der Firmware für die 7170 freigibt..

    Nochmals danke für das Feedback.

    Viele Grüße

    Armin

  8. Danke für die tolle Anleitung.

    Da ich bereits eine bestehende und funktionierende VPN Verbindung zwischen zwei Fritzboxen habe (7270/2170) ist es mir nicht ganz klar, wie die o.g. cfg in der 7270 zu integrieren ist.
    Nachdem ich mit dem Programm Fernzugang einrichten einen neuen Benutzer (=iphone VPN) eingerichtet habe, existieren zwei config Dateien (die Fitzbox/Fritzbox und eben die für den neuen Benutzer).
    Reicht es nun, lediglich die Datei für den neuen Benutzer, wie oben beschrieben, zu modifizieren, oder muss auch eine Anpassung in der Fritzbox/Fritzbox cfg erfolgen?
    Ich habe in einem ersten Versuch lediglich die iphone cfg mit obigem (natürlich entsprechend angepassten Text getauscht und dann in die Box importiert. Kann aber dennoch keine VPN Verbindung mit dem iphone herstellen.
    Wo kann der Fehler liegen? Danke für einen Tipp.

    Viele Grüsse
    Stephan

    1. Die Fritzbox-VPN-Software erstellt immer zwei Dateien – die eine ist die Konfigurationsdatei für die Fritzbox, die andere für den VPN-Client. Beide werden erstellt, wenn du in der Fritzbox-VPN-Software VPN-Zugänge einrichtest. In deinem Fall brauchst du tatsächlich nur die Konfigurationsdatei für die Fritzbox ändern, die Konfigurationsdatei für den VPN-Client brauchst du ja nicht, da der eine VPN-Zugang für die andere Fritzbox ist und der andere Zugang für das iPhone.

  9. Hallo Bezim,

    danke für deine superschnelle Antwort. Ich habe die Settings in der „Hauptconfig“ geändert uns – es funktioniert nun.
    Obwohl ich in der Cisco IPSec ein Kennwort eingetragen habe, wird dies immer wieder beim Verbindungsaufbau abgefragt und muss manuell eingetippt werden. Kann man das automatisieren?

    Vielen Dank.

    Stephan

  10. Jetzt fehlt noch die Brücke über ein GSM-Gateway am Lan der Fritzbox in den VPN-Tunnel. Mit Partnerkarte sicher ein günstiges und sicheres onlinevergnügen jederzeit und überall?

    1. Warum will man eine Bridge vom LAN per GSM-Gateway zu externen Geräten? Ein VPN-Tunnel erfüllt genau dies bzw. die Konstruktion der VPN-enabelten Fritzbox ist genau das, was du brauchst. In Zeiten von Mobilflats ist es völlig wurscht, ob der Traffic direkt zu einem GSM-Gateway geht oder per VPN über eine Fritzbox.

  11. Hallo. Danke für die Anleitung. Ich habe es auch geschafft, mit meinem 7270 einen VPN Kanal zu meine Iphone 4 herzustellen. Leider kann ich über die Fritz!App nicht telefonieren 🙁 Die IP-Adresse der Fritzbox habe ich bei der App auch probiert – keine Besserung. Das Zeichen von Fritzbox ist grün, von Telefon ist aber ROT. Was mache ich falsch?

    1. Du musst natürlich das „Mobilteil“ auch auf der Fritzbox konfigurieren (unter „Telefonie“ und dort unter „Telefoniegeräte“). Sonst könnte sich ja prinzipiell jedes Telefon innerhalb deines Netzwerkes mit deiner Fritzbox verbinden, will man ja auch nicht unbedingt..

      1. Das habe ich bereits gemacht. Über WLAN zu Hause klappt das Telefonieren problemlos. Beide Anzeigen (Fritzbox und Telefon) sind grün. Nur über 3G (auch über einen anderen WLAN-Zugang) klappt das Telefonieren nicht. Ich kann auf die Einstellungen tippen, die Daten meiner Fritzbox sehen, die Fritzbox über IP-Adresse erreichen…. Abre die Anzeife Telefon bleibt rot. Wenn ich versuche. eine Telefonnummer einzugeben, erhalte ich die Meldung, dass keine Verbinfung zur Fritzbos bsteht. Hat das Problem noch jemand oder mache ich wirklich etwas falsch?

        1. Dann scheint der Tunnel zu klemmen. Wenn du den VPN-Tunnel über 3G geöffnet hast, kannst du dann im Safari über die LAN-IP-Adresse der Fritzbox die Web-Oberfläche erreichen? Fritzbox auf dem aktuellsten Softwarestand?

  12. Zuerst möchte ich mich für deine Hilfe bedanken. Jetzt zu deinen Fragen: 1. Ja, ich kann über Safari die IP-Adresse der Fritzbox erreichen. Die Verbindungsaufbau dauert aber ziemlich lang. 2. Fritzbox hat die aktuellste Firmware drauf (erst gestern aktualisert). Klappt das Telefonieren bei dir problemlos?

    1. Also soeben habe ich nochmals versucht, über Safari doe IP-Adresse (192.168.178.1) einzugeben. Innerhalb weniger SEkunden erscheint die Seite der Fritzbox mit der Passwortaufforderung!

    1. Das einzige, was mir noch einfällt, wäre der Versuch, dass du in der App als Adresse der Fritzbox nicht die IP-Adresse, sondern „fritz.box“ (ohne Anführungsstriche) eingibst. Rein netztechnisch sollte das zwar keinen Unterschied machen, ob IP-Adresse oder DNS-Namen, allerdings gab es auch schon früher diverse Seltsamkeiten mit der Fritzbox über VPN.

      Ansonsten: Keine Idee mehr. Ggf. VPN-Tunnel nochmal neu einrichten.

  13. Hallo zusammen,

    hab einen PPTP Tunnel zwischen Android und meinem Router (GSM).
    Erreiche die Weboberfläche und IP mittels Ping der FritzBox ohne Probleme.
    Sonst funktioniert der Tunnel im LAN tadellos.
    Nur meine FritzAPP zeigt bekommt keine Verbindung zur Fritz 7270 (FW: 54.04.88) an. Beides rot.
    Übers WLAN funktionierts tadellos. Routing scheint doch ok zu sein. Wo liegt das Problem.
    Danke

  14. Hallo Besim,
    danke für die Anleitung.
    Die VPN Verbindung konnte ich mit Deinen Daten aufbauen. Jedoch bekam ich keine Verbindung auf die Fritz.
    Unter Permit ID habe ich noch den Eintrag 0.0.0.0 0.0.0.0 hinzugefügt. Jetzt klappt die Verbindung in mein Netzwerk. Nur das „Durchschleifen“ will einfach nicht klappen…
    Welche Auswirkung hat meine Änderung?
    Gruß,
    Arnd

    1. Es ist nichts weiter erforderlich, wenn deine Fritzbox auf dem aktuellsten Stand ist. Auch zu wissen: Ich habe das nur mit meiner 7270 getestet, ich weiß nicht, ob das mit anderen Fritzboxen ebenso läuft. Verstehe meine Anleitung in so einem Fall als Ansporn, es zu probieren. Wobei ich das von dir beschriebene Verhalten von meiner 7270 vor dem besagten Update her kannte..

  15. Hallo!
    Gute Anleitung usw.
    Was mich jetzt noch stört, ist das ich ein Passwort eingeben muss. Ich hätte da viel lieber ein Zertifikat auf dem iPhone abgelegt. Und könnte dann einfach das VPN aktivieren ohne die „lästige“ Passworteingabe.
    Hat dazu jemand eine Idee ob das geht?
    Zertifiak wird mit dem kostenlosen Konfig Programm von Appel übertragen. Da habe ich schon Zertifikate drauf kopiert.
    Ich nutze den AVM Router 3270.
    DANKE

  16. Hallo,

    habe exakt die Anleitung befolgt. Funktioniert das auch mit einer fritzbox 3170?

    Bei mir kommt nach der Kennworteingabe am iphone, dass die Verbindung fehlgeschlagen ist….

    Vielen Dank für die antwort.

    Gruß Alex

  17. Moin,
    erstmal vielen Dank für die schicke Anleitung.
    Ich habe allerdings ein Problem, bei dem ich bisher nicht weiter gekommen bin. (FB 7390 neuste FW, iPad ebenso)
    Die Verbindung wird zwar erstellt und auch von Seiten der FB angezeigt, allerdings kann ich via VPN weder ins Netz noch auf die Oberfläche der FB zugreifen.
    Ich habe zusätzlich die folgende Zeile in diesen Variationen ausprobiert, da ich nen Fehler im routing vermutet habe:
    „permit ip any 192.168.178.201 255.255.255.255“
    und auch das entsprechende
    „permit ip 0.0.0.0 0.0.0.0 192.168.178.201 255.255.255.255“

    Ich komme leider nicht weiter,.. 🙁
    Hast du evtl. noch eine Idee woran es bei meinen Versuchen scheitert?

    Grüße
    — saw

    1. Moin,
      jetzt hats geklappt mit dem Tunnel. Die fritzbox wird sogar mit ihrem Namen aufgelöst und das Routing in die Welt klappt auch.
      Die neueste Version der Fritz!Fon App verbindet sich sogar zur FB, allerdings ist der Status der Telefonie „rot“.
      Welchem Abschnitt der Konfiguration muss ich jetzt unter die Lupe nehmen?

      Vielen Dank im Voraus
      — saw

    1. Bei mir klappt die Tekefonie nur, wenn das IPhone über WLAN in’s Netz geht. Via 3G bleibt dies bei mir auch auf rot. Liegt wohl an der Restriktion der Nutzung von VoIp via 3G.

      1. Moin Armin,

        ich denke nicht,.. die „VoIP Pakete“ sollten ja unerkannt durch den Tunnel gehen…
        Bin bisher leider noch nicht drauf gekommen woran es liegt, bzw. welche Ports explizit durch den Tunnel geforwardet werden müssen. (ike_forward_rules)

  18. Hallo,
    habe es geschafft, dass ich mich per VPN mit der Fritzbox verbinden kann. Leider habe ich am iPhone keinen Internetzugriff wenn ich mit dem VPN verbunden bin. Woran liegt das?

  19. Ich bekomme es nicht mit zwei Benutzer, also jeder unterschiedliche IP, gleichzeitig zum laufen.

    Hat das schonmal wer gemacht?

    Thanxx in advance.

  20. Hallo,

    ich baue über 7390 eine vpn zwar auf aber es blockt einige seiten. Wie kann ich die VPN trough funktion bei 7390 aktivieren.
    Danke

  21. Weder die AVM Homepage noch deren Hotline konnten mir weiterhelfen. Ich hatte nicht mal den Eindruck, dass die Frau am Telefon verstanden hat, was ich tun will.

    Diese Anleitung scheint die einzige zu sein, die funktioniert.

    D A N K E ! ! !

    1. Ich verstehe die Kollegen da schon… diese Funktionen gehören nicht zum eigentlichen Funktionsumfang und werden auch ausdrücklich nicht supportet. Ist aber dankenswerterweise ja so, dass zumindest die Doku für technisch Versierte ganz brauchbar ist. Und den Rest erledigen dann engagierte Blogger mit Dokus für Laien. 😉

  22. Hey kennt jemand das Problem? „Fritzbox 6360 cable“
    Ich such mir die cfg-Datei und betätige den Buttom VPN-Einstellungen importieren.
    Leider passiert dann garnicht! Keine Fehlermeldung.
    Hab die Box auch schon komplett vom Strom genommen für 30 Minuten aber half auch nicht.
    Besten Dank schonmal für die Hilfe.

    1. Möglicherweise stimmt irgendetwas in der Datei nicht, evt. ist die Syntax kaputt. Es ist extrem wichtig, dass nirgendwo ein Anführungsstrich oder eine geschweifte Klammer fehlt und auch Semikolon richtig gesetzt sind.

      1. Hey Danke für die Antwort. Es ist echt merkwürdig! Seit heute Abend geht der Import. Hab aber nichts geändert weder an der Datei, PC noch Homebox. Naja Danke nochmal für die Anleitung.

  23. WOW….vielen Dank für diese Anleitung…bin sehr dankbar dafür.
    es funktioniert auf meiner Fritzbox7270 und ich kann mit Iphone und Ipad unterwegs auf mein LAN zugreifen.
    Für mich die eleganteste Lösung.
    Ohne diese Anleitung hätte ich das nicht geschafft.
    Schade, dass Telefonie mit Fritzbox mobil nicht geht….vielleicht irgendwann…

      1. Dazu musst du auf deinem PC Freigaben einrichten. Diese Freigaben kannst du dann von außen (also von anderen Rechnern in deinem LAN und auch von VPN-Verbindungen aus) erreichen, in dem du sie mit „\\rechnername\freigegebenensverzeichnis\“ aufrufst.

  24. Hi,

    kann es sein, dass die Config lauten muss:

    „permit ip 192.168.178.0 255.255.255.0 192.168.178.202 255.255.255.255″,“permit ip any 192.168.178.202 255.255.255.255“?

    1. Eigentlich könnte man die gesamte Zeile weglassen, weil die nächste Regel das ja eigentlich beinhaltet, wenn ich mir das so anschaue. Ist jetzt allerdings nur mal so überflogen, der Artikel ist immerhin ja schon über drei Jahre alt.

      Es groß zu testen, macht aber IMHO keinen Sinn mehr, weil es inzwischen ein Programm zur Einrichtung von VPN-Verbindungen gibt, bei den neueren Fritzboxen lässt sich die VPN-Verbindung (endlich) auch direkt in der Box einrichten.

      Wenn du das aber testen möchtest, werde ich den Artikel gern um deine Erfahrungen ergänzen.

    2. Hi Besim,

      meine aktuelle Config hatte ich vorige Woche mit dem AVM-Tool erstellt, nachdem ich endlich die Version mit dem Häkchen „Sämtlichen Internetverkehr über VPN leiten“ gefunden hatte. Vorher hatte ich mit diversen Anleitungen im Netz kein Glück. Von daher bin ich nach einigen Fehlversuchen froh, dass ich meine Geräte nun auch sichere Weise per VPN ins heimische LAN und über die Box auch ins Netz bekomme.

      Aber mal etwas weiter gedacht: wenn das o.g. Verfahren funktioniert glaubt man nun, dass man sich auch in einem offenen WLAN sicher im Netz bewegen kann – aber wie kann man das testen? Hast Du dazu schon einmal selbst Tests gemacht?

      1. Mit dem iPhone habe ich mangels iPhone nicht getestet, aber mit Android und dort direkt in einer Konsole mit Traceroutes. Die gehen bei der Secure-Gateway-Konfiguration der VPN-Verbindung tatsächlich alle über den Tunnel.

        Am einfachsten Testen kannst du das mit einer der vielen Apps, mit der man sich die eigene IP-Adresse anzeigen lassen kann oder auch den vielen Websites, die das tun und die du dann im Safari aufrufst. Die Apps und Seiten müssen alle, wenn der Tunnel steht, die externe IP-Adresse deiner Fritzbox anzeigen.

  25. Hallo,
    ich habe eine Frage zur FritzBox 7270 V3.
    Um meine Internet Telefon einzurichten, muss ich einen Proxy Suver angeben, gibt es den in der FritzBox 7270 V3 nicht mehr?
    In der FritzBox 7170 war der noch vorhanden.
    Gruss Scholli

    1. Brauchst du auch nicht, wenn die Fritzbox direkt am Internet hängt und eine öffentliche IP-Adresse hat (im Normalfall so).

  26. Hallo Besim,
    das ging ja schnell mit einer Antwort, danke.
    Mein Problem:
    Wir bekommen auf dem Land unseren Internetanschluss mit Telefon per Funk über eine Funkstation auf die Hausantenne.
    Von da aus dann per Lankabel zur FritzBox.
    Das Internet funktioniert problemlos, nur das Telefon bekomme ich nicht zum Laufen – vermutlich weil ich keinen Proxy Surver angeben kann, wie es mein Anbieter in der Anleitung zum Anschluss vorschreibt.
    In der FritzBox 7170 funktioniert alles einwandfrei – wie vorgeschrieben- mit dem Proxy Surver.

    In der FritzBox 7270 V3 wird aber leider nur ein Stun-Surver angezeigt.
    Ist sie damit möglicherweise für meine Zwecke ungeeignet?
    Gruß Scholli

    1. In meiner 7490 gibt es auch nur den Proxy-Server einzutragen, der STUN-Server ist eine Alternative zum Proxy-Server. Ich schlage vor, Sie wenden sich da an den Telefonieanbieter und fragen dort nach den korrekten Einstellungen für Ihre Fritzbox.

      Ggf. könnten Sie auch auf den sehr guten Supportseiten von AVM nachschauen. Der telefonische Support kann Ihnen bei der 7270 aber wohl leider nicht mehr helfen, da diese seit Ende 2015 nicht mehr offiziell unterstützt wird. Im Supportbereich auf der Website gibt es aber noch die gesamte Supportdokumentation dazu.

  27. Hallo Besim,
    Sie haben wohl recht, ich werde meinen Anbieter am besten Anrufen und versuchen von dem Hilfe zu bekommen.
    Trozdem danke für die Antwort.
    Gruss Scholli

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *