Fritzbox als Secure Gateway, ganz einfach gemacht.

Durch Zufall habe ich herausgefunden, dass AVM die Einrichtung einer Fritzbox zu einem Secure Gateway inzwischen fast kinderleicht gemacht hat. Zur generellen Info: Neuere Fritzboxen haben eine eingebaute VPN-Funktionalität auf Basis von IPSec, die auch recht zuverlässig funktioniert. Anfangs dafür gedacht, dass mobile Geräte so auf das heimische LAN zugreifen können, wurde die VPN-Funktionalität 2010 dahingehend erweitert, dass bei entsprechender Konfiguration mobile Geräte ihren gesamten Datenverkehr über das VPN leiten können, um somit eventuelle Regulierungen umgehen zu können und den Datenverkehr auch in unsicheren Umgebungen wie z.B. öffentlichen WLAN-Hotspots absichern zu können.

Der Schlüssel hierzu ist das kleine Tool namens „Fritz!Box Fernzugang einrichten“, das es im VPN-Themenportal kostenlos gibt. Wird mit diesem kleinen und feinen Tool eine VPN-Verbindung eingerichtet, wird im Einrichtungsassistenten nämlich irgendwann gefragt, ob über die einzurichtende VPN-Verbindung nicht nur das lokale Netzwerk erreicht werden soll oder ob darüber der gesamte Datenverkehr des mobilen Gerätes abgewickelt werden soll. Auf bekannte Weise wird dann die erstellte Konfiguration in die Fritzbox importiert und das mobile Gerät bzw. die VPN-Clientsoftware konfiguriert (Anleitungen gibt es auf der VPN-Themenportalseite).

Wichtig ist bei VPN-Clients, bei denen man angeben muss, welche Netze über den VPN-Tunnel geroutet werden sollen, anzugeben, dass nicht nur das lokale Netzwerk hinter der Fritzbox erreichbar sein soll, sondern eben auch das gesamte Internet. Das bezeichnet man üblicherweise auf IP-Adressebene als „0.0.0.0“ mit der Subnetzmaske „0.0.0.0“. Symbolhaft müssen also folgende Netzwerke über den VPN-Tunnel geroutet werden:

192.168.178.0 mit der Subnetzmaske 255.255.255.0
0.0.0.0 mit der Subnetzmaske 0.0.0.0

Detailierte Informationen zum Routing finden sich in meinem Artikel vom September 2010 zum Thema Secure Gateway mit der Fritzbox.

Kleiner Warnhinweis: Wenn der komplette Datenverkehr über die heimische Fritzbox geroutet wird, sollte man sich bewusst sein, dass der heimische Internet-Zugang und dessen Bandbreite einen Flaschenhals darstellen könnten. Gibt es zu Hause also z.B. nur einen DSL 1000, dann ist dessen Up- und Download-Begrenzungen der Flaschenhals, wenn die VPN-Verbindung nicht sehr flott ist. Wer also regelmäßig seine heimische Fritzbox für VPN und für ein Secure Gateway benötigt, sollte sich zu Hause einen flotten Internet-Zugang leisten.

9 Gedanken zu „Fritzbox als Secure Gateway, ganz einfach gemacht.

  1. Auf der Suche nach etwas anderem bin ich auf diese Seite gestossen.
    Witzig finde ich, dass AVM so lange dafür gebraucht hat.
    Ich besitze keine FritzBox sondern schon etwas in die Jahre gekommenen DRAYTEK Vigor 2900VG. Und der kann das schon lange. Da hat AVM noch von einer 7200er Serie geträumt.

    grüße.

  2. Sind dann eigentlich auch die leute per vpn abgesichert, die auf meine box per dyndns adresse zugreifen ?

    oder muss man da noch was anderes anstellen

    grüße john

    1. Prinzipiell ja, allerdings muss man sicherstellen, dass man auch auf die richtige Fritzbox geht. Theoretisch ist es möglich, dass jemand die Fritzbox kapert bzw. einen gänzlich anderen VPN-Endpunkt vorgaukelt, der dann alle eingehenden VPN-Credentials akzeptiert und das VPN zulässt. Das könnte man mit einer Unterstützung für Zertifikate realisieren, ist aber leider bei der Fritzbox nicht sehr einfach (überhaupt?) zu konfigurieren.

  3. Hallo Herr Karadeniz

    Ein paar user gehen über eine dyndns Adresse auf meine Box und von der auf einen Server…

    Was ist jetzt eigentlich alles über die VPN Methode abgesichert?

    Hat es auch Relevanz, ob die Daten gesendet werden vom Server zu den Usern oder ob diese am Server von den Usern Empfangen werden ?

    Also ausgehende und Eingehende Datenpakete …

    So ganz kann ich mir da noch keinen Reim drauf machen

    Herzlichen Dank für Ihre Hilfe

    grüße john

    1. Das hängt davon ab, was die Nutzer an Netz über die Fritzbox routen. Wenn sie nur das interne LAN-Netzwerk routen, dann geht deren IP-Datenverkehr primär bei denen direkt ins Internet. Wenn sie den VPN-Endpunkt als Standardgateway nutzen (also 0.0.0.0/0.0.0.0 über den Tunnel routen), dann geht deren gesamter Datenverkehr über den Tunnel.

      Die Fritzbox ist für solche Operationen icht sonderlich praktikabel, weil sie dem Administrator keine großen Möglichkeiten zur Steuerung der Tunnelparameter gibt. Ich würde jedenfalls keine Fremden über meine Fritzbox via VPN routen. Mache dich besser mal kundig darüber, welche rechtliche Verantwortung du da eingehst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *